白盒渗透测试:为攻击者提供关于目标系统的详细信息,减少检测过程,缩短攻击时间,发
现漏洞的可能性。灰箱渗透试验:部分知识测试,为了平衡白箱渗透试验和黑箱渗透试验的优
缺点,由于成本或时间的限制,需要一些知识来完成试验。黑盒渗透测试:攻击前,不会向渗
透者披露任何信息以模拟外部攻击者,渗透测试的影响需要得到高级管理员的确保和预先授权。
1.代码审查和测试,代码审查:代码读取,自动化测试,静态测试:通过分析源代码或编译应用
程序来评估软件安全性,动态测试:测试操作中的软件安全性,测试sql注入,xss漏洞,火焰图
性能,模糊测试:一种特殊的动态测试技术,它为软件提供各种类型的输入来测试它的极限,
并发现未检测到的缺陷。下面是一个新的输入,我使用zzuf工具来测试1010个数字。大多数仍
然是0,但是数据中存在缺陷,例如1,4,8,p,空间和代码。2.接口测试,应用程序编程接口
api:统一Web接口,确保api安全可,靠用户界面ui:为最终用户、网页、图形用户界面与软件
交互的能力,物理界面:测试插入、拔出和功率故障等异常情况。3.测试覆盖面分析,分支覆盖
率:测试每个if语句是否被执行?条件覆盖率:测试每个逻辑是否被覆盖?函数覆盖率:测试每
个函数是否被调用?周期覆盖率:测试每个周期是否运行?语句覆盖率:测试是否运行所有代
码?4.网站监测,被动监控:捕获网络传输中的真实流量及其分析,主动监测:分析网站的伪
造活动。
程序来评估软件安全性,动态测试:测试操作中的软件安全性,测试sql注入,xss漏洞,火焰图
性能,模糊测试:一种特殊的动态测试技术,它为软件提供各种类型的输入来测试它的极限,
并发现未检测到的缺陷。下面是一个新的输入,我使用zzuf工具来测试1010个数字。大多数仍
然是0,但是数据中存在缺陷,例如1,4,8,p,空间和代码。2.接口测试,应用程序编程接口
api:统一Web接口,确保api安全可,靠用户界面ui:为最终用户、网页、图形用户界面与软件
交互的能力,物理界面:测试插入、拔出和功率故障等异常情况。3.测试覆盖面分析,分支覆盖
率:测试每个if语句是否被执行?条件覆盖率:测试每个逻辑是否被覆盖?函数覆盖率:测试每
个函数是否被调用?周期覆盖率:测试每个周期是否运行?语句覆盖率:测试是否运行所有代
码?4.网站监测,被动监控:捕获网络传输中的真实流量及其分析,主动监测:分析网站的伪
造活动。
安全管理进程的执行情况
1.日志审评,安全信息和事件管理Siem、自动日志审查工具、系统和应用程序中的大量syslog
日志收集,需要依赖网络时间协议ntp来确保siem发送日志记录和siem自己的时钟同步。2.账户
管理,管理授予的特权用户列表和特权,比较授权列表的用户并发现没有未经授权的用户,比
较授权列表上的用户权限,看看是否有未经授权的应用程序。3.主要业绩和风险指标,剩余脆
弱性数目,修复漏洞的时间,脆弱性/缺陷再现,被盗账户数,实验环境中扫描检测到的缺陷数
,重复审计结果,试图访问已知恶意站点的用户。
日志收集,需要依赖网络时间协议ntp来确保siem发送日志记录和siem自己的时钟同步。2.账户
管理,管理授予的特权用户列表和特权,比较授权列表的用户并发现没有未经授权的用户,比
较授权列表上的用户权限,看看是否有未经授权的应用程序。3.主要业绩和风险指标,剩余脆
弱性数目,修复漏洞的时间,脆弱性/缺陷再现,被盗账户数,实验环境中扫描检测到的缺陷数
,重复审计结果,试图访问已知恶意站点的用户。
