|
滲透測(cè)試是在具有安全授權(quán)的情況下��,模擬黑客的攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試����,黑客的入侵和攻擊需要利用目標(biāo)系統(tǒng)的安全漏洞和弱點(diǎn)���,滲透測(cè)試采用同樣的測(cè)試原理、方法����、工具和路徑,所以可以模擬真實(shí)黑客入侵的過(guò)程�����,黑客攻擊的目的是竊取和破壞���,而滲透測(cè)試的目的是提前于攻擊者發(fā)現(xiàn)系統(tǒng)隱患����,封堵漏洞,由于滲透測(cè)試采用可控的��、非破壞性質(zhì)的工具和方法��,因此在驗(yàn)證安全性問(wèn)題的同時(shí)不會(huì)對(duì)被測(cè)系統(tǒng)造成負(fù)面影響�。在滲透測(cè)試結(jié)束后,系統(tǒng)將基本保持一致���。
·
注入缺陷(如SQL�����、LDAP�、OS指令��、XPath����、XQuery、XSLT�、XML)
·
業(yè)務(wù)邏輯漏洞
·
跨站腳本攻擊(XSS)
·
跨站請(qǐng)求偽造(CSRF)
·
身份驗(yàn)證或會(huì)話管理不當(dāng)
·
訪問(wèn)控制不當(dāng)
·
缺少加密技術(shù)或加密算法使用不當(dāng)
·
由于錯(cuò)誤信息導(dǎo)致信息暴露
·
重定向開放
·
無(wú)法限制URL訪問(wèn)
·
不安全的直接對(duì)象應(yīng)用或路徑遍歷
·
服務(wù)器配置錯(cuò)誤
·
防火墻規(guī)則設(shè)定分析
|
