安全滲透測試(學(xué)習(xí)滲透測試,需要哪些基礎(chǔ))

1.學(xué)習(xí)滲透測試,需要哪些基礎(chǔ)

滲透測試需要的基礎(chǔ)技能必須有網(wǎng)絡(luò)基礎(chǔ)、編程基礎(chǔ)、數(shù)據(jù)來庫基礎(chǔ)、操作系源統(tǒng)等基本技能。學(xué)習(xí)的話可以從html、css、js、編程語言、2113協(xié)議包分析、網(wǎng)絡(luò)互聯(lián)原理、數(shù)據(jù)庫語法等進(jìn)入，學(xué)習(xí)了這些基礎(chǔ)技能之后，就可以進(jìn)行滲透測試的深入5261學(xué)習(xí)了，如web方面的學(xué)習(xí)OWASP TOP 10漏洞挖掘、主機(jī)系統(tǒng)服務(wù)4102漏洞檢測、App漏洞檢測、內(nèi)網(wǎng)滲透等方面1653，最后當(dāng)然是能夠編寫滲透測試報(bào)告啦。

2.滲透測試需要哪些知識

滲透測試屬于信息安全行業(yè)，準(zhǔn)確的說是網(wǎng)絡(luò)計(jì)算機(jī)/IT行業(yè)知道它行業(yè)屬性，你大概就能清楚需要些什么樣的基礎(chǔ)知識了；下面是我從非計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)專業(yè)的同學(xué)想要學(xué)習(xí)滲透測試必須掌握的知識。

1）了解基本的網(wǎng)絡(luò)知識、什么是IP地址（63.626.11.23）、IP地址的基本概念、IP段劃分、什么是A段、B段、C段等廣域網(wǎng)、局域網(wǎng)、相關(guān)概念和IP地址劃分范圍。2）端口的基本概念？端口的分類？3）域名的基本概念、什么是URL、了解TCP/IP協(xié)議、5）了解開放式通信系統(tǒng)互聯(lián)參考模型（OSI）6）了解學(xué)習(xí)少量的數(shù)據(jù)庫。學(xué)習(xí)數(shù)據(jù)庫并了解它們是怎么工作的，下載各種數(shù)據(jù)庫看看，查找資料并試著設(shè)計(jì)一個簡單的數(shù)據(jù)庫，不用成為數(shù)據(jù)庫專家，了解基本知識將有很大的幫助。

4.安全測試中,需要關(guān)注哪些測試點(diǎn)

安全測試涵蓋的范圍很廣，在某種程度上你需要有比性能測試、自動化測試等更為廣泛的基礎(chǔ)知識。

在這里我簡單給大家一個自學(xué)路線：1. 掌握更多的軟件基本知識。例如ration test）并沒有一個標(biāo)準(zhǔn)的定義，國外一些安全組織達(dá)成共識的通用說法是：滲透測試是通過模擬惡意黑客的攻擊方法，來評估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。這個過程包括對系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動分析，這個分析是從一個攻擊者可能存在的位置來進(jìn)行的，并且從這個位置有條件主動利用安全漏洞。

換句話來說，滲透測試是指滲透人員在不同的位置（比如從內(nèi)網(wǎng)、從外網(wǎng)等位置）利用各種手段對某個特定網(wǎng)絡(luò)進(jìn)行測試，以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，然后輸出滲透測試報(bào)告，并提交給網(wǎng)絡(luò)所有者。網(wǎng)絡(luò)所有者根據(jù)滲透人員提供的滲透測試報(bào)告，可以清晰知曉系統(tǒng)中存在的安全隱患和問題。

我們認(rèn)為滲透測試還具有的兩個顯著特點(diǎn)是：滲透測試是一個漸進(jìn)的并且逐步深入的過程。滲透測試是選擇不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊方法進(jìn)行的測試。

作為網(wǎng)絡(luò)安全防范的一種新技術(shù)，對于網(wǎng)絡(luò)安全組織具有實(shí)際應(yīng)用價值。但要找到一家合適的公司實(shí)施滲透測試并不容易。