渗透测试工具简介1什么是渗透测试

渗透测试工具简介1什么是渗透测试

黑客利用计算机或者网络等的弱点获取访问，比方使用密码破解算法获取对系统的访问权限。黑客可使用计算机进行欺诈行为，例如欺诈，侵犯隐私，窃取公司/个人数据等。网络犯罪每年使许多组织损失数百万美元。企业需要保护自己免受此类攻击。

黑客是发现并利用计算机系统和/或者网络中的弱点来获取访问权的人。黑客通常是具备计算机安全知识的熟练计算机程序员。

黑客根据其行为的用意进行分类。以下列表根据黑客的用意对黑客进行了分类。

黑客类型

图片.png

道德黑客（白帽子White Hat）：访问系统以修复已发现的弱点。他们还可以执行渗透测试和漏洞评估。

图片.png

Cracker（黑帽子 Black hat）：未经受权访问计算机系统。目的通常是窃取公司数据，侵犯隐私权，从银行账户转移资金等。

图片.png

灰帽子（Grey hat）：介于道德黑客和黑帽黑客之间。在没有权限的情况下闯入计算机系统，以识别弱点并将其显示给系统所有者。

图片.png

脚本小子：使用已经制作的工具访问计算机系统的非技术人员。

图片.png

黑客活动家：利用黑客发送社交，宗教和政治等信息。通常是通过劫持网站并将消息留在被劫持的网站上。

图片.png

Phreaker：识别和利用电话而不是计算机的弱点的黑客。

什么是网络犯罪？

网络犯罪是利用计算机和网络进行非法活动，如传播计算机病毒，在线欺凌，进行未经受权的电子资金转移等。大多数网络犯罪都是通过互联网进行的。少量网络犯罪也可以通过短信和在线聊天进行。

参考资料

• 探讨qq群144081101 591302926 567351477 钉钉免费群21745728
• 本文最新版本地址
• 本文涉及的python测试开发库 谢谢点赞！
• 本文相关海量书籍下载

网络犯罪的类型

• 计算机欺诈(Computer Fraud)：通过使用计算机系统成心欺骗个人利益。

• 隐私侵权(Privacy violation)：在社交媒体，网站等上公开个人信息，如电子邮件地址，电话号码，帐户详细信息等。

• 身份盗窃(Identity Theft)：窃取某人的个人信息并冒充该人。

• 共享受版权保护的文件/信息(Sharing copyrighted files/information)：分发受版权保护的文件，如电子书和计算机程序等。

• 电子资金转账(Electronic funds transfer)：取得未经受权的银行电脑网络访问和非法资金转账。

• 电子洗钱(Electronic money laundering)：使用计算机洗钱。

• ATM欺诈(ATM Fraud)：阻拦ATM卡详细信息，如帐号和PIN号。而后从截取的账户中提取资金。

• 拒绝服务攻击(Denial of Service Attacks)：在多个位置使用计算机来攻击服务器，使其不能正常服务。

• 垃圾邮件(Spam)：发送未经受权的电子邮件。这些电子邮件通常包含广告。

什么是道德黑客？

识别计算机系统和/或者计算机网络等的弱点，并采取保护弱点的对策。道德黑客必需遵守以下规则。

• 在黑客入侵之前取得计算机系统和/或者计算机网络所有者的书面许可。
• 保护被黑客攻击的组织的隐私。
• 透明地向组织报告计算机系统中所有已识别的弱点。
• 告知硬件和软件供应商已发现的弱点。

渗透测试工具简介2安全威胁

计算机系统威胁是指导致数据丢失或者损坏或者对硬件和/或者基础设备造成物理损坏。这些威胁可能是成心的、偶然的，也可能是自然灾害造成的。

安全威胁详情

安全威胁被定义为可能对计算机系统和组织造成潜在危害的风险。起因可能是物理的，例如有人偷了包含重要数据的计算机。也可能是非物理因素，例如病毒攻击。

图片.png

物理威胁

物理威胁是可能导致计算机系统丢失或者物理损坏的事故的潜在起因。

• 内部：火灾，不稳固的电源，湿度等。
• 外部：这些威胁包括闪电，洪水，地震等。
• 人：盗窃，破坏基础设备/或者硬件，意外或者成心。

为了保护计算机系统免受上述物理威胁，组织必需采取物理安全控制措施。

非物理威胁

• 系统数据丢失或者损坏
• 计算机系统损坏
• 丢失敏感信息
• 非法监测计算机系统的活动
• 网络安全漏洞
• 其余

起因有:

• 病毒
• 木马
• 蠕虫
• 间谍软件
• 键盘记录器
• 广告软件
• 拒绝服务攻击
• 分布式拒绝服务攻击
• 未经受权访问
• 网络钓鱼
• 其余计算机安全风险

为了防范病毒，特洛伊木马，蠕虫等，组织可以使用防病毒软件。除了防病毒软件之外，还可以对外部存储设施的使用进行控制，组织未经受权的程序下载到服务器。

通过使用身份验证方法可以防止未经受权访问计算机系统资源。身份验证方法可以是客户ID和强密码，智能卡或者生物识别(比方人脸检测)等形式。

入侵检测/防御系统可用于防止拒绝服务攻击。还可以采取其余措施来避免拒绝服务攻击。