問(wèn)題一：什么是滲透測(cè)試 我個(gè)人的感覺(jué)是，滲透包含很多，數(shù)據(jù)庫(kù)， 等各種語(yǔ)言，Http等協(xié)議！代碼審計(jì)！這些也可以在學(xué)習(xí)中不斷的接觸到,這些的都是web滲透，腳本滲透還要學(xué)，java,c++ 等！學(xué)海無(wú)涯！ 問(wèn)題二：什么是滲透測(cè)試啊？ 就是 幫客戶真正解決安1全問(wèn)題。推薦安識(shí)科技 問(wèn)題三：什么是滲透測(cè)試服務(wù)？這個(gè)介紹的真詳細(xì) 你好。沒(méi)有太明白你的意思呢，請(qǐng)問(wèn)你是想了解滲透測(cè)試流程呢還是想找人幫你做滲透測(cè)試，如果都有，那我來(lái)回答一下你的這個(gè)問(wèn)題。 滲透測(cè)試 在黑客之前找到可導(dǎo)致企業(yè)數(shù)據(jù)泄露、資損、業(yè)務(wù)被篡改等危機(jī)的漏洞，企業(yè)可對(duì)漏洞進(jìn)行應(yīng)急響應(yīng)、及時(shí)修復(fù)。避免對(duì)企業(yè)的業(yè)務(wù)、用戶及資金造成損害。 一、工具原料： 1、android APP包 2、安應(yīng)用 二、APP和網(wǎng)站的滲透測(cè)試不太一樣，我給你介紹一個(gè)android的滲透測(cè)試步驟吧： 1、組件安全檢測(cè)。 對(duì)Activity安全、Broadcast Receiver安全、Service安全、Content Provider安全、Intent安全和WebView的規(guī)范使用檢測(cè)分析，發(fā)現(xiàn)因?yàn)槌绦蛑胁灰?guī)范使用導(dǎo)致的組件漏洞。 2、代碼安全檢測(cè) 對(duì)代碼混淆、Dex保護(hù)、SO保護(hù)、資源文件保護(hù)以及第三方加載庫(kù)的代碼的安全處理進(jìn)行檢測(cè)分析，發(fā)現(xiàn)代碼被反編譯和破解的漏洞。 3、內(nèi)存安全檢測(cè)。 檢測(cè)APP運(yùn)行過(guò)程中的內(nèi)存處理和保護(hù)機(jī)制進(jìn)行檢測(cè)分析，發(fā)現(xiàn)是否存在被修改和破壞的漏洞風(fēng)險(xiǎn)。 4、數(shù)據(jù)安全檢測(cè)。 對(duì)數(shù)據(jù)輸入、數(shù)據(jù)存儲(chǔ)、存儲(chǔ)數(shù)據(jù)類別、數(shù)據(jù)訪問(wèn)控制、敏感數(shù)據(jù)加密、內(nèi)存數(shù)據(jù)安全、數(shù)據(jù)傳輸、證書(shū)驗(yàn)證、遠(yuǎn)程數(shù)據(jù)通信加密、數(shù)據(jù)傳輸完整性、本地?cái)?shù)據(jù)通訊安全、會(huì)話安全、數(shù)據(jù)輸出、調(diào)試信息、敏感信息顯示等過(guò)程進(jìn)行漏洞檢測(cè)，發(fā)現(xiàn)數(shù)據(jù)存儲(chǔ)和處理過(guò)程中被非法調(diào)用、傳輸和竊取漏洞。 5、業(yè)務(wù)安全檢測(cè)。 對(duì)用戶登錄，密碼管理，支付安全，身份認(rèn)證，超時(shí)設(shè)置，異常處理等進(jìn)行檢測(cè)分析，發(fā)現(xiàn)業(yè)務(wù)處理過(guò)程中的潛在漏洞。 6、應(yīng)用管理檢測(cè)。 1）、下載安裝：檢測(cè)是否有安全的應(yīng)用發(fā)布渠道供用戶下載。檢測(cè)各應(yīng)用市場(chǎng)是否存在二次打包的惡意應(yīng)用； 2）、應(yīng)用卸載：檢測(cè)應(yīng)用卸載是否清除完全，是否殘留數(shù)據(jù)； 3）、版本升級(jí)：檢測(cè)是否具備在線版本檢測(cè)、升級(jí)功能。檢測(cè)升級(jí)過(guò)程是否會(huì)被第三方劫持、欺騙等漏洞； 三、如果是涉及到服務(wù)流程的話，通用流程是這樣的： 1、確定意向。 1）、在線填寫(xiě)表單：企業(yè)填寫(xiě)測(cè)試需求； 2）、商務(wù)溝通：商務(wù)在收到表單后，會(huì)立即和意向客戶取得溝通，確定測(cè)試意向，簽訂合作合同； 2、啟動(dòng)測(cè)試。 收集材料：一般包括系統(tǒng)帳號(hào)、穩(wěn)定的測(cè)試環(huán)境、業(yè)務(wù)流程等。 3、執(zhí)行測(cè)試。 1）、風(fēng)險(xiǎn)分析：熟悉系統(tǒng)、進(jìn)行風(fēng)險(xiǎn)分析，設(shè)計(jì)測(cè)試風(fēng)險(xiǎn)點(diǎn)； 2）、漏洞挖掘：安全測(cè)試專家分組進(jìn)行安全滲透測(cè)試，提交漏洞； 3）、報(bào)告匯總：匯總系統(tǒng)風(fēng)險(xiǎn)評(píng)估結(jié)果和漏洞，發(fā)送測(cè)試報(bào)告。 4、交付完成。 1）、漏洞修復(fù)：企業(yè)按照測(cè)試報(bào)告進(jìn)行修復(fù)； 2）、回歸測(cè)試：雙方依據(jù)合同結(jié)算測(cè)試費(fèi)用，企業(yè)支付費(fèi)用。 問(wèn)題四：安卓滲透是什么意思，網(wǎng)上看到好多安卓滲透軟件，干什么用的？ 先把這個(gè)詞分為兩部分來(lái)解讀：是一種基于Linux的自由及開(kāi)放源代碼的操作系統(tǒng)，主要使用于移動(dòng)設(shè)備，如智能手機(jī)和平板電腦，由Google公司和開(kāi)放手機(jī)聯(lián)盟領(lǐng)導(dǎo)及開(kāi)發(fā)。尚未有統(tǒng)一中文名稱，中國(guó)大陸地區(qū)較多人使用“安卓”或“安致”。Android操作系統(tǒng)最初由Andy Rubin開(kāi)發(fā)，主要支持手機(jī)。2005年8月由Google收購(gòu)注資。2007年11月，Google與84家硬件制造商、軟件開(kāi)發(fā)商及電信營(yíng)運(yùn)商組建開(kāi)放手機(jī)聯(lián)盟共同研發(fā)改良Android系統(tǒng)。隨后Google以Apache開(kāi)源許可證的授權(quán)方式，發(fā)布了Android的源代碼。第一部Android智能手機(jī)發(fā)布于2008年10月。Android逐漸擴(kuò)展到平板電腦及其他領(lǐng)域上，如電視、數(shù)碼相機(jī)、游戲機(jī)等。2011年第一季度，Android在全球的市場(chǎng)份額首次超過(guò)塞班系統(tǒng)，躍居全球第一。 2013年的第四季度，Android平臺(tái)手機(jī)的全球市場(chǎng)份額已經(jīng)達(dá)到。[1] 2013年09月24日谷歌開(kāi)發(fā)的操作系統(tǒng)Android在迎來(lái)了5歲生日，全世界采用這款系統(tǒng)的設(shè)備數(shù)量已經(jīng)達(dá)到10億臺(tái)。2.滲透，這里的滲透指的是滲透測(cè)試，而滲透測(cè)試是為了證明網(wǎng)絡(luò)防御按照預(yù)期計(jì)劃正常運(yùn)行而提供的一種機(jī)制。不妨假設(shè)，你的公司定期更新安全策略和程序，時(shí)時(shí)給系統(tǒng)打補(bǔ)丁，并采用了漏洞掃描器等工具，以確保所有補(bǔ)丁都已打上。如果你早已做到了這些，為什么還要請(qǐng)外方進(jìn)行審查或滲透測(cè)試呢？因?yàn)椋瑵B透測(cè)試能夠獨(dú)立地檢查你的網(wǎng)絡(luò)策略，換句話說(shuō)，就是給你的系統(tǒng)安了一雙眼睛。而且，進(jìn)行這類測(cè)試的，都是尋找網(wǎng)絡(luò)系統(tǒng)安全漏洞的專業(yè)人士。 結(jié)合起來(lái)來(lái)說(shuō)就是“ 安卓平臺(tái)的相關(guān)漏洞挖掘和測(cè)試， 端口掃描漏洞發(fā)現(xiàn)對(duì)路由器掃描偽造數(shù)據(jù)包會(huì)話控制(需要MSF RPC 連接)中間人攻擊密碼破解有能力可以攻占路由器 常用軟件：dsploit，Network Spoofer，zANTI，DroidSheep 上圖為zanti軟件運(yùn)行截圖。 相關(guān)書(shū)籍： Android惡意代碼分析與滲透測(cè)試 Android系統(tǒng)安全...等 問(wèn)題五：滲透測(cè)試學(xué)習(xí)些啥呀？ 去看看白帽子講web安全吧 問(wèn)題六：滲透測(cè)試的滲透測(cè)試分類 實(shí)際上滲透測(cè)試并沒(méi)有嚴(yán)格的分類方式，即使在軟件開(kāi)發(fā)生命周期中，也包含了滲透測(cè)試的環(huán)節(jié)，但根據(jù)實(shí)際應(yīng)用，普遍認(rèn)同的幾種分類方法如下： 1、黑箱測(cè)試黑箱測(cè)試又被稱為所謂的“Zero-Knowledge Testing”，滲透者完全處于對(duì)系統(tǒng)一無(wú)所知的狀態(tài)，通常這類型測(cè)試，最初的信息獲取來(lái)自于DNS、Web、Email及各種公開(kāi)對(duì)外的服務(wù)器。2、白盒測(cè)試白盒測(cè)試與黑箱測(cè)試恰恰相反，測(cè)試者可以通過(guò)正常渠道向被測(cè)單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)?、員工資料甚至網(wǎng)站或其它程序的代碼片斷，也能夠與單位的其它員工（銷售、程序員、管理者……）進(jìn)行面對(duì)面的溝通。這類測(cè)試的目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作。3、隱秘測(cè)試隱秘測(cè)試是對(duì)被測(cè)單位而言的，通常情況下，接受滲透測(cè)試的單位網(wǎng)絡(luò)管理部門(mén)會(huì)收到通知：在某些時(shí)段進(jìn)行測(cè)試。因此能夠監(jiān)測(cè)網(wǎng)絡(luò)中出現(xiàn)的變化。但隱秘測(cè)試則被測(cè)單位也僅有極少數(shù)人知曉測(cè)試的存在，因此能夠有效地檢驗(yàn)單位中的信息安全事件監(jiān)控、響應(yīng)、恢復(fù)做得是否到位。 1、主機(jī)操作系統(tǒng)滲透對(duì)Windows、Solaris、AIX、Linux、SCO、SGI等操作系統(tǒng)本身進(jìn)行滲透測(cè)試。2、數(shù)據(jù)庫(kù)系統(tǒng)滲透對(duì)MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試。3、應(yīng)用系統(tǒng)滲透對(duì)滲透目標(biāo)提供的各種應(yīng)用，如ASP、CGI、JSP、PHP等組成的WWW應(yīng)用進(jìn)行滲透測(cè)試。4、網(wǎng)絡(luò)設(shè)備滲透對(duì)各種防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試。 問(wèn)題七：滲透測(cè)試中的webshell指的是什么 主要是做： 1、負(fù)責(zé)滲透測(cè)試技術(shù)服務(wù)實(shí)施，編寫(xiě)滲透測(cè)試報(bào)告； 2、負(fù)責(zé)滲透測(cè)試技術(shù)交流、培訓(xùn)； 3、負(fù)責(zé)代碼審計(jì)、漏洞檢測(cè)與驗(yàn)證、漏洞挖掘； 4、負(fù)責(zé)最新滲透測(cè)試技術(shù)學(xué)習(xí)、研究。 應(yīng)聘這樣的職位有一定的職業(yè)要求： 1、熟悉交換路由等網(wǎng)絡(luò)協(xié)議、熟悉ACL、NAT等技術(shù)、熟悉網(wǎng)絡(luò)產(chǎn)品配置和工作原理；熟悉LINUX、AIX等操作系統(tǒng)安全配置；熟悉ORACLE、MSSQL、MYSQL等數(shù)據(jù)庫(kù)安全配置；熟悉WEB、FTP、郵件等應(yīng)用安全配置； 2、能熟練使用各類滲透測(cè)試工具，熟悉手工注入、上傳、中間人攻擊測(cè)試、業(yè)務(wù)邏輯漏洞測(cè)試； 3、熟悉HTML、XML、ASP、PHP、JSP等腳本語(yǔ)言，會(huì)使用C/C++、JAVA、、PYTHON等進(jìn)行程序開(kāi)發(fā)； 4、熟悉木馬、后門(mén)技術(shù)、SHELLCODE技術(shù)、免殺技術(shù)、密碼破解技術(shù)、漏洞挖掘技術(shù)、遠(yuǎn)程控制技術(shù)等。 問(wèn)題八：滲透測(cè)試的滲透測(cè)試 滲透測(cè)試 (penetration test)并沒(méi)有一個(gè)標(biāo)準(zhǔn)的定義，國(guó)外一些安全組織達(dá)成共識(shí)的通用說(shuō)法是：滲透測(cè)試是通過(guò)模擬惡意黑客的攻擊方法，來(lái)評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。這個(gè)過(guò)程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析，這個(gè)分析是從一個(gè)攻擊者可能存在的位置來(lái)進(jìn)行的，并且從這個(gè)位置有條件主動(dòng)利用安全漏洞。換句話來(lái)說(shuō)，滲透測(cè)試是指滲透人員在不同的位置（比如從內(nèi)網(wǎng)、從外網(wǎng)等位置）利用各種手段對(duì)某個(gè)特定網(wǎng)絡(luò)進(jìn)行測(cè)試，以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，然后輸出滲透測(cè)試報(bào)告，并提交給網(wǎng)絡(luò)所有者。網(wǎng)絡(luò)所有者根據(jù)滲透人員提供的滲透測(cè)試報(bào)告，可以清晰知曉系統(tǒng)中存在的安全隱患和問(wèn)題。我們認(rèn)為滲透測(cè)試還具有的兩個(gè)顯著特點(diǎn)是：滲透測(cè)試是一個(gè)漸進(jìn)的并且逐步深入的過(guò)程。滲透測(cè)試是選擇不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊方法進(jìn)行的測(cè)試。作為網(wǎng)絡(luò)安全防范的一種新技術(shù)，對(duì)于網(wǎng)絡(luò)安全組織具有實(shí)際應(yīng)用價(jià)值。但要找到一家合適的公司實(shí)施滲透測(cè)試并不容易。 問(wèn)題九：滲透測(cè)試工程師要掌握什么技術(shù) 我個(gè)人的感覺(jué)是，滲透包含很多，數(shù)據(jù)庫(kù)， 等各種語(yǔ)言，Http等協(xié)議！代碼審計(jì)！這些也可以在學(xué)習(xí)中不斷的接觸到,這些的都是web滲透，腳本滲透還要學(xué)，java,c++ 等！學(xué)海無(wú)涯！ 問(wèn)題十：滲透工程師是做什么的? 主要是做： 1、負(fù)責(zé)滲透測(cè)試技術(shù)服務(wù)實(shí)施，編寫(xiě)滲透測(cè)試報(bào)告； 2、負(fù)責(zé)滲透測(cè)試技術(shù)交流、培訓(xùn)； 3、負(fù)責(zé)代碼審計(jì)、漏洞檢測(cè)與驗(yàn)證、漏洞挖掘； 4、負(fù)責(zé)最新滲透測(cè)試技術(shù)學(xué)習(xí)、研究。 應(yīng)聘這樣的職位有一定的職業(yè)要求： 1、熟悉交換路由等網(wǎng)絡(luò)協(xié)議、熟悉ACL、NAT等技術(shù)、熟悉網(wǎng)絡(luò)產(chǎn)品配置和工作原理；熟悉LINUX、AIX等操作系統(tǒng)安全配置；熟悉ORACLE、MSSQL、MYSQL等數(shù)據(jù)庫(kù)安全配置；熟悉WEB、FTP、郵件等應(yīng)用安全配置； 2、能熟練使用各類滲透測(cè)試工具，熟悉手工注入、上傳、中間人攻擊測(cè)試、業(yè)務(wù)邏輯漏洞測(cè)試； 3、熟悉HTML、XML、ASP、PHP、JSP等腳本語(yǔ)言，會(huì)使用C/C++、JAVA、、PYTHON等進(jìn)行程序開(kāi)發(fā)； 4、熟悉木馬、后門(mén)技術(shù)、SHELLCODE技術(shù)、免殺技術(shù)、密碼破解技術(shù)、漏洞挖掘技術(shù)、遠(yuǎn)程控制技術(shù)等。