渗透测试 - 道德黑客
互联网的快速发展改变了每个人的生活方式。如今,大多数私人和公共工程都依赖互联网。政府的所有秘密工作计划和运营都是基于互联网的。所有这些都使生活变得非常简单和容易获得。
但好消息是,这种发展也有黑暗的一面,即犯罪黑客。这些犯罪黑客没有地缘政治限制,他们可以在世界任何地方入侵任何系统。他们可以严重破坏机密数据和信用记录。
因此,为了防止犯罪黑客,道德黑客的概念应运而生。本章讨论了道德黑客的概念和作用。
谁是道德黑客?
道德黑客是合法允许入侵计算机系统的计算机专家,目的是防止犯罪黑客。道德黑客会识别系统的漏洞和风险,并提出消除方法。
谁是犯罪黑客?
犯罪黑客是那些入侵他人系统的计算机编程专家,他们意图窃取数据、窃取金钱、诽谤他人信誉、破坏他人数据、勒索他人等。
犯罪黑客能做什么?
一旦系统被黑客入侵,犯罪黑客就可以对该系统做任何事情。以下两张图片 C.C. Palmer 发表在 pdf.textfiles.com 上,展示了一个被黑客入侵页面的简单示例 −
这是被黑客入侵之前网页的截图 −
这是被黑客入侵后同一网页的截图 −
道德黑客的技能组合是什么?
专业的道德黑客拥有以下技能组合,可以合乎道德地入侵系统
他们必须是值得信赖。
无论他们在测试系统时发现什么风险和漏洞,他们都必须保密。
客户提供有关其系统基础设施的机密信息,例如 IP 地址、密码等。道德黑客需要对这些信息保密。
道德黑客必须具备计算机编程、网络和硬件方面的丰富知识。
他们应该具有良好的分析能力,能够分析情况并提前推测风险。
他们应该具备管理技能和耐心,因为渗透测试可能需要一天、一周甚至更长时间。
道德黑客做什么?
道德黑客在进行渗透测试时,基本上会尝试找到以下问题的答案 −
- 犯罪黑客可以攻击哪些弱点?
- 犯罪黑客可以在目标系统上看到什么?
- 犯罪黑客可以用这些机密信息做什么?
此外,道德黑客需要充分解决他发现的目标系统中存在的漏洞和风险。他需要解释并建议避免程序。最后,准备一份最终报告,记录他在进行渗透测试时所做的和观察到的所有道德活动。
黑客类型
黑客通常分为三类。
黑帽黑客
"黑帽黑客"是指拥有大量计算机软件和硬件的个人,其目的是破坏或绕过他人的互联网安全。黑帽黑客也被称为破解者或暗面黑客。
白帽黑客
"白帽黑客"是指有道德的计算机黑客,他们是计算机安全专家,专门从事渗透测试和其他相关测试方法。他的主要职责是确保组织信息系统的安全。
灰帽黑客
"灰帽黑客"是指破解计算机安全系统的计算机黑客,其道德标准介于纯粹的道德和纯粹的恶意之间。