1、渗透测试:就是借助各种漏洞扫描工具,通过模拟黑客的攻击方法来对网络完全进行评估。
2、渗透测试的各个阶段:
2.1、 明确需求阶段:
项目范围: 哪些IP地址、主机在测试的范围内。客户允许测试人员进行何种的类型的测试手段
(导致服务瘫痪的漏洞利用代码、客户是否明白端口扫描也可能导致服务器或路由宕机,是否可
以进行社会工程学攻击)。
测试窗口:客户有权指定测试人员在限定工作日、限定时间进行测试。
联系信息:发现问题时,测试人员联系客户的那些人,是否希望用加密邮箱联系。
免罪金牌:务必确保测试人员有权对目标进行渗透测试,如目标不归客户所有(第三方托
管),务必要验证第三方是否正式允许客户进行渗透测试。一定要在合同中落实免责声明。确
保在意外情况下限定乙方的法律责任,必须获得渗透测试的书面授权。
支付条款:落实付款方式、时间、金额。
保密协议:书面承诺对渗透测试的内容及测试中返现问题进行保密。
2.2、信息收集阶段:初步了解内外或外网运行的是什么系统,这些系统安装了什么软件。
2.3、 威胁建模阶段:测试人员要利用信息收集阶段获取的信息进行威胁建模。举例(如果客户的主
营业务是软件开发,那么攻击人员就要渗透到内网的开发系统,获取客户开发并测试过的软件
源代码,然后向竞争对手贩卖公司的业务机密,达到瓦解客户的最终目的。因此,测试人员要
根据前一阶段的工作成果,拟定客户系统的渗透策略。)
2.4、漏洞分析阶段:测试人员都会在这个阶段使用漏洞扫描程序,借助程序的漏洞数据库和主动检测
技术,推测目标上存在哪些漏洞。
2.5、漏洞验证阶段:测试人员往往会使用Metasploit(一款开源的安全漏洞检测工具)的一类的安全
工具,利用(exploit)它们发现的安全漏洞,力图获取客户系统的访问权限。
2.6、深度攻击阶段:在深度攻击阶段,测试人员会以被突破的系统为着手点收集各种信息,搜索有价
值的文件,甚至在必要的时候日升自己的登陆权限。比如说(测试人员可能会转储密码的哈希
值,继而破解原始密码,或者尝试用这些哈希值访问其他系统。)
2.7、书面汇报阶段:渗透测试的书面报告分为执行摘要和技术报告
执行摘要:是对目标和调查结果的高度总结,他主要是面向负责安全计划的主管人员。
执行摘要的构成:
背景介绍:不仅记录此次测试的目的,还要向管理人员介绍哪些他们不常接触的技术
标语。
整体评估:各类问题的总结。此处应当列测试过程中发现的问题清单(例如,可被
利用的微软漏洞MS08-076),以及导致安全隐患的相应问题(例如,缺少补丁管理
措施等)。
风险预测:企业安全状况的级别评定,测试人员通常参照行业的其他企业情况,使
用“高/中/低”等评定语言,对客户的安全级别等级划分。
调查总结:通过统计分析和定量分析的方法,对已有安全防范措施的实际效果进行
总结性描述。
改进建议:解决现有问题的初步建议。
战略规划:向客户建议的用与增强安全性的长短期规划。举例来说:为了尽快解决
现有问题,测试人员可能建议客户立刻安装某些漏洞修补程序,但从长期的角度来
讲,除非用户实现某种补丁管理,否则不久之后他们还会面临同样的问题。
技术报告构成:
项目简介:项目范围、联系人等信息的详细记录。
信息收集:在信息收集阶段发现等各种问题。客户会特别关注Internet上的系统入口
信息。
漏洞评估:在漏洞分析阶段发现的所有技术细节。
漏洞验证及攻击方法:漏洞验证阶段的技术细节。
深度攻击:深度攻击阶段发现的问题细节。
风险及暴露程度分析:对已知风险的定量分析。在相关篇幅里,测试人员应以假象攻
击人员成功利用各种安全漏洞为前提,评估已知问题可能产生的各类损失。
结论:整个渗透测试项目的最终总结。