渗透测试是在具有安全授权的情况下,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,黑客的入侵和攻击需要利用目标系统的安全漏洞和弱点,渗透测试采用同样的测试原理、方法、工具和路径,所以可以模拟真实黑客入侵的过程,黑客攻击的目的是窃取和破坏,而渗透测试的目的是提前于攻击者发现系统隐患,封堵漏洞,由于渗透测试采用可控的、非破坏性质的工具和方法,因此在验证安全性问题的同时不会对被测系统造成负面影响。在渗透测试结束后,系统将基本保持一致。 · 注入缺陷(如SQL、LDAP、OS指令、XPath、XQuery、XSLT、XML) · 业务逻辑漏洞 · 跨站脚本攻击(XSS) · 跨站请求伪造(CSRF) · 身份验证或会话管理不当 · 访问控制不当 · 缺少加密技术或加密算法使用不当 · 由于错误信息导致信息暴露 · 重定向开放 · 无法限制URL访问 · 不安全的直接对象应用或路径遍历 · 服务器配置错误 · 防火墙规则设定分析
|
山东太阳集团有限公司
地址:山东省济南市高新区汉峪金谷A三区4号楼16层
电话:0531-83532886
传真:0531-83532000
山东省公安厅 中国信息安全测评中心 中国信息安全认证中心 国家互联网信息中心 中国网络安全等级保护网 TIDE信息安全实验室 鲁ICP备10208374号-1
© 2000-2026版权所有 山东太阳集团有限公司 DESIGN BY XINGZHI