Pet*_*etr 12 security penetration-testing
我不知道渗透测试和其他形式的安全测试之间的区别.那个地区有经验的人可以告诉我不同之处吗?我真的很感激.另外,是否有任何模拟DoS的测试?我不知道如何防御它.
roo*_*ook 21
我是渗透测试员,我很乐意回答这个问题.
渗透测试通常是黑盒安全测试的一种形式.在笔测试中,您试图尽可能多地闯入服务器并报告它们如何能够闯入.这通常会多次进行以确保补丁保持水量.这是一种重要的安全测试类型,因为它是真实的世界.定期渗透测试是PCI-DSS的要求.Web应用程序渗透测试的常用工具是Acunetix($),NTOSpider($$$),w3af(开源)和Wapiti(开源).对于其他类型的渗透测试,通常使用Metasploit(开源),OpenVAS(开源),NMAP和THC-Hydra.
通过它的对比度白箱测试,你可以完全访问源代码.您可以在应用程序上启用药物,以便从Acuenetix等扫描仪获得更好的测试结果.您还可以使用源代码分析工具,如RATS(开源)和Coverity($$$$$).
有两种不同形式的拒绝服务攻击.最简单的是分布式拒绝服务攻击,其中黑客使用僵尸网络来充斥您的服务器流量.此流量可以是ICMP Ping,甚至是简单的HTTP GET请求.思科有许多非常昂贵的产品可以帮助防止此类攻击.
拒绝服务的另一种形式是当服务器出现问题时.当发现这种类型的安全漏洞时,通常会给出CVE编号,因为它违反了CWE-400.这通常是由于算术溢出或基于堆栈/堆的内存损坏(缓冲区溢出或悬空指针).要防止这些类型的攻击,您应该确保您的软件是最新的.通常不会在野外使用0天的DoS攻击.