什么是道德黑客和渗透测试?

作者 : IT 大叔 本文共3624个字,预计阅读时间需要10分钟 发布时间: 2020-09-3

您知道您可以通过黑客电脑获得报酬吗?道德黑客涉及合法地侵入计算机以测试组织的安全防御措施。

渗透测试和道德黑客的供需之间存在差距。随着人们对网络安全的日益关注,对专业黑客的需求也在增长。这个行业不仅对计算的未来很重要,而且也是一条行之有效的方法。平均基本工资为每年$ 121,000

如果您是道德黑客领域的新手,那么您来对地方了。我将带您了解各种类型的黑客以及如何获得笔测试者资格的认证。

今天,我们将介绍:

  • 什么是道德黑客和渗透测试?
  • 道德黑客会做什么?
  • 如何获得道德黑客认证
  • 接下来要学什么

什么是道德黑客和渗透测试?

一个道德黑客是在信息安全方面的专家谁系统试图渗透网络或计算机系统或网络来查找安全漏洞,恶意黑客可能滥用。此工作需要与恶意黑客类似的技能,例如:

  • 发送网络钓鱼电子邮件
  • 蛮力密码攻击
  • 突破周长
  • 利用系统错误配置

道德黑客通常是在新系统上线之前被雇用的,通常,组织会使用赏金计划:向证明系统漏洞的证据的道德黑客提供经济奖励。

渗透测试是一种特殊的道德骇客行为,涉及雇用经认证的专业人员来评估现有系统的优势。通常,笔测试人员会获得特权信息,并使用它来发现可利用的漏洞。这些测试包括:

  • Web应用测试
  • 无线网络测试
  • 外部/内部网络测试

这些笔测试通常更加系统化,并在常规的预设时间(即在发布应用程序的重大更改之前)实施。

道德黑客合法吗?

道德黑客存在于一个有趣的法律灰色地带。关于道德黑客的某些法律是模棱两可的,或者不能解决道德黑客所面临的所有情况。

道德和不道德的黑客之间的主要区别是同意。必须授权黑客采取行动,并且组织必须具有客户许可才能泄露机密数据。

维护各方安全的最佳方法是签署符合以下四个条件的法律协议:

  1. 一个工作的陈述(SOW)是由黑客和客户双方签字。这描述了黑客攻击的目标以及允许黑客采取的措施。
  2. 一个NDA签订保护企业信息。
  3. 双方对期望和所采取的所有行动都具有完全的透明度
  4. 双方都签署了责任解除表,以使黑客免于意外后果的任何责任。

黑客类型和术语

因此,我们知道,道德黑客利用恶意黑客的技能来帮助公司。但是其他类型的黑客呢?让我们研究一下不同类型的黑客,并了解它们与道德黑客的区别。

什么是道德黑客和渗透测试?插图

白帽黑客

这些也称为道德黑客,是专业的安全专家/分析师和渗透测试人员,他们与公司,行业和计算机系统一起开发更强大的安全系统。他们必须了解恶意黑客的方法以及定义当前安全协议的现有法律框架。

黑帽黑客

这些是利用弱点谋取利益的恶意黑客。这些是我们要停止的人。他们是黑客,他们出于恶意目的寻找数据泄露,例如恶意软件/病毒分发并破坏数据挖掘。黑帽黑客通常对网络用户实施银行欺诈,勒索,勒索和身份盗用。

灰帽子黑客

这些黑客可能不会将数据用于恶意目的,但会使用不道德的手段来使系统更安全。戴着灰色帽子的黑客了解黑客的来龙去脉,并可能将其用于自助服务。例如,未经授权的黑客闯入网站并向CTO发送电子邮件,告知他们发现的弱点。不,他们没有伤害任何人。但是是的,他们违反了法律。

绿帽黑客

这些是对流程了解有限的黑客,并且可能会使用明显的方法来破解私人数据和密码。它们通常会在社交媒体上找到,特别是在线论坛上,以诱骗毫无戒心的用户。

蓝帽黑客

这些黑客通常对一个公司或个人恶意。该组中的黑客利用他们的技能来利用特定人员进行报复。戴着蓝帽子的黑客可能有政治​​动机。

红帽黑客

这些是警惕性黑客。这些黑客试图通过病毒等手段阻止恶意黑客,启动DoSing甚至从内而外破坏计算机。他们过多的方法旨在完全关闭黑帽黑客。

脚本小子

这些黑客在黑客方面的实践知识非常有限,但是会学习如何渗透网络系统。他们可能正在寻求有关不同体系结构的知识,并依赖于预先编写的代码或软件来渗透网络。

继续学习。

Educative的实用安全课程向您教授网络攻击的主要形式,以及五种简单但有效的技术,可提高应用程序的安全性。通过动手项目学习最佳实践。

实用安全性:防御系统的简单实践

道德黑客会做什么?

道德黑客行为代表了广泛的责任。像每个领域一样,有多个领域可能需要数年才能掌握。例如,一些道德黑客专注于漏洞评估(VA),而其他黑客则专注于渗透测试。

通常,以下是道德黑客将承担的一些最常见的责任:

  • 执行VA并建议维修
  • 嗅探网络或绕过无线加密
  • 劫持Web服务器Web应用程序
  • 企图逃避IDS(入侵检测系统),IPS(入侵防御系统)和防火墙
  • 分析补丁安装
  • 利用工程技术(例如网络钓鱼电子邮件)来培训员工敏感信息
  • 使用端口扫描工具查找打开的端口
  • 使用SSH攻击,DoS攻击,MAC地址欺骗或SQL注入获得进入
  • 与团队合作,使用真实世界的入侵来测试特定产品(称为Red Teaming)
  • 遮盖轨道以避免被发现
  • 创建有关您的黑客体验的深入报告
  • 和更多

道德黑客使用什么工具?

除了基本的编程技能外,还有数百种道德黑客用来测试站点和应用程序的工具。许多最受欢迎的工具都是开源的,并且需要高级编程技能。让我们看一下道德黑客使用的顶级工具。

  • 编程语言作为一名道德黑客,了解多种语言非常重要。黑客攻击最流行的是HTML,Java,JavaScript,Python,PHP,SQL,C / C ++和Ruby。
  • 代码安全性和分析:九湾是一种常见的应用程序安全性,也用于分析代码和代码安全性。例如,您可以使用它来创建补救漏洞的行动计划。
  • 创建自定义插件: Ettercap是用于创建自定义插件的跨平台工具。这有助于中间人攻击的整体网络安全。
  • 端口扫描程序: Nmap是可用于浏览网络的安全和端口扫描程序。它广泛用于检测网络上的主机和任何数据包筛选器。
  • 模仿黑客: Netsparker是道德黑客的理想选择。它模仿了黑客识别SQL注入和跨站点脚本的举动。
  • 漏洞管理: Acunetix可以识别4,500多个Web应用程序漏洞。它是可以与其他工具和平台集成的Web搜寻器。
  • 扫描Web服务器: Nikto可用于扫描Web服务器以查找危险文件,版本问题等。它可以检查超过6,700种危险。
  • 密码破解器:最受欢迎的密码破解器是开膛手杰克。它检测弱UNIX密码并可以执行字典攻击。

如何获得道德黑客认证

因此,我们知道什么是道德黑客,并且我们知道这份工作需要做什么。但是,您实际上如何成为道德的黑客或笔测试人员呢?

一览无余:

  • 多种编程语言专家
  • 扎实的计算机网络和系统设计知识
  • UNIX / LIUX
  • 了解密码学
  • 操作系统和数据库知识
  • CEH认证
  • 精通黑客工具

步骤1:基础知识

要成为一名道德黑客,您需要了解多种编程语言,了解计算机网络,操作系统,数据库和系统设计概念。

要成为白帽黑客,您需要对网络概念,网络体系结构,Internet协议和端口有深刻的了解。

MySQL和SQL有扎实的了解很重要。首先创建您自己的数据库。

Linux是最常见的黑客操作系统。大多数黑客使用Linux内核。如果不学习UNIX / LINUX,就不可能成为黑客。

步骤2.学习密码学和网络安全

一旦掌握了计算机科学的基础知识,就应该着手进行加密,例如加密和解密。这些是任何黑客工作必不可少的过程。要成为一名优秀的黑客,您需要深入了解加密技术的工作原理。您还需要了解网络安全知识,例如TCP / IP,代理和UDP协议等概念。

步骤3.开始使用黑客工具

道德黑客使用大量软件和硬件。了解这些工具很重要。我在上面提到了一些。探索在线课程和站点,使您可以通过动手练习或游戏来探索这些工具。一些练习环境是Burp Suite,Ettercap,Wireshark,DVWA和Linux Distro。

步骤4:获得CEH认证

您需要的主要认证是CEH(认证的道德黑客)。您可以参加此证书的在线课程,实际测试大约需要4个小时。通常,您不需要道德黑客的先决知识。

申请道德黑客或笔测试员职位通常是强制性的。其他更专业的认证是:

  • CHFI —(计算机黑客和法医研究人员)
  • OSCP-(具有攻击性安全认证的专业人员)
  • OSCE —(具有攻击性安全认证的专家)
  • CISM —(认证信息安全经理)

步骤5.申请工作

获得CEH V9或CEH V10后,您可以申请笔测试员或道德黑客工作。道德黑客和笔测试人员有各种各样的工作。看一些:

  • 网络犯罪调查员
  • 网络安全分析师
  • 网络安全工程师
  • IT审核员
  • 信息安全经理
  • 和更多

接下来要学什么

恭喜!您刚刚了解了道德黑客和渗透测试的基础。您已准备好进行下一步。接下来的去向很大程度上取决于您已经拥有的知识。

如果您不熟悉编程,建议您学习一种编程语言,例如Python,HTML,JavaScript或Java。Educative的博客提供了许多免费的针对这些语言的初学者指南。快来看看上手。

或者,如果您已经知道一些流行的语言,请开始学习有关网络安全的课程,例如Educative的实践安全性:防御系统的简单实践。如果您已经对实用安全性有所了解,请考虑学习有关Web应用程序安全性和HTTP cookie的知识。我为每天的软件工程师推荐Educative的课程Web应用程序安全

无论您的经验如何,都是时候采取这一步骤并开始作为道德黑客的职业了!

免责声明:
1. 本站资源转自互联网,源码资源分享仅供交流学习,下载后切勿用于商业用途,否则开发者追究责任与本站无关!
2. 本站使用「署名 4.0 国际」创作协议,可自由转载、引用,但需署名原版权作者且注明文章出处
3. 未登录无法下载,登录使用金币下载所有资源。
IT小站 » 什么是道德黑客和渗透测试?

常见问题FAQ

没有金币/金币不足 怎么办?
本站已开通每日签到送金币,每日签到赠送五枚金币,金币可累积。
所有资源普通会员都能下载吗?
本站所有资源普通会员都可以下载,需要消耗金币下载的白金会员资源,通过每日签到,即可获取免费金币,金币可累积使用。

发表评论