灰帽

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 渗透测试是正义黑客大展身手的地方。他们可以对漏洞评估中识别出的许多漏洞进行测试，以量化该漏洞带来的实际威胁和风险。 当正义黑客执行渗透测试时，他们的最终目标是入侵一个系统，然后从一个系统入侵另一个系统，直到“占领”整个域或环境。所谓“占领”，是指他们在最关键的Unix或Linux 系统上拥有root 权限，或者取得了可以访问和控制网络上的全部资源的管理员账户。这么做的目的是为了向客户(公司)展示在网络的当前环境和安全配置下，真正的攻击者可以采取哪些行动。 很多时候，正义黑客在按照自己的工作过程获得对网络的控制的同时，还会收获一些战利品。这些战利品包括CEO 的密码、公司的商业机密文件、所有边界路由器的管理员密码、CFO 和CIO 的笔记本电脑中标记为“机密”的文档等。沿路收集这些战利品的目的是为了使决策者理解漏洞的危害并引起重视。否则，就算花费几个小时向CEO、CIO或COO 解释有关服务、开放端口、不当配置和可能被攻击之处，他们也不能很形象地理解安全问题并引起足够的重视。但是一旦向CFO 展示其下一年度的规划，向CIO 展示其下一年的生产线蓝图，或者说出CEO 的密码“IAmWearingPanties”，他们自然而然就会想更多地了解防火墙和其他应该就位的防护措施的重要性了。 警告