什么是渗透测试?如何做渗透测试?
渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立地检查你的网络策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的专业人士。
渗透测试一定要遵循软件测试基本流程,要知道测试过程和目标特殊,在具体实施步骤上主要包含以下几步:
1、明确目标
当测试人员拿到需要做渗透测试的项目时,首先确定测试需求,如测试是针对业务逻辑漏洞,还是针对人员管理权限漏洞等;然后确定客户要求渗透测试的范围,如ip段、域名、整站渗透或者部分模块渗透等;最后确定渗透测试规则,如能够渗透到什么程度,是确定漏洞为止还是继续利用漏洞进行更进一步的测试,是否允许破坏数据、是否能够提升权限等。
2、收集信息
在信息收集阶段要尽量收集关于项目软件的各种信息。比如:对于一个Web应用程序,要收集脚本类型、服务器类型、数据库类型以及项目所用到的框架、开源软件等。信息收集对于渗透测试来说非常重要,只要掌握目标程序足够多的信息,才能更好地进行漏洞检测。
信息收集的方式可分为以下2种:主动收集、被动收集。
3、扫描漏洞
在这个阶段,综合分析收集到的信息,借助扫描工具对目标程序进行扫描,查找存在的安全漏洞。
4、验证漏洞
在扫描漏洞阶段,测试人员会得到很多关于目标程序的安全漏洞,但这些漏洞有误报,需要测试人员结合实际情况,搭建模拟测试环境对这些安全漏洞进行验证。被确认的安全漏洞才能被利用执行攻击。
5、分析信息
经过验证的安全漏洞就可以被利用起来向目标程序发起攻击,但是不同的安全漏洞,攻击机制不同,针对不同的安全漏洞需要进一步分析,制定一个详细的攻击计划,这样才能保证测试顺利执行。
6、渗透攻击
渗透攻击实际是对目标程序进行的真正攻击,为了达到测试的目的,像是获取用户账号密码、截取目标程序传输数据等。渗透测试是一次性测试,在攻击完成后能够执行清理工作。
7、整理信息
渗透攻击完成后,整理攻击所获得的信息,为后边编写测试报告提供依据。
8、编写报告
测试完成之后要编写报告,阐述项目安全测试目标、信息收集方式、漏洞扫描工具以及漏洞情况、攻击计划、实际攻击结果等。此外,还要对目标程序存在的漏洞进行分析,提供安全有效的解决办法。
用渗透压解释菠菜白菜为什么冬日更甜
蔬菜进入冬天后其口感确实比夏秋生产的蔬菜口感好一些,甜味明显,但这于植物生理学中的渗透压没有什么必然的联系。
一、关于渗透压的问题:所谓渗透压,是指溶液中溶质微粒对水的吸引力。溶液渗透压的大小取决于单位体积溶液中溶质微粒的数目:溶质微粒越多,即溶液浓度越高,对水的吸引力越大,溶液渗透压越高;反过来,溶质微粒越少,即与无机盐、蛋白质的含量有关。在组成细胞外液的各种无机盐离子中,含量上占有明显优势的是Na+和Cl-,细胞外液渗透压的90%以上来源于Na+和Cl-。在37℃时,人的血浆渗透压约为770kPa,相当于细胞内液的渗透压。
二、蔬菜在冬天为什么更甜的问题:瓜果蔬菜在常温下,体内含有大量的淀粉,而淀粉不溶于水,淀粉无甜味。在冬季低温环境中,蔬菜具有抗冻的应激性,淀粉在淀粉酶的催化下水解成麦芽糖,再经过麦芽糖酶变成葡萄糖,这样蔬菜、水果的含糖量也就增加了,糖量增加就不易结冻,所以大多数蔬菜经过打霜后有甜味。
将菠菜叶表皮细胞和人的口腔上皮细胞制成装片,从盖玻片的一侧滴入0.3g/mL的蔗糖溶液,另一侧用吸水纸吸
0.3g/mL的蔗糖溶液浓度大于菠菜叶表皮细胞的细胞液度和口腔上皮细胞的细胞质浓度,因此滴入0.3g/mL的蔗糖溶液后,这两种细胞均会发生渗透失水.由于植物细胞最外面是细胞壁,因此会出现原生质层与细胞壁分离的显现象,即质壁分离;而动物细胞没有细胞壁,因此只会发生失水皱缩,不能发生质壁分离.
故选:D.
0条大神的评论