安全问题根源

1. 分层思想    数据库  APP  运维 （各管各的）

2. 只追求功能实现   （不考虑安全问题）

3. 最根本问题是人   （比如京东51亿记录泄露）

安全目标

先于攻击者找到系统漏洞

防护类别

防护型保护

攻击型保护

渗透测试

尝试挫败安全防御机制，发现系统安全弱点

从攻击者的角度考虑，测量安全保护的有效性

道德，法律约束

渗透测试标准

PETS（http://www.pentest-stardard.org）

前期交互、情报收集、威胁建模、漏洞分析、渗透测试、后渗透测试、渗透测试报告

渗透测试项目

渗透测试范围

获得授权

渗透测试方法：

        是否可以使用社会工程学方法

        是否可以使用DDOS方法

kali linux

2013年发布，替代BackTrack。用于安全审计和渗透测试。FHS标准目录(Filesystem Hierarchy Standard（文件系统层次化标准）)

kali linux 策略

      1.  root用户策略      (root 用户具有linux系统的最高权限)

      2.  网络服务策略     (/etc/update.rc ssh  或   /etc/init.d ssh start)

      3.  更新升级策略    （apt-get update,apt-get upgrade,apt-get dist-upgrade）