渗透测试各个阶段

1、渗透测试:就是借助各种漏洞扫描工具,通过模拟黑客的攻击方法来对网络完全进行评估。

2、渗透测试的各个阶段:
2.1、 明确需求阶段:
项目范围: 哪些IP地址、主机在测试的范围内。客户允许测试人员进行何种的类型的测试手段
(导致服务瘫痪的漏洞利用代码、客户是否明白端口扫描也可能导致服务器或路由宕机,是否可
以进行社会工程学攻击)。
测试窗口:客户有权指定测试人员在限定工作日、限定时间进行测试。
联系信息:发现问题时,测试人员联系客户的那些人,是否希望用加密邮箱联系。
免罪金牌:务必确保测试人员有权对目标进行渗透测试,如目标不归客户所有(第三方托
管),务必要验证第三方是否正式允许客户进行渗透测试。一定要在合同中落实免责声明。确
保在意外情况下限定乙方的法律责任,必须获得渗透测试的书面授权。
支付条款:落实付款方式、时间、金额。
保密协议:书面承诺对渗透测试的内容及测试中返现问题进行保密。
2.2、信息收集阶段:初步了解内外或外网运行的是什么系统,这些系统安装了什么软件。
2.3、 威胁建模阶段:测试人员要利用信息收集阶段获取的信息进行威胁建模。举例(如果客户的主
营业务是软件开发,那么攻击人员就要渗透到内网的开发系统,获取客户开发并测试过的软件
源代码,然后向竞争对手贩卖公司的业务机密,达到瓦解客户的最终目的。因此,测试人员要
根据前一阶段的工作成果,拟定客户系统的渗透策略。)
2.4、漏洞分析阶段:测试人员都会在这个阶段使用漏洞扫描程序,借助程序的漏洞数据库和主动检测
技术,推测目标上存在哪些漏洞。
2.5、漏洞验证阶段:测试人员往往会使用Metasploit(一款开源的安全漏洞检测工具)的一类的安全
工具,利用(exploit)它们发现的安全漏洞,力图获取客户系统的访问权限。
2.6、深度攻击阶段:在深度攻击阶段,测试人员会以被突破的系统为着手点收集各种信息,搜索有价
值的文件,甚至在必要的时候日升自己的登陆权限。比如说(测试人员可能会转储密码的哈希
值,继而破解原始密码,或者尝试用这些哈希值访问其他系统。)
2.7、书面汇报阶段:渗透测试的书面报告分为执行摘要和技术报告
执行摘要:是对目标和调查结果的高度总结,他主要是面向负责安全计划的主管人员。
执行摘要的构成:
背景介绍:不仅记录此次测试的目的,还要向管理人员介绍哪些他们不常接触的技术
标语。
整体评估:各类问题的总结。此处应当列测试过程中发现的问题清单(例如,可被
利用的微软漏洞MS08-076),以及导致安全隐患的相应问题(例如,缺少补丁管理
措施等)。
风险预测:企业安全状况的级别评定,测试人员通常参照行业的其他企业情况,使
用“高/中/低”等评定语言,对客户的安全级别等级划分。
调查总结:通过统计分析和定量分析的方法,对已有安全防范措施的实际效果进行
总结性描述。
改进建议:解决现有问题的初步建议。
战略规划:向客户建议的用与增强安全性的长短期规划。举例来说:为了尽快解决
现有问题,测试人员可能建议客户立刻安装某些漏洞修补程序,但从长期的角度来
讲,除非用户实现某种补丁管理,否则不久之后他们还会面临同样的问题。
技术报告构成:
项目简介:项目范围、联系人等信息的详细记录。
信息收集:在信息收集阶段发现等各种问题。客户会特别关注Internet上的系统入口
信息。
漏洞评估:在漏洞分析阶段发现的所有技术细节。
漏洞验证及攻击方法:漏洞验证阶段的技术细节。
深度攻击:深度攻击阶段发现的问题细节。
风险及暴露程度分析:对已知风险的定量分析。在相关篇幅里,测试人员应以假象攻
击人员成功利用各种安全漏洞为前提,评估已知问题可能产生的各类损失。
结论:整个渗透测试项目的最终总结。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,132评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,802评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,566评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,858评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,867评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,695评论 1 282
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,064评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,705评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,915评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,677评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,796评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,432评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,041评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,992评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,223评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,185评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,535评论 2 343

推荐阅读更多精彩内容