道德黑客是什么?
道德黑客是一个广泛的术语涵盖各种授权试图发现在计算机系统安全漏洞。渗透测试是一种道德黑客。这篇文章谈论道德黑客和显示为什么道德黑客是现代网络安全的基础,特别是web应用程序安全性。
你的信息将被保留私人。
你的信息将被保留私人。
道德黑客是谁?
让我们开始提醒人们,(尽管常见使用)“黑客”是一个中性的名词,不是消极的。在网络安全,黑客的人喜欢挑战的探索,探索,渗透计算机系统。黑客有广泛的了解潜在的技术和流程信息安全和本能地专注于寻找安全漏洞。一些扩展知识利用人性——在任何安全系统中最薄弱的一环社会工程技术。
当应用于安全发现和报告安全漏洞,这样他们就可以被修复,这些技能都构成道德黑客。道德黑客(也称为白帽黑客)集中精力使系统更安全,让网络罪犯之前现有的弱点可以利用它们。至关重要的是,白帽总是有权执行安全性测试(或者说他们应该稍后将进行更详细的讨论)。
这与黑帽黑客,不怀好意地应用黑客的心态。恶意黑客执行未经授权的安全测试发现安全漏洞和执行网络攻击对自己的利益和经济利益:提取敏感信息,妥协的用户帐户、执行拒绝服务或部署ransomware或web壳等恶意软件。在媒体上,你常常会听到人们使用“黑客”一词只有在网络犯罪的背景下。
是道德黑客渗透测试的一样吗?
渗透测试是许多道德黑客方法之一。渗透测试人员安全专业人士雇佣工作的定义范围和时间框架内穿透测试识别并利用尽可能多的漏洞,提供一个现实的照片当前被测系统的安全级别。渗透测试人员的工作是找到差距,利用他们像一个真正的攻击者会报告漏洞,建议对策。
近年来,“黑客”一词也被错误赏金平台会特别提到赏金猎人——道德黑客报告安全漏洞。虽然赏金猎人是类似于他们授权pentesters寻找入口点到被测试系统,渗透测试有一个严格定义的范围和更全面。赏金猎人,另一方面,可以自由选择自己的目标和可能专注于探索更有利可图的漏洞而不是找到一切。
道德黑客总是合法吗?
法律对道德黑客一直是一个有争议的话题。这种变化取决于管辖权时,所有未经授权的尝试探测系统安全性可以被视为非法行为,即使他们是诚信。尤其是在早期的网络安全,这对于道德黑客构成一个大问题,因为他们可能面临刑事指控只是报道,计算机系统是不安全的。
今天,许多公司遵循负责任的信息披露的政策,使其法律道德黑客报告任何漏洞,他们可能会发现在公司系统中,条件是他们不公开披露这一信息。理论上,该公司应该告知公众关于这样的问题,一旦他们被固定的,尽管这在实践中有很大的差别。许多公司现在也自由运行错误赏金计划邀请道德黑客调查组织的系统在指定的安全范围。
不过,一个一般规则仍然是:安全性测试不是一个游戏,运行未经授权的安全测试或未经授权访问系统你不拥有通常是非法的。以来这尤其适用于自动扫描工具,如端口扫描器和漏洞扫描器生成网络流量,可能会影响常规操作,可能被视为攻击企图。所以之前发射任何漏洞扫描,确保您有权测试网站,应用程序,或系统目标。Invicti,例如,它是不可能扫描网站漏洞验证你有合法的访问。
进一步阐明法律情况下,道德黑客认证和评估现在可用。虽然众说纷纭,这类证书的价值,一些组织(尤其是在政府和监管产业)可能只允许注册道德黑客执行安全测试系统。
用什么工具来进行道德黑客吗?
安全性测试通常依赖于使用同样的工具和方法真实的攻击者可能会利用——好人”通常限制避免或至少减少的影响。道德黑客工具包括自动扫描仪(如Nmap端口扫描)和各种手动工具,分析网络流量,制定包和请求,构建攻击有效载荷,和更多。同样,道德黑客技术需要包括所有的攻击者可能会使用的技巧,但没有行动,可能对生产系统造成负面影响。
对于网络安全测试,漏洞扫描器是一种常见的工具两岸的街垒。当他们开始生活相对简单的自动化工具,引领现代扫描仪现在包括成千上万的安全检查,可以高度准确,有些甚至可以自动利用漏洞来确认他们是真实的。这完全改变的动态web应用程序安全通过允许组织定期安全检测构建到他们日常工作流不用总是等待测试结果从一个专门的安全团队或外部安全测试。
特别是在大型和快速移动应用程序环境中,质量DAST解决方案是至关重要的识别url进行测试和自动发现许多常见的漏洞在整个企业范围内,包括SQL注入,跨站点脚本(XSS),本地文件包含。通过集成先进的漏洞扫描器到他们的开发和测试工作流程,组织可以照顾内部唾手可得在调用之前安全专家。渗透测试人员和赏金猎人可以集中精力更高级的攻击和业务逻辑漏洞,真正需要他们的道德黑客攻击技能。
web应用程序安全性的道德黑客
无论特定技术或市场领域,道德黑客是整个网络安全行业的共同基础。特别是在动态安全性测试空间,最终的目标是找到并关闭安全漏洞之前,攻击者可以利用他们。几十年前,它安全网络安全安全专家,专注于保护计算机网络和操作系统从入侵者使用防火墙和其他周边防御解决方案。随着越来越多的软件(以及敏感数据)日益复杂的云环境,使黑客心态对保护信息系统网络安全已成为至关重要的网络威胁和防止数据泄露。
我们经常认为手动和自动的安全测试是两种完全不同的方法,但在现实中,它们是一枚硬币的两面。毕竟,漏洞扫描器和其他安全工具不要写自己。Invicti是由渗透试验器,正在不断完善的安全研究团队——所有道德黑客致力于自动化web应用程序安全性测试和帮助坏人的好人保持领先地位。我们也直接导致了网络安全社区的报告漏洞在开源web应用程序Invicti咨询项目。
是否进行渗透测试,红合作,寻找错误赏金,或构建web漏洞扫描器,道德黑客是web应用程序安全性的支柱——Invicti是骄傲的是一个社区的一部分。
