進行滲透測試首先需要確認滲透測試專案的起始狀態。定義起始狀態的最常見的方法是確定選擇黑盒測試或白盒測試或灰盒測試。
測試型別的選擇
黑盒測試存在不少問題。由於被測系統的原因,也由於測試者對環境的熟悉程度不同,要估算偵察階段能持續多長時間是很困難的,而且偵察階段的長短涉及到費用問題。但是,如果測試時間不足,滲透測試往往可能「流產」。還有一點不太現實的因素,就是乙個有著強烈動機的攻擊者在仔細研究攻擊目標時,是不會顧及那些限制因素的,因為他往往是專業的滲透測試者。所以,我們建議實施灰盒測試而不是黑盒測試。
如果滲透測試者可以與被測試系統有密切接觸,或者充分了解被測系統,就可以明確地定義滲透測試的目標,並且測試報告的結果往往也可以預料。被測者要向測試者提供一些關於目標系統的細節,如網路資訊、系統型別、公司的流程、服務,等等。白盒測試一般關注的是具體的業務目標,如滿足合規需要,而不是一般性的評估,而且由於受到目標系統的範圍限制,白盒測試往往是一種更為簡短的任務。白盒測試能夠減少資訊收集的工作量,如偵察服務,可以減少滲透測試服務的成本。因而,內部的安全團隊往往進行白盒測試。
什麼情況下實施灰盒測試?答案就是在客戶或系統的所有者同意在偵察階段需要發現一些未知資訊時,但又允許滲透測試人員跳過這個部分。滲透測試人員從系統所有者那裡得到一些目標系統的基本資訊;然而,內部工作和有些特權資訊仍對滲透測試者保密。
真正的攻擊者在攻擊目標之前都要收集一些關於目標的資訊。多數攻擊者並不會選擇隨機的目標。攻擊者往往有著強烈的動機,並且在攻擊之前往往以某種方式與攻擊目標進行互動。灰盒測試對於許多執行滲透測試的安全專家來說是很有吸引力的,因為這種測試模仿攻擊者使用的真實方法,並且其關注的重點是漏洞而不是偵察。
測試範圍定義了滲透服務怎樣開始,怎樣執行。滲透測試應當進行資訊收集,用以記錄目標環境和定義任務的範圍,這樣做的目的是避免一些不必要的偵察服務或超出範圍的攻擊系統。
真正的攻擊者往往不受時間、資金、道德、工具的限制,這意味限制滲透測試的範圍並不能代表真實情況。例如,乙個滲透測試者可以捕獲使用者登入到關鍵系統的憑據,他根本無需測試這些系統是否容易遭受基於網路的攻擊,就可以訪問這些系統。還有很重要的一點,就是哪些人應知道滲透測試。真正的攻擊者可能會在任何時間發動攻擊。
確定滲透測試的範圍
在制定滲透測試的範圍時,你應該注意如下基本要點:
· 目標系統的確定:即確定應當測試哪些系統。其中包括網路位置、系統型別、對這些系統的業務使用等等。
· 測試工作的時間範圍:測試應當在何時開始?為滿足指定的測試目標,確定的時間範圍是什麼?
· 如何評估目標系統:你允許使用哪些測試方法(如掃瞄和漏洞利用)?如果你允許使用特定的測試方法,會帶來哪些風險?如果由於滲透測試而造成目標系統無法執行,其影響是什麼?例如,通過冒充雇員而使用社會網路,對關鍵系統使用拒絕服務攻擊,對有漏洞的服務執行指令碼,等等。有些方法可能比其它方法給系統帶來更高的風險。
· 工具和軟體:在滲透測試期間,你要使用哪些軟體和工具?很多安全專家認為,如果洩露了工具就等於洩露了秘密**。只有在安全專家在使用一些可以廣泛獲得的商業產品時,並且只是根據這些產品的報告來重新打造自己的品牌時,你才可能需要保密。有經驗的安全專家會透露自己使用的工具,在揭露漏洞時,還要記錄使用了工具的哪些命令才發現了漏洞。這可以使漏洞利用重現,並且允許客戶真正理解系統是如何被攻破的,也可以理解漏洞被利用的難度。
· 通知哪些人:誰應當知道滲透測試?向哪些人做簡要的敘述?需要他們做準備嗎?對滲透測試的反應是測試範圍的一部分嗎?如是這樣,在進行測試之前,不通知安全運營團隊就很有意義。如果你測試的是一款由另一方(例如,雲服務**商)託管的web應用時,通知對方就非常重要,因為你的服務可能會影響到**商。
· 初始訪問水平:在開始滲透測試之前,要提供哪些型別的資訊和訪問?滲透測試人員可以通過網際網路或內聯網訪問伺服器嗎?允許哪些型別的最初等級的賬戶訪問?對每個目標系統來說,這是乙個黑盒測試、白盒測試還是灰盒測試?
· 目標範圍的定義:這裡就是要確定滲透測試中的具體業務功能。例如,對銷售人員使用的特定web應用程式執行滲透測試,還不能影響到託管在同一伺服器上的不同應用。
· 關鍵操作範圍的確定:滲透測試者必須確定應避免改變和影響哪些系統,其目的是防止滲透測試服務造成的負作用。是否應禁止訪問活動的認證伺服器?非常重要的問題是,在對目標進行滲透測試之前,就明確定義對哪些資產進行測試。
· 標準的定義:滲透測試應該在何種程度上來攻擊系統或過程?是否應當清除資料,或者攻擊者僅需要獲得特定水平的未授權訪問?
· 交付什麼:最終交付的報告是什麼樣子的?在完成滲透測試服務協議時,客戶期望什麼樣的目標?要確保測試目標不是開放性的,這樣做的目的是為了避免測試範圍超出所期望的服務。是否對特定的人員進行資料分類或指定資料?最終的報告應該如何交付?非常重要的問題是,測試人員要交付乙個樣本報告,或者定期地對報告進行更新,這樣做的目的是為了避免最後的報告令人吃驚。
· 修復期望:你期望在查出漏洞時,還記錄一些可行的修復操作嗎?如果在滲透測試期間,造成了系統的不可用,我們應該通知哪些人呢?如果發現了敏感資料會發生什麼呢?多數滲透測試服務並沒有對所發現問題提出修復措施。
漏洞評估
在很多情況下,根據審計標準或基準進行安全測試或審計給客戶一種虛假的安全感。多數標準和基準都有一種長期更新的過程,卻無法跟得上當今世界快速發展的威脅變化。因而,安全測試和審計應提供超出安全標準和基準的安全服務,將安全水平提高到一種針對現實威脅的保護水平。
漏洞評估是一種對網路裝置、作業系統、應用軟體進行掃瞄的過程,其目的是為了確認已知和未知漏洞的存在。在發現漏洞後,滲透測試者並不會針對漏洞實施攻擊,驗證其是否真實。漏洞評估交付的結果提供了與所有漏洞有關聯的潛在風險。有許多解決方案(如kali linux)都可用於根據系統或伺服器的型別、根據開放的通訊埠或其它方式掃瞄漏洞。
只有漏洞掃瞄能夠計算風險,才具備真正的價值。許多安全審計的問題就是漏洞掃瞄的結果使安全審計更笨重,卻沒有什麼真正的價值。許多漏洞掃瞄器會提供虛假情報,或者會確認一些並不存存的漏洞。為什麼?這是因為這些漏洞掃瞄器錯誤地確認作業系統,或者錯誤地查詢特定的補丁來修復漏洞,卻沒有關注軟體的版本。將風險與漏洞結合起來分析,可以提供一種明確的定義,並且可以確切地知道乙個系統的脆弱程度。在很多情況下,這意味著需要對自動工具報告的漏洞進行檢查。
聯眾雲 如何讓你的軟文更有宣傳性?可以這樣做!
在網際網路的大環境下,基本上所有的企業都開始發展軟文營銷,可以鎖在營銷領域已經形成了一股勢不可擋的力量。和我nrzpiek們以前傳統的營銷手段比起來的話,文章營銷的效果更好,成本也更低,但是到底要如何才可以讓我們的文章更有宣傳性呢?下面就來看下聯眾雲小編對這個問題的解答。一 標題 對於一篇文章來說標...
這樣做,讓你的測試用例覆蓋性最強!
對專業的 測試人員來說,編寫 測試用例 並不陌生,但是如何編寫覆蓋性強的測試用例,就需要我們再三思考後落筆哦 首先我們來想下測試用例的前世今生 1.測試用例因何產生?2.測試用例為誰而寫?這兩個問題我們各用一句話來回答 測試用例是產品原型下的衍生物,為想要了解這個系統 需求 的人而寫,且隨著產品原型...
5個步驟讓你變得更有效率
現在生產力 productivity 已經成為衡量乙個人工作潛力的標準。我們總是要查閱email,有做不完的工作,不斷地接收新的資料和訊息,如何在能讓你自己變得更有效率,讓你在工作上快人一等?這裡有五個方法讓你回答 優先完成最重要的任務 你得不斷的收集你需要完成的任務 參考gtd 並且從中確定你最重...