ｅｂ安全渗透测试内容和方法。

     下面是目前的一些渗透测试标准： 国家级别的标准１０Ｗｅｂ安全渗透测试研究＞美国的信息安全测试和评估技术指南（ＴｅｃｈｎｉｃａｌＧｕｉｄｅｔｏＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ ｒ０１ ＴｅｓｔｉｎｇａｎｄＡｓｓｅｓｓｍｅｎｔ）ｏ 训 一个有效的风险管理过程是一个成功的ＩＴ安全项目的重要组成部分。

    这本指南是美国的国家标准，具有一定的权威性。

    其基本目标是为了保护机构，使其有能力完成他们的任务，而不仅仅是保护他们的ＩＴ资产。

    这本指南具有一定方法论方面的指导意义。

    ＞德国联邦信息安全办公室发布的渗透测试模型（Ａｐｅｎｅｔｒａｔｉｏｎｔｅｓｔｍｏｄｅｌ）吲 这份渗透测试模型对于从事和将要从事渗透测试服务的机构和人员有一定参考价值，也可以帮助有这方面需求的客户了解这方面的信息。

     安全组织级别的标准＞Ｗ曲安全组织ＯＷＡＳＰ发布的测试指南（ＯＷＡＳＰＴｅｓｔｉｎｇＧｕｉｄｅＶ３．０）Ｂｏｌ 这份指南提供了较为完整的Ｗｅｂ安全测试框架和相应测试条目，安全测试人员可以根据不同的测试需求，定制自己的测试项目。

    ＞开源安全测试方法指南（ＴｈｅＯｐｅｎＳｏｕｒｃｅＳｅｃｕｒｉｔｙＴｅｓｔｉｎｇＭｅｔ【Ｉｌ】 ｏｌｏｇｙＭａｎｕａｌ） ｈｏｄ 这本测试手册是一个完备的用于安全测试的专业标准。

    作为一个专业标准，它包括了参与规则、对于专业测试人员的道德规范、测试所应遵循的法律和一个完整的测试条目集合。

    这本手册的目标是希望成为专业测试人员的完备手册。

     总体说来，虽然不同的标准是从理论的角度整体上对不同的安全问题进行了分类总结，但不同的标准对安全问题的分类不尽相同，而且标准对许多漏洞的形成原因没有进行深入分析。

    所以对于安全测试人员来说，在实际渗透测试时，往往需要根据对目标系统测试的需求，参照标准，自己设计渗透测试内容和测试方法。

     ２．４本章小结 本章主要从总体上对Ｗｅｂ渗透测试的理论知识做了分析。

    对Ｗｅｂ应用的模型和Ｗｅｂ系统面临的威胁进行了分析，并对Ｗｅｂ漏洞产生的原因进行了总体分析。

     第三章Ｗｅｂ安全渗透测试方法设计１１ 第三章Ｗｅｂ安全渗透测试方法设计 本章对Ｗｅｂ渗透测试方法进行设计，主要包括渗透测试基本步骤、渗透测试内容、渗透测试平台搭建和渗透测试策略等内容。

     ３．１Ｗｅｂ安全渗透测试基本步骤 因为Ｗｅｂ渗透测试是模拟黑客的行为，对Ｗｅｂ系统进行安全性测试，所以首先分析一下黑客攻击Ｗｅｂ的基本步骤。

     Ｗｅｂ攻击不是漫无目的的随意攻击，往往是有一定既定目标的攻击，这通常要经历以下５个步骤： １）信息收集 正所谓工欲善其事，必先利其器，Ｗｅｂ攻击发生前，攻击者必定会对攻击目标进行细致的侦查工作，从而为后续的攻击做准备。

     对目标网络进行侦查之前，首先要收集汇总各种与目标系统有关的信息，形成对目标网络必要的轮廓认识，并为实施攻击做好准备。

     信息的收集可以通过以下几种方式进行： ＤＮＳ域名服务，Ｆｉｎｇｅｒ服务，Ｗｈｏｉｓ服务，Ｎｓｌｏｏｋｕｐ，Ｐｉｎｇ与 ＰａｔｈＰｉｎｇ，Ｔｒａｃｅｒｔ等信息查询。

    攻击所需的基本信息如表３．１所示。

     表３．Ｉ信息收集所需的信息 信息种类简单说明 对象信息组织性质，联系方式，机构组织等 域名信息域名服务器，网管联系人，邮件服务器以及.

上一篇：数据库安全增强系统模型的研究
下一篇：“文化力”的认识和发展1805字