渗透测试是IT安全厂商的安全漏洞管理项目中最重要的一环。不过,Fortify公司联合创始人Brian Chess在数年前就已经宣称这一技术已不再有用。
由于Fortify在开发层面寻找代码漏洞方面树立了权威,因此Chess的想法并没有被太多的人们质疑。目前Fortify已经被惠普收购。自从Chess的文章发表后,许多IT安全领域从业者发现,目前的事实是渗透测试可能还是有用处的。虽然具有更高的安全性的代码无疑将让互联网成为一个更为安全的地方,但是它们总是存在着没有被发现的漏洞。IT安全公司认为最大的漏洞来自在网络中被错误配置的设备。在这种情况下,即使软件自身没漏洞,这种漏洞也会被居心不良的人所利用,为他们的攻击敞开大门。
由于渗透测试依然是安全领域中一个重要的工具。因此对于安全领域内的新手来说,理解网络压力测试的基础知识非常重要。
这是关于安全漏洞管理的三部分系列文章的第三部分。在第一部分中,我们探讨了怎样做好安全漏洞管理;在第二部分中,我们着重探讨了怎样选择扫描工具。
· 渗透测试者发现最常见的问题是拒绝服务。渗透测试团队常常会失去自制力,对系统来进行过度攻击。因此:
他指出在人力和时间上,渗透测试代价比较昂贵,因此对这种非常规方法的运用必须要更为理智,不要对那些显而易见的漏洞进行渗透测试。
Northcutt 称:“让技术极为高超的团队去寻找那些显而易见的漏洞没有一点意义。首先,使用漏洞扫描仪并修补这样一些问题。然后再考虑使用诸如Core Impact或Canvas Immunisec等漏洞检测工具检测这样一些问题。”
他指出,渗透测试被用于测试网络或安全措施的外围安全。需要在许多方面做测试:建筑物、服务器或网络的外围安全一定要进行定期测试。要是被居心不良有人发现这些漏洞,那么他们将给你带来灾难性后果。
每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。
霸榜热搜、带火旅游…《黑神话:悟空》首批玩家说了这些“赞点”和“槽点”
TechWeb微晚报:苹果官宣9月10日举行新品发布会,拼多多股价大跌28%
苹果秋季新品发布会9月10日凌晨1点开始 iPhone 16等新品将登场
消息称苹果下月可能停售11款产品 包括iPhone 15 Pro和Pro Max
青云QingCloud EHPC 打造即买即用的全流程SaaS化超算服务
蚂蚁链发布BTN:可将区块链网络吞吐量提升186% 带宽成本降低80%
蚂蚁自研数据库OceanBase宣布开源 300万行核心代码向社区开放