渗透测试简介
什么是渗透测试
黑客利用计算机或网络等的弱点获取访问,比如使用密码破解算法获取对系统的访问权限。黑客可使用计算机进行欺诈行为,例如欺诈,侵犯隐私,窃取公司/个人数据等。网络犯罪每年使许多组织损失数百万美元。企业需要保护自己免受此类攻击。
黑客是发现并利用计算机系统和/或网络中的弱点来获取访问权的人。黑客通常是具有计算机安全知识的熟练计算机程序员。
黑客根据其行为的意图进行分类。以下列表根据黑客的意图对黑客进行了分类。
黑客类型
道德黑客(白帽子White Hat):访问系统以修复已发现的弱点。他们还可以执行渗透测试和漏洞评估。
Cracker(黑帽子 Black hat):未经授权访问计算机系统。目的通常是窃取公司数据,侵犯隐私权,从银行账户转移资金等。
灰帽子(Grey hat):介于道德黑客和黑帽黑客之间。在没有权限的情况下闯入计算机系统,以识别弱点并将其显示给系统所有者。
脚本小子:使用已经制作的工具访问计算机系统的非技术人员。
黑客活动家:利用黑客发送社交,宗教和政治等信息。通常是通过劫持网站并将消息留在被劫持的网站上。
Phreaker:识别和利用电话而不是计算机的弱点的黑客。
什么是网络犯罪?
网络犯罪是利用计算机和网络进行非法活动,如传播计算机病毒,在线欺凌,进行未经授权的电子资金转移等。大多数网络犯罪都是通过互联网进行的。一些网络犯罪也可以通过短信和在线聊天进行。
参考资料
- 渗透测试书籍下载
- 讨论qq群144081101 591302926 567351477 钉钉免费群21745728
- 本文最新版本地址
- 本文涉及的python测试开发库 谢谢点赞!
- 本文相关海量书籍下载
网络犯罪的类型
计算机欺诈(Computer Fraud):通过使用计算机系统故意欺骗个人利益。
隐私侵权(Privacy violation):在社交媒体,网站等上公开个人信息,如电子邮件地址,电话号码,帐户详细信息等。
身份盗窃(Identity Theft):窃取某人的个人信息并冒充该人。
共享受版权保护的文件/信息(Sharing copyrighted files/information):分发受版权保护的文件,如电子书和计算机程序等。
电子资金转账(Electronic funds transfer):获得未经授权的银行电脑网络访问和非法资金转账。
电子洗钱(Electronic money laundering):使用计算机洗钱。
ATM欺诈(ATM Fraud):拦截ATM卡详细信息,如帐号和PIN号。然后从截取的账户中提取资金。
拒绝服务攻击(Denial of Service Attacks):在多个位置使用计算机来攻击服务器,使其不能正常服务。
垃圾邮件(Spam):发送未经授权的电子邮件。这些电子邮件通常包含广告。
什么是道德黑客?
识别计算机系统和/或计算机网络等的弱点,并采取保护弱点的对策。道德黑客必须遵守以下规则。
- 在黑客入侵之前获得计算机系统和/或计算机网络所有者的书面许可。
- 保护被黑客攻击的组织的隐私。
- 透明地向组织报告计算机系统中所有已识别的弱点。
- 告知硬件和软件供应商已发现的弱点。
安全威胁
计算机系统威胁是指导致数据丢失或损坏或对硬件和/或基础设施造成物理损坏。这些威胁可能是故意的、偶然的,也可能是自然灾害造成的。
安全威胁介绍
安全威胁被定义为可能对计算机系统和组织造成潜在危害的风险。原因可能是物理的,例如有人偷了包含重要数据的计算机。也可能是非物理因素,例如病毒攻击。
物理威胁
物理威胁是可能导致计算机系统丢失或物理损坏的事故的潜在原因。
- 内部:火灾,不稳定的电源,湿度等。
- 外部:这些威胁包括闪电,洪水,地震等。
- 人:盗窃,破坏基础设施/或硬件,意外或故意。
为了保护计算机系统免受上述物理威胁,组织必须采取物理安全控制措施。
非物理威胁
- 系统数据丢失或损坏
- 计算机系统损坏
- 丢失敏感信息
- 非法监测计算机系统的活动
- 网络安全漏洞
- 其他
原因有:
- 病毒
- 木马
- 蠕虫
- 间谍软件
- 键盘记录器
- 广告软件
- 拒绝服务攻击
- 分布式拒绝服务攻击
- 未经授权访问
- 网络钓鱼
- 其他计算机安全风险
为了防范病毒,特洛伊木马,蠕虫等,组织可以使用防病毒软件。除了防病毒软件之外,还可以对外部存储设备的使用进行控制,组织未经授权的程序下载到服务器。
通过使用身份验证方法可以防止未经授权访问计算机系统资源。身份验证方法可以是用户ID和强密码,智能卡或生物识别(比如人脸检测)等形式。
入侵检测/防御系统可用于防止拒绝服务攻击。还可以采取其他措施来避免拒绝服务攻击。
