第2周

Source: Dev.to

免责声明

本文讨论的工具和技术仅用于教育目的。

测试方法论与法律问题

本周在伦理黑客与渗透测试课程中，我们重点学习了渗透测试的理论和法律层面。在实际入侵系统之前，必须先了解结构性边界和相关法律框架。

安全角色

• Ethical Hackers – 在获得授权的情况下入侵系统，寻找薄弱环节并报告，以便组织进行修补。
• Hackers & Crackers – 未经授权访问系统，通常用于窃取或破坏数据，可能导致监禁。
• Script Kiddies – 经验不足的人员，复制粘贴脚本和技术而不理解其底层代码。

参与类型

• White Box – 提供完整的网络拓扑，并获准采访 IT 人员。
• Black Box – 完全没有任何信息，内部公司员工甚至可能不知道测试正在进行；需要自行发现并绘制全部结构。
• Gray Box – 客户提供部分信息作为测试起点的混合方式。

安全运营团队

• Red Team – 扮演攻击者角色，在 IT 人员不知情的情况下进行测试，通常用于揭示系统防御能力。
• Blue Team – 负责防御系统的内部团队，抵御 Red Team 的攻击。

法律考虑

• 未经明确许可访问计算机是非法的。
• 在印度尼西亚，UU ITE（信息与电子交易法） 规范此类活动。
• 根据 Pasal 31，拦截或窃听非自己所有系统中的电子信息或文档属于犯罪。
• 即使是看似无害的侦察行为，也可能因 ISP 的可接受使用政策而被视为违规。

渗透测试的黄金法则

使用合同是良好的商业实践，签署前应让律师审阅合同。