渗透测试工具的介绍

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了渗透测试工具的介绍相关的知识,希望对你有一定的参考价值。

第一类:网络渗透测试工具
网络渗透测试工具是一种可以测试连接到网络的主机/系统的工具。通用的网络渗透测试工具有ciscoAttacks、Fast-Track、Metasploit、SAPExploitation等,这些工具各有各的特点和优势。因为网络渗透测试是一个相对广泛的概念,所以上述工具也可以包括社会工程学渗透测试模块,网络渗透测试模块和无线渗透测试模块。
第二类:社会工程学渗透测试工具
社会工程学渗透测试是利用社会工程学进行渗透测试,通常利用人们行为中的弱点来达到渗透的目的。典型的社会工程学渗透测试工具有BeefXSS和HoneyPots,这些工具诱使用户访问特定的网站,获得用户的Cookie信息,达到渗透的目的。
第三类:网站渗透测试工具
网站渗透测试是对Web应用程序和相应的设备配置进行渗透测试。在进行网站渗透测试时,安全工程序必须采用非破坏性的方法来发现目标系统中的潜在漏洞。常用的网络渗透测试工具有asp-auditor、darkmysql、fimap、xsser等。
第四类:无线渗透测试工具
无线渗透测试工具是蓝牙网络和无线局域网的渗透测试。在进行无线渗透测试时,一般需要先破解目标网络的密码,或者建立虚假热点来吸引目标用户访问,然后通过其他方式控制目标系统。常见的蓝牙网络渗透测试工具有atshell、btftp、bluediving、bluemaho等;常见的无线局域网渗透测试工具有aircack-ng、airmon-ng、pcapgetiv和weakivgeng等,这些工具实现了不同的功能,可以让安全工程师通过各种方式进行无线渗透测试。 参考技术A

渗透测试是一种利用模拟黑客攻击的方式,来评估计算机网络系统安全性能的方法。评估计算机网络系统安全性能的方法。

渗透测试介绍和风险规避点

文章目录

0x01 渗透测试介绍

渗透性测试根据测试者在测试前掌握被测信息多少的不同可分为:

黑盒测试:

  • 黑盒测试也称为外部测试
  • 在进行黑盒测试时候,渗透性测试安全工程师完全处于对系统一无所知的状态,
  • 通常这类测试最初信息来自于DNSWebEmail及各种互联网公开对外的服务器,
  • 主要是模拟来自互联网的攻击者,从外部发起的攻击行为,从网络外部对其网络安全进行评估。

白盒测试:

  • 白盒测试也称为内部测试
  • 渗透性测试安全工程师可以通过正常渠道向被测机构要求,取得各种资料,包括网络拓扑、员工资料甚至网站或其他程序的代码片段,也能够与被测机构内部的其他员工(业务人员、开发人员、管理人员等)进行面对面的沟通。
  • 这类测试的目的是模拟组织内部雇员的越权操作以及内部违规操作者的行为,和预防万一组织重要信息泄露,网络黑客能利用这些信息对组织构成的危害,最主要的“优势”就是绕过了防火墙的保护

灰盒测试:

  • 将白盒测试和黑盒测试组合使用,就是灰盒测试,
  • 了解部分目标网络的信息,但不会掌握网络内部工作原理限制信息
  • 主要是模拟离职的员工或合作伙伴,他们对组织的结构比较了解,
  • 但不在公司内部,没有权限访问

0x02 可能存在的风险描述

在对目标系统渗透测试的过程中,可能会存在以下的风险:
1)占用带宽(风险不高);
2)登录界面锁死
3)可能造成业务数据变更;
4)可能造成数据丢失无法恢复;
5)可能造成系统出现异常情况;
6)被测试系统部署重要核心业务,测试风险较大。

0x03 风险规避方法:

1)根据目标系统的网络、应用状况,调整测试脚本的渗透测试时间段及阀值,采取避峰扫描
2) 渗透测试会对登录页面进行弱口令猜测,猜测过程可能会造成应用系统被测对象某些帐账号锁死,如目标系统对登录某些相关程序的尝试次数进行了限制,在进行扫描测试时,可屏蔽暴力猜解功能,以避免登录界面锁死的情况发生。
3)对于在测试过程中,可能造成删除和修改数据的技术手段,测试人员会尽量避免使用,如必须要使用,则会先通过与用户协商和测试记录的方式来保证意外操作可追溯性
4)针对系统所涉及到重要业务数据进行备份
5)渗透测试过程中如果出现被测试系统出现异常情况,应当立即停止测试工作,与系统业务管理人员一起分析情况,在确定原因、正确恢复系统以及采取必要的预防措施(比如调整测试策略等)之后,才可继续进行测试。
6)整体评估生产环境的系统情况,确认模拟/仿真环境与业务生产环境一致的情况下,在模拟/仿真环境开展渗透测试工作。

摘抄

做事最怕一个“拖”字。
今日事,今日毕。
古诗云:
盛年不重来
一日难再晨。
及时当勤勉
岁月不待人。
拖延是成功路上的绊脚石,
拒绝拖延,
才能离成功更近。

---- <拒绝拖延>

以上是关于渗透测试工具的介绍的主要内容,如果未能解决你的问题,请参考以下文章

渗透测试介绍和风险规避点

干货小白说渗透——渗透测试工具之Nmap使用方法介绍

十年网络安全工程师整理—100渗透测试工具使用方法介绍

渗透测试啥意思

使用C#winform编写渗透测试工具--旁站查询

Android渗透测试神器dSploit