- 滲透測試教程
- 滲透測試 - 首頁
- 滲透測試 - 簡介
- 滲透測試 - 方法
- 測試與漏洞評估
- 滲透測試 - 型別
- 手動與自動化
- 滲透測試 - 工具
- 滲透測試 - 基礎設施
- 滲透測試 - 測試人員
- 滲透測試 - 報告撰寫
- 滲透測試 - 倫理駭客
- 滲透測試與倫理駭客
- 滲透測試 - 限制
- 滲透測試 - 補救措施
- 滲透測試 - 法律問題
- 滲透測試資源
- 滲透測試 - 快速指南
- 滲透測試 - 資源
- 滲透測試 - 討論
滲透測試 - 快速指南
滲透測試 - 簡介
什麼是滲透測試?
滲透測試是一種安全測試型別,用於測試應用程式的不安全性。它旨在發現系統中可能存在的安全風險。
如果系統沒有得到保護,任何攻擊者都可以破壞或未經授權地訪問該系統。安全風險通常是在軟體開發和實施過程中發生的意外錯誤。例如,配置錯誤、設計錯誤和軟體錯誤等。
為什麼要進行滲透測試?
滲透測試通常評估系統保護其網路、應用程式、端點和使用者免受外部或內部威脅的能力。它還試圖保護安全控制並確保只有授權訪問。
滲透測試至關重要,因為 -
它識別模擬環境,即入侵者如何透過**白帽攻擊**攻擊系統。
它有助於找到入侵者可以攻擊以訪問計算機功能和資料的薄弱環節。
它支援避免**黑帽攻擊**並保護原始資料。
它估計對潛在業務的攻擊規模。
它提供證據表明,為什麼在技術安全方面增加投資很重要
何時執行滲透測試?
滲透測試是確保系統正常執行必不可少的要素,需要定期執行。此外,應在以下情況下執行 -
- 安全系統發現攻擊者的新威脅。
- 您新增新的網路基礎設施。
- 您更新系統或安裝新軟體。
- 您搬遷辦公室。
- 您設定新的終端使用者程式/策略。
滲透測試如何帶來益處?
滲透測試提供以下好處 -
**管理系統的增強** - 它提供有關安全威脅的詳細資訊。此外,它還對漏洞的程度進行分類,並建議您哪些漏洞更嚴重,哪些漏洞不那麼嚴重。因此,您可以透過相應地分配安全資源來輕鬆準確地管理您的安全系統。
**避免罰款** - 滲透測試使您組織的主要活動保持最新並符合審計系統。因此,滲透測試可以保護您免受罰款。
**防止財務損失** - 安全系統的簡單漏洞可能會造成數百萬美元的損失。滲透測試可以保護您的組織免受此類損失。
**客戶保護** - 即使是單個客戶資料的洩露也可能造成巨大的財務損失和聲譽損害。它保護與客戶打交道的組織並保持其資料完整。
滲透測試 - 方法
滲透測試是多種技術的組合,它考慮了系統的各種問題,並進行測試、分析和提供解決方案。它基於逐步執行滲透測試的結構化程式。
本章描述了滲透測試方法的各個步驟或階段。
滲透測試方法的步驟
以下是滲透測試的七個步驟 -
計劃與準備
計劃和準備從定義滲透測試的目標和目的開始。
客戶和測試人員共同定義目標,以便雙方具有相同的目標和理解。滲透測試的常見目標是 -
- 識別漏洞並提高技術系統的安全性。
- 獲得外部第三方確認的 IT 安全性。
- 增強組織/人員基礎設施的安全性。
偵察
偵察包括對初步資訊的分析。很多時候,測試人員除了初步資訊之外沒有太多其他資訊,例如 IP 地址或 IP 地址塊。測試人員從分析可用資訊開始,並在需要時請求客戶提供更多資訊,例如系統描述、網路計劃等。此步驟是一種被動滲透測試。其唯一目標是獲取系統完整而詳細的資訊。
發現
在此步驟中,滲透測試人員很可能會使用自動化工具掃描目標資產以發現漏洞。這些工具通常擁有自己的資料庫,其中包含最新漏洞的詳細資訊。但是,測試人員會發現
**網路發現** - 例如發現其他系統、伺服器和其他裝置。
**主機發現** - 它確定這些裝置上的開放埠。
**服務探測** - 它探測埠以發現其上實際執行的服務。
分析資訊和風險
在此步驟中,測試人員會在測試步驟動態滲透系統之前分析和評估收集的資訊。由於系統數量龐大且基礎設施規模龐大,因此非常耗時。在分析過程中,測試人員會考慮以下要素 -
滲透測試的既定目標。
對系統的潛在風險。
評估後續主動滲透測試的潛在安全漏洞所需的大致時間。
但是,從已識別系統的列表中,測試人員可能會選擇僅測試那些包含潛在漏洞的系統。
主動入侵嘗試
這是必須謹慎執行的最重要步驟。此步驟涉及在發現步驟中識別的潛在漏洞對實際風險的程度。當需要驗證潛在漏洞時,必須執行此步驟。對於那些具有非常高完整性要求的系統,在進行關鍵清理程式之前,需要仔細考慮潛在漏洞和風險。
最終分析
此步驟主要考慮所有已執行的步驟(如上所述)以及對以潛在風險形式存在的漏洞的評估。此外,測試人員建議消除漏洞和風險。最重要的是,測試人員必須確保測試及其披露的漏洞的透明度。
報告準備
報告準備必須從整體測試程式開始,然後分析漏洞和風險。高風險和關鍵漏洞必須優先考慮,然後是較低級別的漏洞。
但是,在記錄最終報告時,需要考慮以下幾點 -
- 滲透測試的總體摘要。
- 每個步驟的詳細資訊以及在滲透測試期間收集的資訊。
- 發現的所有漏洞和風險的詳細資訊。
- 系統清理和修復的詳細資訊。
- 未來安全建議。
滲透測試與漏洞
通常,這兩個術語,即滲透測試和漏洞評估,被許多人互換使用,這要麼是由於誤解,要麼是由於營銷炒作。但是,這兩個術語在目標和其他方面彼此不同。但是,在描述差異之前,讓我們首先逐一瞭解這兩個術語。
滲透測試
滲透測試複製外部和/或內部網路攻擊者/者的行為,旨在破壞資訊安全併入侵有價值的資料或擾亂組織的正常運作。因此,在高階工具和技術的幫助下,滲透測試人員(也稱為**道德駭客**)努力控制關鍵系統並獲取敏感資料的訪問許可權。
漏洞評估
另一方面,漏洞評估是在給定環境中識別(發現)和衡量安全漏洞(掃描)的技術。它是資訊安全狀況(結果分析)的全面評估。此外,它識別潛在的弱點並提供適當的緩解措施(補救措施),以消除這些弱點或降低風險水平。
下圖總結了漏洞評估 -
下表說明了滲透測試和漏洞評估之間的基本區別 -
| 滲透測試 | 漏洞評估 |
|---|---|
| 確定攻擊範圍。 | 在給定系統中建立資產和資源的目錄。 |
| 測試敏感資料收集。 | 發現對每個資源的潛在威脅。 |
| 收集目標資訊和/或檢查系統。 | 為可用資源分配可量化的價值和意義。 |
| 清理系統並提供最終報告。 | 試圖減輕或消除有價值資源的潛在漏洞。 |
| 它是非侵入性的,包括文件和環境審查和分析。 | 對目標系統及其環境進行全面分析和徹底審查。 |
| 它非常適合物理環境和網路架構。 | 它非常適合實驗室環境。 |
| 它適用於關鍵的即時系統。 | 它適用於非關鍵系統。 |
哪個選項最適合實踐?
這兩種方法具有不同的功能和方法,因此取決於相應系統的安全狀況。但是,由於滲透測試和漏洞評估之間的基本差異,第二種技術比第一種技術更有益。
漏洞評估識別弱點並提供修復它們的解決方案。另一方面,滲透測試僅回答“是否有人可以破壞系統安全性,如果可以,那麼他可以造成什麼危害?”
此外,漏洞評估試圖改進安全系統並開發更成熟、整合的安全程式。另一方面,滲透測試僅能提供安全程式有效性的概況。
正如我們在這裡看到的,與滲透測試相比,漏洞評估更有益且效果更好。但是,專家建議,作為安全管理系統的一部分,應定期執行這兩種技術,以確保完美的安全環境。
滲透測試型別
滲透測試的型別通常取決於範圍以及組織的意願和需求。本章討論了不同型別的滲透測試。它也稱為**滲透測試**。
滲透測試型別
以下是重要的滲透測試型別:
- 黑盒滲透測試
- 白盒滲透測試
- 灰盒滲透測試
為了更好地理解,讓我們詳細討論每個型別:
黑盒滲透測試
在黑盒滲透測試中,測試人員對將要測試的系統一無所知。他感興趣的是收集有關目標網路或系統的資訊。例如,在這種測試中,測試人員只知道預期的結果是什麼,而不知道結果是如何產生的。他不會檢查任何程式設計程式碼。
黑盒滲透測試的優點
它具有以下優點:
測試人員不一定是專家,因為它不需要特定的語言知識
測試人員驗證實際系統和規範之間的矛盾
測試通常從使用者的角度進行,而不是設計者的角度
黑盒滲透測試的缺點
它的缺點是:
特別是,這類測試用例難以設計。
可能不值得,如果設計人員已經進行了測試用例。
它不會進行所有測試。
白盒滲透測試
這是一項全面的測試,因為測試人員已獲得有關係統和/或網路的全部資訊,例如模式、原始碼、作業系統詳細資訊、IP地址等。它通常被視為內部來源攻擊的模擬。它也稱為結構化測試、玻璃盒測試、透明盒測試和開放盒測試。
白盒滲透測試檢查程式碼覆蓋率並進行資料流測試、路徑測試、迴圈測試等。
白盒滲透測試的優點
它具有以下優點:
它確保模組的所有獨立路徑都已執行。
它確保所有邏輯決策都已驗證,以及它們的真值和假值。
它發現打字錯誤並進行語法檢查。
它發現由於程式邏輯流與實際執行之間的差異而可能發生的設計錯誤。
灰盒滲透測試
在這種型別的測試中,測試人員通常會提供有關係統程式內部詳細資訊的部分或有限的資訊。它可以被視為外部駭客的攻擊,這些駭客已非法訪問組織的網路基礎設施文件。
灰盒滲透測試的優點
它具有以下優點:
由於測試人員不需要訪問原始碼,因此它是非侵入性和無偏見的
由於開發人員和測試人員之間存在明顯的區別,因此個人衝突的風險最小
您無需提供有關程式功能和其他操作的內部資訊
滲透測試的領域
滲透測試通常在以下三個領域進行:
**網路滲透測試** - 在此測試中,需要測試系統的物理結構以識別漏洞和風險,從而確保網路安全。在網路環境中,測試人員識別公司/組織網路設計、實施或操作中的安全缺陷。測試人員測試的裝置可以是計算機、調變解調器,甚至是遠端訪問裝置等
**應用程式滲透測試** - 在此測試中,需要測試系統的邏輯結構。它是一種攻擊模擬,旨在透過識別漏洞和風險來揭示應用程式安全控制的效率。防火牆和其他監控系統用於保護安全系統,但有時需要重點測試,尤其是在允許流量透過防火牆時。
**系統的響應或工作流程** - 這是需要測試的第三個領域。社會工程收集有關人際互動的資訊,以獲取有關組織及其計算機的資訊。測試相關組織防止未經授權訪問其資訊系統的能力是有益的。同樣,此測試專為組織/公司的流程而設計。
滲透測試 - 手動與自動化
手動滲透測試和自動化滲透測試都用於相同的目的。它們之間唯一的區別在於它們執行的方式。顧名思義,手動滲透測試由人類(該領域的專家)執行,而自動化滲透測試由機器本身執行。
本章將幫助您瞭解這兩個術語的概念、區別和適用性。
什麼是手動滲透測試?
手動滲透測試是由人類執行的測試。在這種型別的測試中,機器的漏洞和風險由專家工程師進行測試。
通常,測試工程師執行以下方法:
**資料收集** - 資料收集在測試中起著關鍵作用。可以手動收集資料,也可以使用線上免費提供的工具服務(例如網頁原始碼分析技術等)。這些工具有助於收集諸如表名、資料庫版本、資料庫、軟體、硬體,甚至有關不同第三方外掛等資訊
**漏洞評估** - 收集資料後,它有助於測試人員識別安全弱點並相應地採取預防措施。
**實際利用** - 這是專家測試人員用來對目標系統發起攻擊的典型方法,並且同樣降低了攻擊的風險。
**報告準備** - 滲透完成後,測試人員會準備一份最終報告,描述有關係統的所有內容。最後分析報告以採取糾正措施來保護目標系統。
手動滲透測試型別
手動滲透測試通常分為以下兩種方式:
**重點手動滲透測試** - 這是一種更集中的方法,用於測試特定的漏洞和風險。自動化滲透測試無法執行此測試;它僅由檢查給定域內特定應用程式漏洞的人類專家完成。
**全面手動滲透測試** - 透過測試相互連線的整個系統以識別各種風險和漏洞。但是,此測試的功能更多是情境的,例如調查多個較低風險的故障是否會導致更易受攻擊的攻擊場景等
什麼是自動化滲透測試?
自動化滲透測試速度更快、效率更高、更容易且更可靠,可以自動測試機器的漏洞和風險。這項技術不需要任何專家工程師,而是任何對該領域瞭解最少的人都可以執行。
自動化滲透測試的工具有Nessus、Metasploit、OpenVAs、backtract(系列5)等。這些都是非常有效的工具,改變了滲透測試的效率和意義。
但是,下表說明了手動和自動化滲透測試之間的根本區別:
| 手動滲透測試 | 自動化滲透測試 |
|---|---|
| 需要專家工程師執行測試。 | 它是自動化的,因此即使是學習者也可以執行測試。 |
| 它需要不同的工具進行測試。 | 它集成了工具,不需要任何外部工具。 |
| 在這種型別的測試中,結果可能因測試而異。 | 它具有固定的結果。 |
| 此測試需要測試人員記住清理記憶體。 | 它不需要。 |
| 它非常詳盡且耗時。 | 它更高效且快速。 |
| 它具有其他優點,即如果專家進行滲透測試,那麼他可以更好地分析,他可以思考駭客會怎麼想以及在哪裡進行攻擊。因此,他可以相應地設定安全措施。 | 它無法分析情況。 |
| 根據需要,專家可以執行多次測試。 | 它無法做到。 |
| 對於關鍵情況,它更可靠。 | 它不是。 |
滲透測試 - 工具
滲透測試通常包括資訊收集、漏洞和風險分析、漏洞利用和最終報告準備。
瞭解滲透測試提供的各種工具的功能也很重要。本章提供有關這些功能的資訊和見解。
什麼是滲透測試工具?
下表收集了一些最重要的滲透工具並說明了其功能:
| 工具名稱 | 用途 | 可移植性 | 預期成本 |
|---|---|---|---|
| Hping | 埠掃描 遠端作業系統指紋識別 |
Linux、NetBSD、 FreeBSD、 OpenBSD、 |
免費 |
| Nmap | 網路掃描 埠掃描 作業系統檢測 |
Linux、Windows、FreeBSD、OS X、HP-UX、NetBSD、Sun、OpenBSD、Solaris、IRIX、Mac等。 | 免費 |
| SuperScan | 執行查詢,包括ping、whois、主機名查詢等。 檢測開啟的UDP/TCP埠並確定哪些服務正在這些埠上執行。 |
Windows 2000/XP/Vista/7 | 免費 |
| p0f | 作業系統指紋識別 防火牆檢測 |
Linux、FreeBSD、NetBSD、OpenBSD、Mac OS X、Solaris、Windows和AIX | 免費 |
| Xprobe | 遠端主動作業系統指紋識別 埠掃描 TCP指紋識別 |
Linux | 免費 |
| Httprint | Web伺服器指紋識別SSL檢測 檢測啟用 Web 的裝置(例如,無線接入點、交換機、調變解調器、路由器) |
Linux、Mac OS X、FreeBSD、Win32(命令列和 GUI) | 免費 |
| Nessus | 檢測允許遠端攻擊者控制/訪問敏感資料的漏洞 | Mac OS X、Linux、FreeBSD、Apple、Oracle Solaris、Windows | 免費到限量版 |
| GFI LANguard | 檢測網路漏洞 | Windows Server 2003/2008、Windows 7 旗艦版/Vista、Windows 2000 Professional、Business/XP、Sever 2000/2003/2008 | 僅試用版免費 |
| Iss Scanner | 檢測網路漏洞 | Windows 2000 Professional SP4 版、Windows Server 2003 Standard SO1 版、Windows XP Professional SP1a 版 | 僅試用版免費 |
| Shadow Security Scanner | 檢測網路漏洞,稽核代理和 LDAP 伺服器 | Windows,但掃描任何平臺構建的伺服器 | 僅試用版免費 |
| Metasploit Framework | 開發和執行針對遠端目標的漏洞利用程式碼 測試計算機系統的漏洞 |
所有版本的 Unix 和 Windows | 免費 |
| Brutus | Telnet、ftp 和 http 密碼破解器 | Windows 9x/NT/2000 | 免費 |
滲透測試 - 基礎設施
計算機系統及其關聯網路通常由大量裝置組成,其中大多數裝置在執行相應系統的全部工作和業務中發揮著重要作用。任何時間點、任何裝置部件的微小缺陷都可能對您的業務造成巨大損害。因此,所有這些裝置都容易受到風險的影響,需要妥善保護。
什麼是基礎設施滲透測試?
基礎設施滲透測試包括所有內部計算機系統、關聯的外部裝置、網際網路網路、雲和虛擬化測試。
無論隱藏在您的內部企業網路中還是公開可見,攻擊者始終有可能利用這些漏洞來損害您的基礎設施。因此,最好提前做好安全防範,而不是事後後悔。
基礎設施滲透測試的型別
以下是基礎設施滲透測試的重要型別:
- 外部基礎設施滲透測試
- 內部基礎設施滲透測試
- 雲和虛擬化滲透測試
- 無線安全滲透測試
外部基礎設施測試
滲透測試針對外部基礎設施,發現駭客可以透過網際網路輕鬆訪問您的網路並可能執行的操作。
在此測試中,測試人員通常會複製駭客可能使用的相同型別的攻擊,方法是查詢並對映外部基礎設施中的安全漏洞。
利用外部基礎設施滲透測試有各種好處,因為它:
識別防火牆配置中的可能被誤用的漏洞
找出攻擊者如何從您的系統中洩露資訊
建議如何解決這些問題
準備一份全面報告,重點介紹邊界網路的安全風險,並提出解決方案
確保業務的整體效率和生產力
內部基礎設施滲透測試
由於一些小的內部安全漏洞,駭客在大型組織中非法進行欺詐。因此,透過內部基礎設施滲透測試,測試人員可以識別安全風險的可能性以及該問題是由哪個員工引起的。
內部基礎設施滲透測試的好處在於:
識別內部攻擊者如何利用即使是最小的安全漏洞。
識別內部攻擊者可能造成的潛在業務風險和損害。
改進內部基礎設施的安全系統。
準備一份全面報告,詳細說明內部網路的安全風險,並提供如何處理這些風險的詳細行動計劃。
雲和虛擬化滲透測試
當您購買公共伺服器或網路空間時,會大大增加資料洩露的風險。此外,在雲環境中識別攻擊者非常困難。攻擊者還可以購買託管雲設施以訪問您的新雲資料。
事實上,大多數雲託管都是在虛擬基礎設施上實現的,導致虛擬化風險,攻擊者可以輕鬆訪問。
雲和虛擬化滲透測試的好處在於:
發現虛擬環境中的實際風險,並建議修復威脅和漏洞的方法和成本。
提供解決問題/問題的指南和行動計劃。
改進整體保護系統。
準備一份關於雲計算和虛擬化的全面的安全系統報告,概述安全漏洞、原因和可能的解決方案。
無線安全滲透測試
筆記型電腦和其他裝置的無線技術提供了一種輕鬆靈活地訪問各種網路的方式。易於訪問的技術容易受到獨特的風險,因為物理安全無法用於限制網路訪問。攻擊者可以從遠端位置進行入侵。因此,無線安全滲透測試對於您的公司/組織來說是必要的。
以下是使用無線技術的原因:
查詢無線裝置造成的潛在風險。
提供如何防範外部威脅的指南和行動計劃。
改進整體安全系統。
準備一份關於無線網路的全面的安全系統報告,概述安全漏洞、原因和可能的解決方案。
滲透測試 - 測試人員
存在保護組織最關鍵資料的難題;因此,滲透測試人員的角色至關重要,任何小錯誤都可能使雙方(測試人員及其客戶)面臨風險。
因此,本章討論了滲透測試人員的各個方面,包括其資格、經驗和職責。
滲透測試人員的資格
此測試只能由合格的滲透測試人員執行;因此,滲透測試人員的資格非常重要。
合格的內部專家或合格的外部專家都可以執行滲透測試,前提是他們組織上獨立於目標系統。這意味著滲透測試人員必須在組織上獨立於目標系統的管理。例如,如果第三方公司參與目標系統的安裝、維護或支援,則該方不得執行滲透測試。
以下是一些在聘用滲透測試人員時可以參考的指南。
認證
認證人員可以執行滲透測試。測試人員持有的認證是他技能和勝任能力的體現。
以下是滲透測試認證的重要示例:
認證道德駭客 (CEH)。
Offensive Security 認證專業人士 (OSCP)。
CREST 滲透測試認證。
通訊電子安全小組 (CESG) IT 健康檢查服務認證。
全球資訊保證認證 (GIAC) 認證,例如,GIAC 認證滲透測試人員 (GPEN)、GIAC Web 應用程式滲透測試人員 (GWAPT)、高階滲透測試人員 (GXPN) 和 GIAC 漏洞利用研究員。
過去經驗
以下問題將幫助您聘用一名有效的滲透測試人員:
滲透測試人員有多少年的經驗?
他是獨立的滲透測試人員還是在為某個組織工作?
他作為滲透測試人員為多少家公司工作過?
他是否為任何規模和範圍與您相似的組織執行過滲透測試?
滲透測試人員擁有哪種型別的經驗?例如,進行網路層滲透測試等
您還可以向他為其工作過的其他客戶索取推薦信。
在聘用滲透測試人員時,評估他(測試人員)所工作組織過去一年的測試經驗非常重要,因為它與他/她在目標環境中專門部署的技術相關。
此外,對於複雜的情況和典型的客戶需求,建議評估測試人員在其/她之前的專案中處理類似環境的能力。
滲透測試人員的角色
滲透測試人員具有以下角色:
識別工具和技術的低效分配。
跨內部安全系統進行測試。
查明暴露點以保護最關鍵的資料。
發現整個基礎設施中寶貴的漏洞和風險知識。
報告和優先排序補救建議,以確保安全團隊以最有效的方式利用時間,同時保護最大的安全漏洞。
滲透測試 - 報告撰寫
經驗豐富的滲透測試人員不一定能寫出一份好的報告,因為編寫滲透測試報告是一門需要單獨學習的藝術。
什麼是報告編寫?
在滲透測試中,報告編寫是一項綜合性任務,包括方法、程式、報告內容和設計的正確解釋、測試報告的詳細示例以及測試人員的個人經驗。報告準備完成後,將與目標組織的高階管理人員和技術團隊共享。如果將來出現任何此類需求,則此報告用作參考。
報告編寫階段
由於涉及到全面的寫作工作,滲透報告編寫被分為以下階段:
- 報告計劃
- 資訊收集
- 撰寫初稿
- 審查和定稿
報告計劃
報告計劃從目標開始,這有助於讀者理解滲透測試的主要要點。此部分描述了為什麼進行測試,滲透測試的好處是什麼等。其次,報告計劃還包括測試所需的時間。
報告編寫的主要要素:
目標 - 描述滲透測試的總體目的和益處。
時間 - 包含時間非常重要,因為它提供了系統的準確狀態。假設如果以後發生任何錯誤,此報告將保護測試人員,因為報告將在特定時間段內說明滲透測試範圍內的風險和漏洞。
目標受眾 - 滲透測試報告還需要包括目標受眾,例如資訊安全經理、資訊科技經理、首席資訊安全官和技術團隊。
報告分類 - 由於它高度機密,包含伺服器 IP 地址、應用程式資訊、漏洞、威脅,因此需要妥善分類。但是,此分類需要根據具有資訊分類策略的目標組織進行。
報告分發 - 工作範圍應提及副本數量和報告分發方式。還需要說明可以透過列印數量有限的副本並附上副本編號和接收人姓名來控制紙質副本。
資訊收集
由於流程複雜且冗長,滲透測試人員需要詳細說明每個步驟,以確保在測試的所有階段都收集了所有資訊。除了方法之外,他還需要說明系統和工具、掃描結果、漏洞評估、發現的詳細資訊等。
撰寫初稿
一旦測試人員準備好所有工具和資訊,現在他需要開始撰寫初稿。首先,他需要詳細地撰寫初稿——提及所有內容,即所有活動、流程和經驗。
審查和定稿
報告起草完成後,首先需要由起草人本人審查,然後由協助他的上級或同事審查。在審查過程中,審查人員需要檢查報告的每個細節,並找出需要糾正的任何缺陷。
滲透測試報告內容
以下是滲透測試報告的典型內容:
執行摘要
方法
詳細發現
參考文獻
|
滲透測試 - 倫理駭客
網際網路的快速發展改變了每個人的生活方式。如今,大多數私人和公共事務都依賴於網際網路。政府的所有秘密工作計劃和行動都基於網際網路。所有這些都使生活變得非常簡單且易於訪問。
但隨著好訊息的到來,這種發展也存在陰暗面,即犯罪駭客。這些犯罪駭客沒有地理政治限制,他們可以從世界任何地方入侵任何系統。他們可以嚴重損害機密資料和信用記錄。
因此,為了防止犯罪駭客,道德駭客的概念應運而生。本章討論了道德駭客的概念和作用。
誰是道德駭客?
道德駭客是合法授權入侵計算機系統以保護系統免受犯罪駭客攻擊的計算機專家。道德駭客識別系統的漏洞和風險,並建議如何消除這些風險。
誰是犯罪駭客?
犯罪駭客是指那些出於竊取資料、竊取金錢、損害他人信譽、破壞他人資料、勒索他人等目的入侵他人系統的計算機程式設計專家。
犯罪駭客能做什麼?
一旦系統被入侵,犯罪駭客就可以對該系統為所欲為。以下兩張由C.C. Palmer釋出在pdf.textfiles.com上的圖片,說明了一個被入侵頁面的簡單示例:
這是網頁被入侵前的截圖:
這是同一網頁被入侵後的截圖:
道德駭客有哪些技能?
專家級道德駭客擁有以下技能來以道德的方式入侵系統:
他們必須值得信賴。
無論在測試系統時發現什麼風險和漏洞,他們都必須保密。
客戶會提供有關其系統基礎設施的機密資訊,例如IP地址、密碼等。道德駭客需要對這些資訊保密。
道德駭客必須具備紮實的計算機程式設計、網路和硬體知識。
他們應該具備良好的分析能力,能夠分析情況並提前推測風險。
他們應該具備管理能力以及耐心,因為滲透測試可能需要一天、一週甚至更長時間。
道德駭客做什麼?
道德駭客在執行滲透測試時,基本上會嘗試找到以下問題的答案:
- 犯罪駭客可以攻擊哪些弱點?
- 犯罪駭客可以在目標系統上看到什麼?
- 犯罪駭客可以使用這些機密資訊做什麼?
此外,道德駭客需要充分解決在目標系統中發現的漏洞和風險。他需要解釋並建議避免措施。最後,準備一份他執行滲透測試期間所做和觀察到的所有道德活動的最終報告。
駭客型別
駭客通常分為三類。
黑帽駭客
“黑帽駭客”是指精通計算機軟體以及硬體,其目的是破壞或繞過他人網際網路安全的人。黑帽駭客也被稱為破解者或暗黑駭客。
白帽駭客
“白帽駭客”一詞指的是道德計算機駭客,他們是計算機安全專家,專門從事滲透測試和其他相關的測試方法。他們的主要作用是確保組織資訊系統的安全。
灰帽駭客
“灰帽駭客”一詞指的是那些破解計算機安全系統,其道德標準介於純粹的道德和純粹的惡意之間的計算機駭客。
滲透測試與道德駭客
滲透測試與道德駭客密切相關,因此這兩個術語經常互換使用。但是,這兩個術語之間存在細微差別。本章深入探討了滲透測試和道德駭客之間的一些基本概念和根本區別。
滲透測試
滲透測試是一個特定術語,僅專注於發現漏洞、風險和目標環境,目的是保護系統並控制系統。或者換句話說,滲透測試針對的是各自組織的防禦系統,包括所有計算機系統及其基礎設施。
道德駭客
另一方面,道德駭客是一個廣泛的術語,涵蓋所有駭客技術和其他相關的計算機攻擊技術。因此,除了發現安全缺陷和漏洞以及確保目標系統安全之外,它還超越了入侵系統,但需要獲得許可才能為了將來目的保護安全。因此,我們可以說,它是一個統稱,而滲透測試是道德駭客的一個特徵。
以下是滲透測試和道德駭客的主要區別,如下表所示:
| 滲透測試 | 道德駭客 |
|---|---|
| 一個狹義的術語,僅專注於滲透測試以保護安全系統。 | 一個綜合性術語,滲透測試是其眾多特徵之一。 |
| 測試人員實際上不需要全面瞭解所有內容,而只需要瞭解其進行滲透測試的特定領域。 | 道德駭客實際上需要全面瞭解軟體程式設計以及硬體。 |
| 測試人員不一定需要成為優秀的報告撰寫者。 | 道德駭客實際上需要成為專業的報告撰寫專家。 |
| 任何具備一些滲透測試知識的測試人員都可以執行滲透測試。 | 它需要成為該領域的專業人士,並且必須擁有道德駭客的強制性認證才能有效。 |
| 與道德駭客相比,文書工作較少。 | 需要詳細的文書工作,包括法律協議等。 |
| 執行此類測試所需的時間較少。 | 與滲透測試相比,道德駭客需要花費大量時間和精力。 |
| 通常,不需要訪問整個計算機系統及其基礎設施。訪問許可權僅限於測試人員執行滲透測試的部分。 | 根據情況,通常需要訪問所有計算機系統及其基礎設施。 |
由於滲透技術用於防止威脅,潛在攻擊者也正在迅速變得越來越複雜,並在當前應用程式中發明新的弱點。因此,特定的單次滲透測試不足以保護被測試系統的安全。
根據報告,在某些情況下,在滲透測試後立即發現新的安全漏洞併發生了成功的攻擊。但是,這並不意味著滲透測試毫無用處。它只意味著,雖然透過徹底的滲透測試,不能保證不會發生成功的攻擊,但肯定的是,測試將大大降低成功攻擊的可能性。
滲透測試 - 限制
由於資訊和技術領域發展迅速,滲透測試的成功故事相對短暫。由於需要對系統進行更多保護,因此您需要更頻繁地執行滲透測試,以將成功攻擊的可能性降低到公司認可的水平。
以下是滲透測試的主要侷限性:
時間限制 - 我們都知道,滲透測試並非完全不受時間限制的練習;然而,滲透測試專家為每個測試分配了固定的時間。另一方面,攻擊者沒有時間限制,他們可以計劃一週、一個月甚至幾年。
範圍限制 - 許多組織由於自身限制,包括資源限制、安全限制、預算限制等,而不會測試所有內容。同樣,測試人員的範圍有限,他必須放棄系統中許多可能更容易受到攻擊的部分,這些部分可能是攻擊者完美的切入點。
訪問限制 - 測試人員通常對目標環境的訪問許可權受到限制。例如,如果一家公司對其整個網際網路網路的DMZ系統進行了滲透測試,但如果攻擊者透過正常的網際網路閘道器進行攻擊會怎樣呢?
方法限制 - 滲透測試期間目標系統可能會崩潰,因此某些特定的攻擊方法可能會被專業的滲透測試人員排除在外。例如,產生拒絕服務洪水來轉移系統或網路管理員的注意力,使其遠離其他攻擊方法,這通常是真正壞人的理想策略,但對於大多數專業的滲透測試人員來說,它可能會超出交戰規則。
滲透測試人員技能限制 - 通常,專業滲透測試人員的技能有限,無論其專業知識和過去經驗如何。他們中的大多數都專注於特定技術,並且對其他領域的知識很少。
已知漏洞利用限制 - 許多測試人員只瞭解那些公開的漏洞利用。事實上,他們的想象力不如攻擊者。攻擊者通常會超越測試人員的思維,發現可以攻擊的漏洞。
實驗限制 - 大多數測試人員都受到時間限制,並遵循其組織或上級已給予他們的指示。他們不會嘗試新事物。他們不會超出給定的指示進行思考。另一方面,攻擊者可以自由地思考、實驗,並建立一些新的攻擊途徑。
此外,滲透測試既不能取代例行的IT安全測試,也不能替代通用的安全策略,而是補充已建立的審查程式並發現新的威脅。
滲透測試 - 補救措施
滲透測試工作——無論多麼徹底——都無法始終確保詳盡地發現安全控制有效性不足的每個例項。在一個應用領域識別跨站點指令碼漏洞或風險,可能無法確定地暴露該應用中存在的此漏洞的所有例項。本章闡述了修復的概念和實用性。
什麼是修復?
修復是指採取措施改進以取代錯誤並將其糾正。通常,在一個區域中存在漏洞可能表明流程或開發實踐中的弱點,這些弱點可能在其他位置複製或導致類似的漏洞。因此,在進行修復時,測試人員務必仔細調查經過測試的實體或應用程式,並牢記安全控制無效的情況。
由於這些原因,相關公司應在原始滲透測試後的一段時間內採取措施修復任何可利用的漏洞。事實上,一旦公司完成了這些步驟,滲透測試人員應執行重新測試以驗證新實施的能夠減輕原始風險的控制措施。
在初始滲透測試後較長時間內進行的修復工作可能需要執行新的測試工作,以確保對最新環境的準確結果。此決定應在對自原始測試完成以來發生的變化程度進行風險分析後做出。
此外,在特定條件下,標記的安全問題可能說明相關環境或應用程式中的基本缺陷。因此,重新測試的範圍應考慮測試中識別出的修復導致的任何更改是否被歸類為重大更改。所有更改都應重新測試;但是,是否需要對整個系統進行重新測試將由對更改的風險評估確定。
滲透測試 - 法律問題
在允許某人測試敏感資料之前,公司通常會採取措施來維護資料的可用性、機密性和完整性。為了使此協議生效,法律合規性是組織的一項必要活動。
在建立和維護安全和授權系統時必須遵守的最重要的法律法規,在下面以實施滲透測試的上下文中呈現。
什麼是法律問題?
以下是測試人員和客戶之間可能出現的一些問題——
測試人員對客戶一無所知——那麼,他應該以什麼理由獲得敏感資料的訪問許可權?
誰來保證丟失資料的安全?
客戶可能會將資料或機密性丟失歸咎於測試人員
滲透測試可能會影響系統性能,並可能引發機密性和完整性問題;因此,這一點非常重要,即使是在由內部員工執行的內部滲透測試中,也必須獲得書面許可。在開始測試之前,測試人員和公司/組織/個人之間應存在書面協議,以澄清有關資料安全、披露等的所有事項。
在進行任何測試工作之前,應起草一份**意向宣告**,並由雙方簽署。應明確概述工作的範圍,以及在執行漏洞測試時,您可能進行或不進行的操作。
對於測試人員來說,瞭解誰擁有正在請求進行工作的業務或系統,以及測試系統與其目標之間可能受滲透測試潛在影響的基礎設施,這一點非常重要。其目的是確保;
**測試人員**擁有書面許可,並明確定義引數。
**公司**擁有其滲透測試人員的詳細資訊,並保證其不會洩露任何機密資料。
法律協議對雙方都有利。請記住,法規因國家/地區而異,因此請隨時瞭解您所在國家/地區的法律。在考慮相關法律後,再簽署協議。