《使用Nessus进行渗透测试》- 基础

时间 2019-12-04

标签使用Nessus进行渗透测试基础繁體版

原文原文链接

漏洞评估与渗透测试

在IT系统中漏洞能够被定义为在系统/架构潜在的弱点，能够利用它攻击系统。好比弱口令，能够暴力破解。漏洞评估肯定系统中的漏洞。渗透测试基于漏洞评估，并增长了入侵测试。python

漏洞评估的必要性

风险防范

风险包括：
•漏洞攻击致使的财务损失安全

•组织的声誉
•数据窃取
•保密失效危害
•不完整性危害
•不可用性危害架构

依从性危险

要符合相应的安全标准，好比：ISO 27001, PCI DSS和PA DSS等。测试

ISO 27001的部分标准下载：ISO-IEC_27002-2013 Code of practice for IS management (original).pdf和ISO-IEC_27001-2013 Requirements (original).pdf
ui

PCI DSS和PA DSS的文档参见：https://zh.pcisecuritystandards.org/minisite/en/spa

生命周期

建议基于测试的需求和业务目标，生命周期一般以下：
1.Scoping: 范围肯定
.net

2.Information gathering：信息收集
3.Vulnerability scanning：漏洞扫描
4.False positive analysis：负面分析
5.Vulnerability exploitation (Penetration Testing)：漏洞利用(渗透测试)
6.Report generation: 报告生成翻译

范围肯定

参考资料

做者博客：http://my.oschina.net/u/1433482orm
类型：翻译加整理生命周期
书籍下载： Learning Nessus for Penetration Testing - 2014.pdf