|
滲(shen)透(tou)測(ce)(ce)試(shi)是在(zai)具有安全授權的(de)(de)(de)情況下,模擬黑客(ke)的(de)(de)(de)攻(gong)擊方法對(dui)系統(tong)和(he)(he)網絡進行非破(po)(po)壞(huai)性(xing)(xing)質(zhi)的(de)(de)(de)攻(gon�����g)擊性(xing)(xing)測(ce)(ce)試(shi),黑客(ke)的(de)(de)(de)入(ru)侵(qin)和(he)(he)攻(gong)擊需要利用目標系統(tong)的(de)(de)(de)安全漏洞和(he)(he)弱點,滲(shen)透(tou)測(ce)(ce)試(shi)采用同樣的(de)(de)(de)測(ce)(ce)試(shi)原理、方法、工(gong)具和(he)(he)路徑,所(suo)以可以模擬真實黑客(ke)入(ru)侵(qin)的(de)(de)(de)過程,黑客(ke)攻(gong)擊的(de)(de)(de)目的(de)(de)(de)是竊取和(he)(he)破(po)(po)壞(huai),而滲(shen)透(tou)測(ce)(ce)試(shi)的(de)(de)(de)目的(de)(de)(de)是提前(qian)于攻(gong)擊者發現系統(tong)隱患,封堵(du)漏洞,由(you)于滲(shen)透(tou)測(ce)(ce)試(shi)采用可控的(de)(de)(de)、非破(po)(po)壞(huai)性(xing)(xing)質(zhi)的(de)(de)(de)工(gong)具和(he)(he)方法,因此(ci)在(zai)驗證安全性(xing)(xing)問題的(de)(de)(de)同時不(bu)會對(dui)被測(ce)(ce)系統(tong)造成負(fu)面(mian)影響。在(zai)滲(shen)透(tou)測(ce)(ce)試(shi)結束后,系統(tong)將基本保(bao)持一致。
·
注入缺(que)陷(如SQL、LDAP、OS����指(zhi)令、XPath、XQuery、X�����SLT、XML)
·&n��������bsp; ������;
業務邏輯漏洞
· ������� &nb�������sp;
跨站腳本攻擊(XSS)
· ������; &n�������bsp;
跨站請求偽造(zao)(CSRF)
· �������&nbs�������p;
身(shen)份驗(yan)證或(huo)會話管(guan)理不當(dang)
· �������;
訪問控制不當
· &nb�����sp;
缺少加密技術或加密算(suan)法使用不(������bu)當(dang)
· &nbs�������p;
由于錯誤信(xin)息(xi)導致信(xin)息����(xi)暴露
· ������;
重定向開放
· &���nbsp;
無法限(xian)制URL訪問
· &��������nbsp;
不安(an)全的(de)直接對象應用或(huo)路徑(jing)遍(bian)歷
·&nbs������p; &�������nbsp;
服務器配置錯誤
· ��������
防火墻規(gui)則設定(ding)分析(xi)
|
