|
滲透測試是在具有安全授權(quán)的情況下,模擬黑客的攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進行非破壞性質(zhì)的攻擊性測試,黑客的入侵和攻擊需要利用目標(biāo)系統(tǒng)的安全漏洞和弱點���,滲透測試采用同樣的測試原理����、方法、工具和路徑���,所以可以模擬真實黑客入侵的過程�,黑客攻擊的目的是竊取和破壞�,而滲透測試的目的是提前于攻擊者發(fā)現(xiàn)系統(tǒng)隱患����,封堵漏洞,由于滲透測試采用可控的����、非破壞性質(zhì)的工具和方法,因此在驗證安全性問題的同時不會對被測系統(tǒng)造成負面影響�。在滲透測試結(jié)束后,系統(tǒng)將基本保持一致���。
·
注入缺陷(如SQL����、LDAP、OS指令�����、XPath���、XQuery����、XSLT�、XML)
·
業(yè)務(wù)邏輯漏洞
·
跨站腳本攻擊(XSS)
·
跨站請求偽造(CSRF)
·
身份驗證或會話管理不當(dāng)
·
訪問控制不當(dāng)
·
缺少加密技術(shù)或加密算法使用不當(dāng)
·
由于錯誤信息導(dǎo)致信息暴露
·
重定向開放
·
無法限制URL訪問
·
不安全的直接對象應(yīng)用或路徑遍歷
·
服務(wù)器配置錯誤
·
防火墻規(guī)則設(shè)定分析
|
