网站安全的渗透必要性

zguw1234

随着电子商务、电子政务的发展，越来越多重点单位和企业在安全上投入了巨大的精力和资金，但有时候用户会有这样的感受：当基本的软硬件设施配置好之后，安全防卫水平就到了一个相对的瓶颈，再加大投入并不能明显提高安全水平。实际上，这种情况在很多行业和企业中都存在，而在近几年兴起的“渗透测试”成为了解决该问题的技术亮点。

渗透测试是一种全新的安全防护思路，将安全防护从被动转换成了主动。正是因为看到了这一点，很多重点行业的企业越来越多地通过独立的第三方安全机构来进行“渗透测试”，以求更好的安全防护效果。

渗透测试是由专业安全公司模仿黑客，针对授权企业目标进行安全检测的方法。这个检测过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这种分析是站在攻击者角度进行的主动性探测，因此会发现使用传统检测方法无法发现的攻击路径、攻击方法和技术弱点。

早在上世纪70年代，美国军方就曾利用“渗透测试”发现了许多未知漏洞，甚至曾经雇佣黑客对目标镜像进行试探性攻击，从而促使软件编写者构建更强壮的计算机网络系统。后来，越来越多具有军方背景的机构开始使用这种方法，使得漏洞在暴露之前就被修复。

事实上，曾经在国内流行一时的“公开邀请黑客攻击自己网站，攻击成功可获大奖”的商业活动，其最初的模仿来源就是渗透测试，只不过加入了更多的商业元素，与市场活动结合有更好的推广效果。

渗透测试的效果依赖于测试目标，目前主要针对网站等Web系统，通常会测试以下内容：

1.拒绝服务攻击测试
拒绝服务测试指的是尝试通过耗尽测试目标的资源的方式来发现系统的特定弱点，这种方法会导致系统停止对合法请求的响应。通俗的讲，黑客可以控制几千台肉鸡，使用这些肉鸡向攻击目标发起大量连接请求，因为网站的带宽和系统资源总是有限的，当肉鸡把这些资源都消耗掉之后，正常的用户就无法正常使用了。
拒绝服务攻击通过配置一定的软硬件可以削弱和过滤，进行拒绝服务攻击测试，就是为了检查所配置的软硬件设备有没有达到应有的效果。如果没有达到效果，可以通过继续添加攻击特征来加强过滤。

2.应用安全性测试
现代企业的核心业务越来越多地通过Web应用实现，比如网络视频会议系统、全球性公司的内部业务系统、在线财务系统等，与网络连通之后必然会带来新的安全漏洞，使用防火墙和其他监控系统只能提高安全等级，但并不能彻底杜绝网络威胁。
应用安全性测试的目标是评估对应用的控制和在应用中流动信息的安全性。评估的方面包括应用是否使用加密方法来保护信息的保密性和完整性、用户是如何验证的、Internet用户会话与主机应用的完整性，以及Cookie的使用等。

3.社会工程学测试
社会工程学是个很时髦的词，但实际上含义很简单：通过欺骗和伪装，获取目标对象的好感和信任，从而获得想获取的信息。例如，国内有个公司是其他公司挖角的对象，但大家尝试了种种办法无法获取内部通讯录。有一天，有人在这个公司楼下贴了个小广告：小店开张全场八折，使用某公司的工卡购物，更能享受五折超低价……结果，你懂的。

来源：成都优创信安官方网站 www.nsexpert.com