<ruby id="h6500"><table id="h6500"></table></ruby>

    1. 

      3. <ruby id="h6500"><video id="h6500"></video></ruby>
        3. 

          4. <progress id="h6500"><u id="h6500"><form id="h6500"></form></u></progress>
            

            


            
  	
  	
            
  		
              
  			
            • 軟件測試技術(shù)
              • 
  			
            • 軟件測試博客
              • 
  			
            • 軟件測試視頻
              • 
  			
            • 開(kāi)源軟件測試技術(shù)
              • 
  			
            • 軟件測試論壇
              • 
  			
            • 軟件測試沙龍
              • 
  			
            • 軟件測試資料下載
              • 
  			
            • 軟件測試雜志
              • 
  			
            • 軟件測試人才招聘
              • 
  		
            
  	
            

            
  
  
  
  
            
  	
            

            
    
    
    
            
  	
            
  	
            


              
暫時(shí)沒(méi)有公告

            

            

  	
            
  
            
  

            


            

            

            
  		
  		
  		
            
  			
            
          
字號:    |
推薦給好友
 上一篇 |
下一篇
        
            
        
            如何執行一個(gè)網(wǎng)絡(luò )滲透測試
            
        
            
          發(fā)布: 2011-1-24 15:44 |
作者: 網(wǎng)絡(luò )轉載 |
來(lái)源: 
領(lǐng)測軟件測試網(wǎng)采編 |
查看: 228次 | 進(jìn)入軟件測試論壇討論
        
            
        
            
        領(lǐng)測軟件測試網(wǎng)

            如何執行一個(gè)網(wǎng)絡(luò )滲透測試
            

              一個(gè)良好的滲透測試是什么組成的?
            

              雖然執行一個(gè)滲透測試有許多明顯的優(yōu)點(diǎn)——執行滲透測試的價(jià)值在于它的結果。這些結果必須是有價(jià)值的,而且對于客戶(hù)來(lái)說(shuō)必須是很容易理解的。有一個(gè)常見(jiàn)的誤解是認為滲透測試只是使用一些時(shí)髦的自動(dòng)化安全工具,并處理所生成的報告。但是,成功執行一個(gè)浸透測試并不僅僅是需要安全工具。雖然這些自動(dòng)化安全測試工具在實(shí)踐中扮演了重要的角色,但是它們也是有缺點(diǎn)的。事實(shí)上,這些工具一直無(wú)法真正模擬一個(gè)高深攻擊者的行為。不管安全工具完成的報告有多么全面,其中總是有一些需要解釋的問(wèn)題。
            

              讓我們看看構成一個(gè)良好滲透測試的一些關(guān)鍵因素:
            

              •建立參數:定義工作范圍是執行一個(gè)成功滲透測試的第一步,也是最重要的一步。這包括定義邊界、目標和過(guò)程驗證(成功條件)。
            

              •專(zhuān)業(yè)人員:配備技術(shù)熟練和經(jīng)驗豐富的咨詢(xún)人員執行測試——他們了解自己要做什么。換句話(huà)說(shuō),專(zhuān)業(yè)人員與一般人員是不同的。要保證他們是:
            

              o 能勝任的
            

              o經(jīng)驗豐富的
            

              o遵守保密協(xié)議
            

              •選擇足夠的測試集:手工的和自動(dòng)的都會(huì )影響成功/效益之間的最佳平衡。
            

              •遵循正確的方法:這并不是猜謎游戲。所有方面都需要規劃、文檔化和符合要求。
            

              •結果值:結果應該詳細地寫(xiě)入文檔,并且要盡力使它們能被客戶(hù)所理解。不管是技術(shù)報告還是執行總結,都需要一些注釋。應用安排一些安全咨詢(xún)人員/測試人員來(lái)回復問(wèn)題或解釋結果。
            

              •測試結果與建議:這是滲透測試的一個(gè)非常重要的部分。最終的報告必須清晰地說(shuō)明成果,必須將成果與潛在的風(fēng)險對應。這應該會(huì )附帶產(chǎn)生一個(gè)基于最佳安全實(shí)踐方法的修正路線(xiàn)圖。
            

              在我們討論浸透測試中所使用的測試策略和技術(shù)之前,讓我們先看一些可能很有用的場(chǎng)景:
            

              •建立新的辦公室
            

              不管是建立新的公司或增加新的辦公點(diǎn),浸透測試都有助于確定網(wǎng)絡(luò )基礎架構中的潛在漏洞。例如,在增加新辦公點(diǎn)時(shí)執行內部測試是非常重要的,因為它會(huì )檢查網(wǎng)絡(luò )資源的可用性,并檢查這些辦公點(diǎn)之間傳輸的流量類(lèi)型。
            

              •部署新的網(wǎng)絡(luò )基礎架構
            

              每一個(gè)新的網(wǎng)絡(luò )基礎架構都應該能模擬黑客行為進(jìn)行全面的測試。當執行外部測試(預先不太了解基礎架構)來(lái)保證邊界安全性時(shí),我們也應該執行內部測試來(lái)保證網(wǎng)絡(luò )資源,如:服務(wù)器、存儲、路由和訪(fǎng)問(wèn)設備,在邊界受到攻擊時(shí)仍然是足夠安全的,而且基礎架構是能夠抗拒任何攻擊的。
            

              •修改/升級現有的基礎架構
            

              修改是不可避免的——可能是軟件、硬件或網(wǎng)絡(luò )設計,由于需要功能改進(jìn);修復重大缺陷和/或應用新的需求,都可能引起修改/升級。不管現有的基礎架構在什么時(shí)候發(fā)生變化,它都應該再次測試,以保證不會(huì )出現新的漏洞。必要測試的數量取決于基礎架構修改的特征和程度。細小的變化,如配置變更為特定規則,將只需要進(jìn)行端口掃描來(lái)保證預期的防火墻行為,而重大的變化,如關(guān)鍵設備/OS版本升級,可能就需要徹底重新測試。
            

              •部署新應用
            

              當基礎架構進(jìn)行徹底測試之后,新的應用(不管是連接Internet的或是在Intranet中)在部署到生產(chǎn)環(huán)境之前也都必須進(jìn)行安全性測試。這個(gè)測試需要在“實(shí)際的”平臺上進(jìn)行,以保證這個(gè)應用只使用預定義的端口,而且代碼本身也是安全的。
            

              •修改/升級一個(gè)現有應用
            

              隨著(zhù)基本架構發(fā)生變化,本質(zhì)上應用也會(huì )發(fā)生變化。細小的變化,如用戶(hù)帳號修改,都不需要測試。但是,重大的變化,包括應用功能變化,都應該徹底重新測試。
            

              •定期重復測試
            

              管理安全性并非易事,而公司不應該認為滲透測試就是所有安全問(wèn)題的最終解決辦法。如果這樣認為,那么他們只是相信了假的安全性。對敏感系統定期執行測試來(lái)保證不會(huì )出現不按計劃的變化,一直都是一個(gè)非常好的實(shí)踐方法。
            
            
            
            
            
            
              
            
                  
            延伸閱讀
            
      
            
                      
            
  
            
    

            
    
    
    
            		
    




  
            

            

                  
            
                
            
            
            
            
            

            文章來(lái)源于領(lǐng)測軟件測試網(wǎng) http://kjueaiud.com/
            











            

        
            
        
  		
            
  		
  		
  		
  		
            

  		

            
  		

            

            

            


            










            
    
    
    

            







            
       

            

            

            
 

            

	

            

            
關(guān)于領(lǐng)測軟件測試網(wǎng) | 領(lǐng)測軟件測試網(wǎng)合作伙伴 | 廣告服務(wù) | 投稿指南 | 聯(lián)系我們 | 網(wǎng)站地圖 | 友情鏈接
            
版權所有(C) 2003-2010 TestAge(領(lǐng)測軟件測試網(wǎng))|領(lǐng)測國際科技(北京)有限公司|軟件測試工程師培訓網(wǎng) All Rights Reserved
            
北京市海淀區中關(guān)村南大街9號北京理工科技大廈1402室 京ICP備10010545號-5
            
技術(shù)支持和業(yè)務(wù)聯(lián)系:info@testage.com.cn 電話(huà):010-51297073
            

            

            


            
軟件測試 | 領(lǐng)測國際ISTQBISTQB官網(wǎng)TMMiTMMi認證國際軟件測試工程師認證領(lǐng)測軟件測試網(wǎng)

            


            

            


 








 
        



老湿亚洲永久精品ww47香蕉图片_日韩欧美中文字幕北美法律_国产AV永久无码天堂影院_久久婷婷综合色丁香五月

              <ruby id="h6500"><table id="h6500"></table></ruby>
              1. 

                3. <ruby id="h6500"><video id="h6500"></video></ruby>
                  3. 

                    4. <progress id="h6500"><u id="h6500"><form id="h6500"></form></u></progress>