安全渗透测试

　　渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。

渗透测试具有两个显著特点是：其一，渗透测试是一个渐进的并且逐步深入的过程。其二，渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。

第一类型：互联网渗透测试，是通过互联网发起远程攻击，比其他类型的渗透测试更能说明漏洞的严重性；

第二类型：合作伙伴网络渗透测试，通过接入第三方网络发起远程攻击；

第三类型：内网渗透测试，通过接入内部网络发起内部攻击。

渗透测试类型图如下：

图：渗透测试示意图

渗透测试主要内容：

ü  跨站脚本漏洞

ü  主机远程安全

ü  残留信息

ü  SQL注入漏洞

ü  系统敏感信息泄露

ü  弱口令

ü  零日漏洞验证

ü  CVE漏洞验证

ü  国家漏洞库漏洞验证

ü  未知漏洞挖掘

ü  Fuzzing测试

ü  DOS测试

ü  逆向工程分析

我公司的渗透测试流程：