@火凤凰
3年前 提问
1个回答

渗透测试怎么才不犯法

Andrew
3年前

渗透测试想要不犯法需要获取被测方的授权书,获取渗透测试授权书后就证明本次渗透测试是合法的,是经过测试目标所有者的同意是合理合法进行的,另一方面获取授权书的主要作用就是明白甲乙方相应的责任和渗透测试的范围。

未授权情况下进行渗透测试违反我国《网络安全法》,渗透测试本身就是模仿黑客的攻击手法对网站或者服务器进行攻击,如果在未授权的情况下进行就属于完全和黑客一样。

在用户非授权情况下,黑客执行渗透测试,入侵一个系统,然后从一个系统侵入另一个系统,直到“占领”整个域或环境。所谓“占领”,是指他们在最关键的Unix或Linux 系统上拥有root 权限,或者取得了可以访问和控制网络上的全部资源的管理员账户。这期间,黑客可以获得包括CEO 的密码、公司的商业机密文件、所有边界路由器的管理员密码、CFO 和CIO 的笔记本电脑中标记为“机密”的文档等——这些都可能给被“测试”机构的信息安全带来威胁。

作为网络安全守卫者的我们,无论在何种情况下都应该遵守网络监管规定,以免走向我们的对立面。

渗透测试是一种提升网络安全水平的有效手段——当然是在合法有授权的前提下。很多时候,企业在安全上投入了大量的资源,更多的投入似乎并不能进一步提升安全水准,安全防护建设进入了某种瓶颈。渗透测试是一种全新的安全防护思路,将安全防护从被动转换成了主动,正因为如此,很多重点行业的企业越来越多地通过独立的第三方安全机构来进行“渗透测试”,以求更好的安全防护效果。