【渗透测试】关于网络安全渗透测试的常见误区

从攻击者的角度思考可以更快速了解企业在网络防御方面的不足。网络安全渗透测试工作的本质就是扮演攻击性黑客的角色，梳理企业的IT资产、寻找漏洞和攻击路径，以便更好地修复或应对风险。定期开展渗透测试对企业来说很宝贵，然而很多企业在准备制定渗透测试计划时，他们对渗透测试服务的理解和需求，往往与真实服务情况存在着很多偏差。本文梳理总结了企业在开展渗透测试工作时普遍存在的认知误区，并就如何避免这些错误给出了建议。

误区1 渗透测试总是主动发起的

开展渗透测试的主要目的是抢在攻击者之前发现系统的安全隐患和漏洞，因此渗透测试属于一种主动式的安全技术。但就具体的渗透测试工作而言，有时也会是被动发起的，例如当组织在调查网络攻击的原因时。在网络安全事件调查中，组织可以通过渗透测试以深入了解攻击的性质，并全面掌握该事件是如何发生的，采用的技术的是什么，以及攻击的动机是什么？因此，尽管大多数情况下，组织会主动执行测试以帮助防止违规行为。但渗透测试工作并不都是主动发起的，取证分析期间的渗透测试同样可以帮助企业了解发生了什么，从而帮助组织防止类似的事件再次发生。

误区2 渗透测试就是漏洞扫描

由于渗透测试和漏洞扫描都是为了识别潜在的威胁途径，因此很多人会将两者混为一谈。但实际上，漏洞扫描与管理主要包括识别和分类已知漏洞，生成需要注意的优先漏洞列表，并推荐修复它们的方法。而安全威胁非常多样，并不仅限于安全漏洞的利用。渗透测试侧重于模拟攻击者的行为，在服务完成后，测试人员需要生成一份详细报告，说明测试过程中是如何破坏安全性以达到先前商定的目标（例如破坏工资系统），并提供相应的威胁缓解方案。

误区3 渗透测试可以完全自动化

渗透测试自动化在理论上看起来不错，但在具体实现中会存在很多问题。为了实现常态化、持续性的安全能力测试，许多企业开始大量使用自动化技术驱动的安全测试方法，但需要指出的是：目前的自动化测试模式大多属于安全扫描，而非真正的渗透攻击测试。不可否认自动化测试的应用价值，但真正的攻击行为是和机器模拟入侵有很大差异的。经验、创造力和好奇心是渗透测试的核心，而这都是专业渗透人员独有的。人工测试是大多数的渗透测试项目不可或缺的，这样才能更好地从攻击者视角发现问题。

误区4 渗透测试意味着高成本

企业开展渗透测试工作需要一定的人力、技术和资金资源投入。虽然这些资源可能不容易获取，但它们在预防威胁方面具有的价值却值得组织投入心血。因为与网络攻击造成的经济损失相比，投入到渗透测试的成本可以说是微不足道的。随着数字化转型的深入，各种数据资产对企业而言是无价的，一旦数据被非法泄露，组织的商誉会受到严重损害。而如果攻击者的目标是为了勒索钱财，他们索要的赎金数额通常也会远高于渗透测试的成本预算。

误区5 渗透测试应该由外部人员执行

关于渗透测试有一个长期存在的误区是，外部人员执行渗透测试会比内部人员更有效，其原因是外部人员对企业的数字化系统并不熟悉，因此会更加客观。虽然客观性是渗透测试有效性的关键，但了解业务系统并不就意味着不客观。

因此，渗透测试可由企业内部员工、专业服务商或其他第三方机构完成。渗透测试由标准程序和性能度量组成，只要测试者能够严格遵循测试指导原则，测试结果就是有效的。对于企业而言，选择的重点不应该放在聘请外部或内部测试者上，而是应该放在寻找能够出色完成工作的测试者上。

误区6 渗透测试是阶段性的工作

很多企业认为，渗透测试只需要阶段性开展就可以，因为一次测试的报告结果将会长期有效。在网络空间千变万化的发展态势下，这种认知将给企业带来一定的安全风险。由于网络犯罪分子会不停地寻找系统中的漏洞，如果渗透测试间隔时间长，他们就有机会领先于企业发现可利用的新漏洞。传统的渗透测试是按照固定的时间表进行的，属于定期评估的概念。持续渗透测试则是一个不断扫描系统以发现漏洞的过程，会变得越来越重要。

误区7 渗透测试仅用于发现技术缺陷

渗透测试的目的是发现组织安全防护体系中的不足。在测试中，测试方可以应用包括社会工程方式在内的多种方法。因此，在渗透测试之前，通常会确定是否需要专门评估某项技术的安全性。在实际应用中，测试工程师可能会被授权做更多事情，例如扫描社交媒体以获取可利用的信息，或尝试通过电子邮件从用户那里获取敏感数据，甚至尝试欺骗获取用户的账号权限等。

误区8 所有渗透测试都大同小异

从本质上讲，渗透测试是一个主要依靠安全专家或团队以人工方式模仿攻击者的真实攻击行为，其目的是在数字化基础设施的不同层级找到进入可以攻破目标网络的最有效方法。根据测试方法和目标的不同，渗透测试通常分为外部测试、内部测试、盲测、针对性测试等。

很多企业为了节省成本，往往会选择收费更便宜的测试提供商和测试方式，并认为各种类型测试的结果会很相似，但事实并非如此。与大多数服务一样，渗透测试的程度差异很大，既有覆盖网络所有区域的广泛测试，也有针对网络中少数区域的非广泛测试。企业应该根据实际需求，专注于寻找从测试中获得的价值，而不是成本。

误区9 良好的测试结果意味着没有问题

从测试中获得一个好的结果只是一个良好的开始，但组织不应该沾沾自喜，这也不代表企业的网络安全防护工作高枕无忧。只要组织的数字化系统还在运行，它就时刻会面临各种不断出现的新威胁。良好的测试结果只是肯定了过去建设的成绩，并激励组织继续重视在安全方面的投入。企业应该持续性进行渗透测试，以消除新出现的威胁，并确保系统没有威胁。

误区10 渗透测试只适用于企业用户

有一种观念认为渗透测试是面向企业用户的，而不适用于个人用户，这是一种广泛的误解。渗透测试的目的是保护数据，而并非只有企业才拥有敏感数据，现代社会的每个人都会有大量的隐私数据，比如银行信息、信用卡详细信息和医疗记录等。攻击者同样会利用个人信息化应用的漏洞来访问并滥用数据。因此，我们每个人都应该提高数据安全和隐私保护的防范意识，在有条件的情况下，通过渗透测试来检验各种数据的安全性和可靠性。

说句题外话

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉【整整282G！】网络安全&黑客技术小白到大神全套资料，免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉【整整282G！】网络安全&黑客技术小白到大神全套资料，免费分享！