雲計算滲透測試清單和重要注意事項
什麼是雲計算滲透測試?
雲計算滲透測試是通過模擬惡意**的攻擊,對雲系統進行主動檢查和測試的一種方法。
雲計算是雲提供商和從提供商那裡獲得服務的客戶共同的責任。
由於基礎設施的影響,saas環境不允許進行滲透測試。
在paas、iaas中允許進行雲滲透測試,但需要一定的協調。
應該實施定期的安全監視,以監視威脅、風險和漏洞的存在。
sla合同將決定應該允許何種型別的測試,以及多久進行一次測試。
重要的雲計算滲透測試清單:
1.檢查服務級別協議,並確保雲服務提供商(csp)和客戶端之間已涵蓋適當的策略。
2.要維護治理和合規性,請檢查雲服務提供商和訂閱者之間的適當責任。
3.檢查服務級別協議文件並跟蹤csp的記錄確定維護雲資源的角色和責任。
4.檢查計算機和internet使用策略,並確保它已得到適當的策略執行。
5.檢查未使用的埠和協議,並確保服務被阻止。
6.檢查儲存在雲伺服器中的資料是否為預設加密。
7.檢查使用的雙因素身份驗證並驗證otp以確保網路安全。
8.檢查url中的雲服務的ssl證書,並確保從拒絕的證書頒發機構(comodo,entrust,geotrust,symantec,thawte等)購買證書。
9. 使用適當的安全控制檢查接入點、資料中心、裝置的元件。
10.檢查向第三方披露資料的政策和程式。
11.檢查csp是否在需要時提供轉殖和虛擬機器。
12.檢查雲應用程式的正確輸入驗證,以避免web應用程式攻擊,如xss,csrf,sqli等。
雲計算攻擊:
跨站請求偽造(csrf)
csrf是一種旨在誘使受害者提交請求的攻擊,即本質上是惡意的,以使用者身份執行某些任務。
邊通道攻擊
這種型別的攻擊對於雲來說是獨一無二的,並且可能非常具有破壞性,但它需要很多技巧和一點運氣。
這種形式的攻擊試圖通過利用他們在雲中使用共享資源這一事實來間接破壞受害者的機密性。
簽名包裝攻擊
另一種型別的攻擊並不僅限於雲環境,但仍然是危及web應用程式安全性的一種危險方法。
基本上,簽名包裝攻擊依賴於對web服務中使用的技術的利用。
雲環境的其他攻擊
使用網路嗅探服務劫持
使用xss攻擊進行會話劫持
網域名稱系統(dns)攻擊
sql注入攻擊
密碼分析攻擊
拒絕服務(dos)和分布式dos攻擊
雲滲透測試的重要考慮因素:
1.在雲環境中的可用主機中執行漏洞掃瞄。
2.確定雲的型別,無論是saas還是iaas或paas。
3.確定cloud service提供商允許的測試型別
4.通過csp檢查協調,安排和執行測試。
5.執行內部和外部penteing。
6.獲得執行pentesting的書面同意書。
7. 在沒有防火牆和反向**的情況下在web應用程式/服務上執行web測試。
雲滲透測試的重要建議:
1.使用使用者名稱和密碼驗證使用者。
2.通過關注服務提供商政策來保護編碼政策。
3.必須建議強密碼政策。
4.按組織定期更改,例如使用者帳戶名、雲提供商分配的密碼。
5.保護滲透測試期間發現的資訊。
6.密碼加密建議。
7.對saas應用程式使用集中身份驗證或單點登入。
8. 確保安全協議是最新且靈活的。
雲滲透測試的重要工具:
soasta cloudtest:
這個套件可以在單個web平台上支援四種型別的測試:移動功能和效能測試以及基於web的功能和效能測試。
loadstorm:
loadstorm是web和移動應用程式的負載測試工具,而且很容易,價效比高。
blazemeter:
blazemeter用於移動端到端的效能測試和負載測試應用程式、**和api。
nexpose:
nexpose是一種廣泛使用的漏洞掃瞄程式,可以檢測漏洞、錯誤配置、以及一系列裝置、防火牆、虛擬化中的補丁丟失系統、雲基礎設施。
滲透測試流程和內容
滲透測試是在客戶允許下和可控的範圍內,採取可控的,不造成較大影響的黑客入侵手法,對網路和系統發起真正攻擊。主要包括以下幾個層次 層次一 通訊和服務 該層次的安全問題主要體現在 tcp ip 網路協議本身存在的一些漏洞。如 ping 炸彈可使一台主機宕機 無需口令通過 rlogin 以root 身份登...
滲透測試流程和內容
滲透測試是在客戶允許下和可控的範圍內,採取可控的,不造成較大影響的黑客入侵手法,對網路和系統發起真正攻擊。主要包括以下幾個層次 層次一 通訊和服務 該層次的安全問題主要體現在tcp ip網路協議本身存在的一些漏洞。如ping炸彈可使一台主機宕機 無需口令通過rlogin以root身份登入到一台主機等...
雲計算介紹和openstack 雲計算管理平台
什麼是雲計算?雲計算是一種基於網際網路的按需付費的服務,這種模式提供可用的 便捷的 按需的網路訪問,通常涉及通過網際網路來提供動態易擴充套件且經常是虛擬化的資源.雲平台的分類 一 iaas 基礎設施即服務 提供給消費者的服務是對所有計算基礎設施的利用,包括處理cpu 記憶體 儲存 網路和其它基本的計...