說說滲透測試

怎麼定義滲透測試

這個概念應該是滲透測試的執行者們最有資格去定義的。

我曾經就是個執行者，所以我堅信這個問題的答案與我所期望的相符 —— 無論是眾測平台上的白帽子們、還是安全廠商的服務團隊精英們，我給你乙個ip位址、三天時間，誰可以給我打包票可以100%發現目標的全部安全問題？

我想答案一定是：不能！

為什麼不能？

雖然說上乙個問題還沒有給滲透測試做定義，但還是先說一下為什麼答案是「不能」 —— 剛才心裡默念一定能做到的大神可以跳過此節。我看到的原因有：

再說定義問題

上面兩個問題結合起來，我這樣定義滲透測試：

目標在約定狀態下，安全測試人員使用不直接對業務造成傷害的手段，驗證某種威脅的可實施性及可實施深度。

約定狀態：可以約定多個狀態，比如，v1.0時來一次，v1.1時再來一次

不直接對業務造成傷害：這個約束條件其實並非必選項，有些使用者也捨得讓大家可勁招呼、往死裡整

可實施性：證明目標是可滲透

可實施深度：給使用者乙個指標，幫助評估最終的風險大小

服務完成的條件

這個太重要了 —— 我給你乙個ip，我會問你，什麼時候可以做完？

這個時候考核「做完」條件一般會有兩種：

第一種：（服務人員簡單看過目標之後回答）大概三天時間可以完成，同時交付滲透測試報告；

第二種：至少發現乙個漏洞之後（但一般都不會直接這麼說，可實際上當測試人員給出「三天」這個答案時就已經在想 —— 剛看了一眼這個破系統，三天怎麼也能整出點東西了）

問題他們都說我話癆，其實我是怕很多事情說不清楚還要反覆解釋。

現在基本上我所理解的前提條件都講的差不多了，這才是正題。

當前滲透測試最大的問題在於：

第一，甲方過於相信「專家能力」而造成了「這個目標已經做過滲透測試了為什麼還會出問題」這樣的疑問出現；

第二，因為甲方信任專家能力而致使乙方要包裝各種專家團隊，以此來欺騙甲方「這個目標我們做過滲透了就不會出現問題」的假象。

其實我就想問一句：「你們兩方互相騙來騙去的，玩的開心嗎？」

再說眾測

最大的問題：信任問題。

眾測其精華在於「眾」，人多勢眾 —— 人夠多。

從概率上來講，人多了就應該是有更多機會發現更多問題，甚至在某個特定技術層面上目標的問題真的在特定時間內完全被挖出來。

但其問題也在於「人多」。乙個人出事了，就等同於全出事了。

其次還有乙個問題，這個問題可能會出在眾測平台這一端。

我不是特別的清楚眾測後台的一些操作，但由於滲透測試是一項保密性要求較高的工作，所以肯定有很多資訊是不能完全對稱給白帽子們的，因此，在白帽子看來，眾測平台（甚至是眾測平台和甲方）在某些操作上有暗箱之嫌。

這種事情最怕日積月累，一旦有白帽子有了這種想法，會越傳越廣，這樣的後果，大家隨意yy吧。

怎麼說、怎麼做、怎麼改

隨便說說，肯定不全面。

我蓋好了一座房子，找個人來測試一下保安系統。

這個人來了之後一板磚放到了我，拿著我的鑰匙和從我手上切下來的手指頭就進去房子交差了 ……

面對這樣的「滲透測試」在你醒過來之後應該不會太願意去付錢。

所以第乙個問題是：約定好目標 —— 我要你測試的是門還是窗戶？而不能只是籠統的說，進去就好。這其實就是滲透本身手段上的乙個對映關係，是要針對web做常規的top 10 漏洞測試、還是加上社工、還是關注一下某些應用的認證問題、甚至看看物理環境是否安全等等，這實際上本身就是對滲透測試中所涉及威脅手段分類的乙個巨大挑戰，如果這個分類做好了，實際上就等於是給了使用者乙個可選的選單，也就相對的約束了目標類別。

緊接著，對方明白了是測試防盜門，於是抱著雷管又跑到了你的面前。

馬上就出現了第二個問題：約定好測試手段（就是上面說的選單） —— 就是你在安裝防盜門時所設想的其所能抵禦的盜賊都是使用什麼類別的手段？我想一般人都不會去考慮面臨雷管的攻擊（雖然你可能為房子上了保險）。就好象大家雖然多會為自己的資料做災備，但也一定會反對滲透測試人員使用物理方式損毀ip後面的那乙個或一堆裝置。

測試人員明白了你是希望測試技術開鎖是否能突破防盜門，於是，他趁著你不注意的時候馬上掏出了多啦a夢的四次元口袋，把手伸進去穿越到了門的另一端而開啟了門鎖。

這就是第三個問題：手段實際上也是有等級的 —— 有一些超高端的手段是日常很難見到，而且也不在你所設計的安全防禦體系範疇之內，比如：一般人不會考慮怎麼設計去防禦等級很高的 0-day （即便現在沙箱已經很成熟了），你拿出哆啦a夢的四次元口袋完全就是0-day啊，誰能接受乙方拿出乙個自己都不知道的玩意搞進去之後丟一堆內部資料給他，然後轉身離去、只是深藏功與名？

如果這個問題也解決了，接下來，把前三個問題結合起來。這樣就解決乙個潛在問題：就是對「完成」條件的判斷問題，因為手段、手段等級和目標都確認了，說直白一點，就是依靠個人技術把這些手段在目標上都過一遍也就完成了，至於過一遍後有沒有效果：看下面。

測試者這時羞愧的收起四次元口袋之後安心使用技術開鎖，半個小時過去了，沒開啟。

這就是第四個問題：如何面對乙個尷尬的結果 —— 上面說過，人總有窮其一生之力也無法解決的事情。即便約定了手段和目標，依然可能因為個體能力差異而導致執行結果的差異。此時，除了換乙個能力更強的人以外，還真是沒有其他辦法。但在換人之前還是應該考慮好一件事，就是前任失敗者到底做了什麼？前任的執行深度和廣度如果能有持續的跟蹤和記錄，是為評價後續更換的測試人員的乙個技術基線指標。

請來了第二個人，按照測試手段上的十種手法都測試過了，發現其中三種可以開啟門鎖，但趁你不注意的時候從玄關順了一雙阿迪王走。

這就是第五個問題：保密協議是底限 —— 資訊最麻煩的地方就是可以任意拷貝（此處先不在dlp這類問題上較勁），有人順走了一雙阿迪王的話，主人清查一下自己的資產馬上就能發現，但你的資料被複製走了，你卻未必能知曉。所以，總要有類似保密協議這樣的東西來托底。

要回了那雙絕版限量阿迪王之後，你詢問測試人員：該怎麼辦？測試人員立馬掏出自家產品清單 —— 您需要在防盜門前面再安裝一道我們家出品的強力防盜門。

這就是最終極、最尷尬的問題：為什麼現在大家都願意免費給你滲透？就想賣你防盜門唄！

所以 ……

甲方如果踏踏實實的把滲透當服務買（前提是你得知道滲透到底能做什麼），乙方才能踏踏實實把滲透當服務做。

乙方明明白白的把滲透測試（前面說的1、2、3那三點）定義清楚、說明白了，甲方買的時候心裡才會有底。

** ：

說說滲透測試

滲透測試學習筆記初識滲透測試

滲透測試 SSH

滲透測試 Wget

說說滲透測試

滲透測試學習筆記 初識滲透測試

滲透測試 SSH

滲透測試 Wget

相關推薦

滲透測試學習筆記初識滲透測試