在以前和现在的工作中都有过一些安全方面的涉猎,虽然不是很深入,也算是自己的一些经历,在接下来的几篇文章中会逐步跟大家探讨安全性测试,当然,更多是web安全相关的。而这篇文章,就当作是说一些正确的废话,作为正文前的序。
白帽子与黑帽子
黑客并非都是黑的,白帽就是通过攻击自己的系统或者聘请来攻击客户的系统以便进行安全审查,与之相反,黑帽就是大家所熟知的“黑客”或“骇客”。他们往往利用自身技术,在网络上窃取别人的资源或破解软件。
另外,在白和黑之间,还存在灰帽和红帽,灰帽指的是那些懂得技术防御原理,并且有实力突破这些防御的黑客——虽然一般情况下他们不会这样去做。与白帽和黑帽不同的是,尽管他们的技术实力往往要超过绝大部分白帽和黑帽,但灰帽通常并不受雇于那些大型企业,他们往往将黑客行为作为一种业余爱好或者是义务来做,希望通过他们的黑客行为来警告一些网络或者系统漏洞,以达到警示别人的目的,因此,他们的行为没有丝毫恶意。
红帽其实就是以正义、道德、进步、强大为宗旨,以热爱祖国、坚持正义、开拓进取为精神支柱,这与网络和计算机世界里的无国界情况不同,所以,并不能简单讲红客就归于两者中的任何一类。红客通常会利用自己掌握的技术去维护国内网络的安全,并对外来的进攻进行还击,通常,在一个国家受的网络或者计算机受到国外其他黑客的攻击时,第一时间做出反应、并敢于针对这些攻击行为做出激烈回应的,往往是这些红客们。
我们经常都会看到新闻说某国家政府网站或军队网站被黑,这都是他们红客干的。最负盛名的一个事件就是2001年中美黑客大战,当时中国有8万多名红客对美国发起总攻,据网络新闻当时经过一天一夜的攻击,被攻陷的美国网站有90多个,被黑的中国网站超过600多个,由于国内一些红客没有把所黑网站及时报上去,中美被黑网站比例大致在3:1左右,而在当时,使用较多的就是实施DOS(denial of service)拒绝服务攻击。感兴趣的朋友可以问下度娘或谷哥了解更多。
安全攻击动机
一般来讲可以分为以下三种动机:
1. 经济利益,这也是绝大部分黑客所追逐的,而且在经济利益面前,非常容易被诱惑,白帽走上不归路,最后被法律所制裁;
2. 技术炫耀,特别是初学者都渴望练练手,做出点成绩给圈内人看,以证明自己,也许并无恶意;
3. 政治目的,上面内容已经详细介绍了这一类型。
黑客组织&论坛
国内一些黑客联盟包括:中国红客联盟,看雪学院,中国鹰派联盟,黑客基地,邪恶八进制。而比较知名的论坛:黑基论坛和Wooyun乌云论坛,后者每天都有很多人提交一些安全漏洞到乌云上,对安全测试感兴趣的话可以经常上去看看别人找漏洞的思路,开拓自己的知识面。
具备的能力
真正要做好黑客或安全的人员实属不易,的确需要众多方面的能力:
较强编程能力
熟悉操作系统及其漏洞
熟悉浏览器及其漏洞
熟悉编程语言及其漏洞
熟悉服务器及其漏洞
精通协议
熟练使用相关工具
非常强的学习能力
最新内容请见作者的GitHub页:http://qaseven.github.io/
安全测试之前言
时间: 2024-10-30 04:11:47
安全测试之前言的相关文章
《Google软件测试之道》目录—导读
内容提要 Google软件测试之道 每天,Google都要测试和发布数百万个源文件.亿万行的代码.数以亿计的构建动作会触发几百万次的自动化测试,并在好几十万个浏览器实例上执行.面对这些看似不可能完成的任务,谷歌是如何测试的呢? 本书从内部视角告诉你这个世界上知名的互联网公司是如何应对21世纪软件测试的独特挑战的.本书抓住了Google做测试的本质,抓住了Google测试这个时代最复杂软件的精华.本书描述了测试解决方案,揭示了测试架构是如何设计.实现和运行的,介绍了软件测试工程师的角色:讲解了技术
一个初级码农的测试之旅(一)——初识单元测试
前言 首先说一下我自己--一个码农,准确的讲我是一名在中国最大互联网公司搬砖的初级码农.我不是计算机科班出身,一年前进入公司的时候,从未接触过web开发,没有完整的学习过数据库知识,写不出一条完整的sql语句,甚至不知道js和css到底是怎么控制页面行为和样式的--这样的人为什么可以通过面试?反正不是因为我长得帅. 背景知识 文章最初,先介绍一下我们团队的产品--阿里云持续交付平台(crp.aliyun.com),是一个旨在服务阿里云上众多开发者的持续交付平台(你可能还没听说过,但不妨一试哦),
测试之道--阿里巴巴八年测试专家倾情奉献
一. 前言 我从事测试工作将近八年了,从起初的不懂测试,怀疑测试,到相信测试,再到坚定测试,其中经历的辛酸.煎熬无法言表.在从事测试工作的这八年里,有人质疑,也有人追捧,唇枪舌剑,没完没了,貌似测试永远都是个站在舆论风口浪尖的角色.本文乃在下之精血所作,是我对测试的高度概括,旨在帮助大家了解测试,新人可以更好地从事测试工作,老人可以进行测试探讨,交流思想.为了尽量让更多的人理解测试,本文重在述道,少说测试之术,相信看完之后,各位自有论断,功过是非留于各位看官说. 二. 测试的万能模型 为什么
Dreamweaver MX Ultradev探索(前言)
dreamweaver Dreamweaver MX 之 Ultradev( 前言) 今天弄到了Dreamweaver MX,这也是我手头上的第三个MX产品了(先前是Flash MX.ColdFusion MX),今年可真是个MX年啊!自从过了年后,Macromedia关于MX的好消息一个接着一个,大家等着吧,马上就有第四个了(Fireworks MX).我现在真的有点为Macromedia担心了:以后这些产品的下一个版本该用什么名字了,呵呵.废话少说,干正事了. 现在的MX在后台方面不但可以用
《.net编程先锋C#》前言
编程 前言0.1 提要欢迎阅读<展现 C#>(Presenting C#).这本书是你提高企业编程语言的一条捷径.这种企业编程语言带有下一代编程语言服务运行时(NGWS Runtime):C#(发音"C sharp").NGWS Runtime 是一个不仅管理执行代码.同时也提供使编程更加容易的动态环境.编译器产生受管代码以指向这种受管理执行环境.你获得跨平台语言集成.跨平台语言异常处理.增强安全性.版本控制.安排支持和查错服务.支持NGWS Runtime 的主要语言是C
VB6.0 调用存储过程的例子 (前言)
存储过程 VB调用存储过程的例子 前言 (说明:以下代码摘自微软的MSDN,经过测试没问题.) VB调用存储过程的方法很多,如利用ADO对象的Recordset.Open方法,ADO对象的Connection.Excute方法等,都可以获得记录集信息.本主题讨论的是使用Parameter对象调用存储过程,而且可以获得许多意外的信息. 首先需要在Sql Server中建立一个存储过程.请确定已安装了Sql Server 2000的任何版本,且含有Pubs数据库. 打开"查询分析器",启动
&;gt; 前言(补充) 和第三章 第一个C#程序(rainbow 翻译)(来自重粒子空间)
程序 <<展现C#>> 前言(补充) 和第三章 第一个C#程序(rainbow 翻译) 出处:http://www.informit.com/matter/ser0000001/chapter1/ch03.shtml 正文: 前言0.1 提要 欢迎阅读<展现 C#>(Presenting C#).这本书是你提高企业编程语言的一条捷径.这种企业编程语言带有下一代编程语言服务运行时(NGWS Runtime):C#(发音"C sharp").
一周学会C#(前言)
一周学会C#(前言) C#才鸟(QQ:249178521) 大家好!C#作为微软在21世纪推出的新语言,它有着其他语言无法比拟的优势.但如何在短时间内迅速掌握它,却是一个比较难的问题.但如果你看完这个教程后,你一定会理解并掌握C#. 这个教程共分六个部分,今天先介绍C#中比较基本的概念. 1.总体框架 Hiker.cs 类名不一定等于文件名 using System; //每一个程序必须在开头使用这一语句 public sealed class HitchHiker { public stati
一周学会C#(前言续)
一周学会C#(前言续) C#才鸟(QQ:249178521) 4.标点符号 { 和 } 组成语句块 分号表示一个语句的结束 using System; public sealed class Hiker { public static void Main() { int result; result = 9 * 6; int thirteen; thirteen = 13; Console.Write(result / thirteen); Console.Write(result % thir