[雪峰磁针石博客]渗透测试简介1渗透测试简介

  1. 云栖社区>
  2. 博客>
  3. 正文

[雪峰磁针石博客]渗透测试简介1渗透测试简介

python人工智能命理 2018-11-12 10:03:03 浏览1548
展开阅读全文

渗透测试简介

什么是渗透测试

黑客利用计算机或网络等的弱点获取访问,比如使用密码破解算法获取对系统的访问权限。黑客可使用计算机进行欺诈行为,例如欺诈,侵犯隐私,窃取公司/个人数据等。网络犯罪每年使许多组织损失数百万美元。企业需要保护自己免受此类攻击。

黑客是发现并利用计算机系统和/或网络中的弱点来获取访问权的人。黑客通常是具有计算机安全知识的熟练计算机程序员。

黑客根据其行为的意图进行分类。以下列表根据黑客的意图对黑客进行了分类。

黑客类型

图片.png

道德黑客(白帽子White Hat):访问系统以修复已发现的弱点。他们还可以执行渗透测试和漏洞评估。

图片.png

Cracker(黑帽子 Black hat):未经授权访问计算机系统。目的通常是窃取公司数据,侵犯隐私权,从银行账户转移资金等。

图片.png

灰帽子(Grey hat):介于道德黑客和黑帽黑客之间。在没有权限的情况下闯入计算机系统,以识别弱点并将其显示给系统所有者。

图片.png

脚本小子:使用已经制作的工具访问计算机系统的非技术人员。

图片.png

黑客活动家:利用黑客发送社交,宗教和政治等信息。通常是通过劫持网站并将消息留在被劫持的网站上。

图片.png

Phreaker:识别和利用电话而不是计算机的弱点的黑客。

什么是网络犯罪?

网络犯罪是利用计算机和网络进行非法活动,如传播计算机病毒,在线欺凌,进行未经授权的电子资金转移等。大多数网络犯罪都是通过互联网进行的。一些网络犯罪也可以通过短信和在线聊天进行。

参考资料

网络犯罪的类型

  • 计算机欺诈(Computer Fraud):通过使用计算机系统故意欺骗个人利益。
  • 隐私侵权(Privacy violation):在社交媒体,网站等上公开个人信息,如电子邮件地址,电话号码,帐户详细信息等。
  • 身份盗窃(Identity Theft):窃取某人的个人信息并冒充该人。
  • 共享受版权保护的文件/信息(Sharing copyrighted files/information):分发受版权保护的文件,如电子书和计算机程序等。
  • 电子资金转账(Electronic funds transfer):获得未经授权的银行电脑网络访问和非法资金转账。
  • 电子洗钱(Electronic money laundering):使用计算机洗钱。
  • ATM欺诈(ATM Fraud):拦截ATM卡详细信息,如帐号和PIN号。然后从截取的账户中提取资金。
  • 拒绝服务攻击(Denial of Service Attacks):在多个位置使用计算机来攻击服务器,使其不能正常服务。
  • 垃圾邮件(Spam):发送未经授权的电子邮件。这些电子邮件通常包含广告。

什么是道德黑客?

识别计算机系统和/或计算机网络等的弱点,并采取保护弱点的对策。道德黑客必须遵守以下规则。

  • 在黑客入侵之前获得计算机系统和/或计算机网络所有者的书面许可。
  • 保护被黑客攻击的组织的隐私。
  • 透明地向组织报告计算机系统中所有已识别的弱点。
  • 告知硬件和软件供应商已发现的弱点。

安全威胁

计算机系统威胁是指导致数据丢失或损坏或对硬件和/或基础设施造成物理损坏。这些威胁可能是故意的、偶然的,也可能是自然灾害造成的。

安全威胁介绍

安全威胁被定义为可能对计算机系统和组织造成潜在危害的风险。原因可能是物理的,例如有人偷了包含重要数据的计算机。也可能是非物理因素,例如病毒攻击。

图片.png

物理威胁

物理威胁是可能导致计算机系统丢失或物理损坏的事故的潜在原因。

  • 内部:火灾,不稳定的电源,湿度等。
  • 外部:这些威胁包括闪电,洪水,地震等。
  • 人:盗窃,破坏基础设施/或硬件,意外或故意。

为了保护计算机系统免受上述物理威胁,组织必须采取物理安全控制措施。

非物理威胁

  • 系统数据丢失或损坏
  • 计算机系统损坏
  • 丢失敏感信息
  • 非法监测计算机系统的活动
  • 网络安全漏洞
  • 其他

原因有:

  • 病毒
  • 木马
  • 蠕虫
  • 间谍软件
  • 键盘记录器
  • 广告软件
  • 拒绝服务攻击
  • 分布式拒绝服务攻击
  • 未经授权访问
  • 网络钓鱼
  • 其他计算机安全风险

为了防范病毒,特洛伊木马,蠕虫等,组织可以使用防病毒软件。除了防病毒软件之外,还可以对外部存储设备的使用进行控制,组织未经授权的程序下载到服务器。

通过使用身份验证方法可以防止未经授权访问计算机系统资源。身份验证方法可以是用户ID和强密码,智能卡或生物识别(比如人脸检测)等形式。

入侵检测/防御系统可用于防止拒绝服务攻击。还可以采取其他措施来避免拒绝服务攻击。

网友评论

登录后评论
0/500
评论
python人工智能命理
+ 关注