[渗透测试] 渗透测试导论

Da1NtY0926

已于 2024-06-25 17:30:30 修改

阅读量1.1k

点赞数 17

分类专栏：渗透测试文章标签：安全网络安全系统安全

于 2024-06-21 16:48:28 首次发布

本文链接：https://blog.csdn.net/Da1NtY/article/details/139864989

版权

渗透测试专栏收录该内容

15 篇文章 0 订阅

订阅专栏

渗透测试

概述

渗透测试（penetration testing, pentest）是实施审计的一种手段。目的是安全加固（漏洞修复）

网路安全重点：攻击和防御

关键词：安全弱点、安全风险、安全漏洞、“千里之堤，溃于蚁穴”

黑盒和白盒测试

黑盒测试

关键点：

不清楚内部单位技术构造
模拟黑客攻击的过程
风险等级
黑盒测试 = 安全弱点、风险、漏洞的发现 + 漏洞发现 + 后渗透

在不清楚被测单位的内部技术构造情况下，从外部评估网络基础设施（网络、应用、系统、目标资源）的安全性。

对安全风险进行分级（风险等级，高危、中危、低危，信息级别）

白盒测试

关键点：

获取被测单位全部资料或者有限资料
代码审计
可以与应用的研发生命周期（SDL）相结合

边研发边测试。从被测系统环境自身出发，全面消除内部的安全问题。

脆弱性评估

关键点：

脆弱性评估=安全弱点、风险、漏洞发现
评估方法：漏洞扫描+手工发现（使用漏洞扫描器）

脆弱性评估通过分析企业资产面临安全威胁的情况和程度，评估内部和外部的安全控制的安全性。不仅需要揭露现有的防范措施里存在的风险，而且要提出多重备选的补救策略。

安全测试方法论

重点：

OWASP Top 10
CVE和CWE的内容
了解重要组件的安全公告

OWASP

OWASP（Open Web Application Security Project，开放式Web应用程序安全项目）

渗透测试指南：https://owasp.org/www-project-web-security-testing-guide/
在这里插入图片描述

OWASP项目：https://owasp.org/projects/
在这里插入图片描述

OWASP TOP 10

2021版链接：OWASP-TOP10-2021中文版V1.0发布.pdf

A01：2021-失效的访问控制Broken Access Control	从第5位上升成为Web应用程序安全风险最严重的类别；提供的数据表明，平均3.81%的测试应用程序具有一个或多个CWE，且此类风险中CWE总发生漏洞应用数超过31.8万次。在应用程序中出现的34个匹配为“失效的访问控制”的CWE次数比任何其他类别都多。
A02：2021-加密机制失效Cryptographic Failures	排名上升一位。其以前被称为“A3:2017-敏感信息泄漏（Sensitive Data Exposure）”。敏感信息泄漏是常见的症状，而非根本原因。更新后的名称侧重于与密码学相关的风险，即之前已经隐含的根本原因。此类风险通常会导致敏感数据泄露或系统被攻破。
A03：2021-注入Injection	排名下滑两位。94%的应用程序进行了某种形式的注入风险测试，发生安全事件的最大率为19%，平均率为3.37%，匹配到此类别的33个CWE共发生27.4万次，是出现第二多的风险类别。原“A07:2017-跨站脚本（XSS）”在2021年版中被纳入此风险类别。
A04：2021-不安全设计Insecure Design	2021年版的一个新类别，其重点关注与设计缺陷相关的风险。如果我们真的想让整个行业“安全左移” ，我们需要更多的威胁建模、安全设计模式和原则，以及参考架构。不安全设计是无法通过完美的编码来修复的；因为根据定义，所需的安全控制从来没有被创建出来以抵御特定的安全攻击。
A05：2021-安全配置错误Security Misconfiguration	排名上升一位。90%的应用程序都进行了某种形式的配置错误测试，平均发生率为4.5%，超过20.8万次的CWE匹配到此风险类别。随着可高度配置的软件越来越多，这一类别的风险也开始上升。原“A04:2017-XML External Entities(XXE) XML外部实体”在2021年版中被纳入此风险类别。
A06：2021-自带缺陷和过时的组件Vulnerable and Outdated Components	排名上升三位。在社区调查中排名第2。同时，通过数据分析也有足够的数据进入前10名，是我们难以测试和评估风险的已知问题。它是唯一一个没有发生CVE漏洞的风险类别。因此，默认此类别的利用和影响权重值为5.0。原类别命名为“A09:2017-Using Components with Known Vulnerabilities 使用含有已知漏洞的组件”。
A07：2021-身份识别和身份验证错误Identification and Authentication Failures	排名下滑五位。原标题“A02:2017-Broken Authentication失效的身份认证”。现在包括了更多与识别错误相关的CWE。这个类别仍然是Top 10的组成部分，但随着标准化框架使用的增加，此类风险有减少的趋势。
A08：2021-软件和数据完整性故障Software and Data Integrity Failures	2021年版的一个新类别，其重点是：在没有验证完整性的情况下做出与软件更新、关键数据和CI/CD管道相关的假设。此类别共有10个匹配的CWE类别，并且拥有最高的平均加权影响值。原“A08:2017-Insecure Deserialization不安全的反序列化”现在是本大类的一部分。
A09：2021-安全日志和监控故障Security Logging and Monitoring Failures	排名上升一位。来源于社区调查（排名第3）。原名为“A10:2017-Insufficient Logging & Monitoring 不足的日志记录和监控”。此类别现扩大范围，包括了更多类型的、难以测试的故障。此类别在 CVE/CVSS 数据中没有得到很好的体现。但是，此类故障会直接影响可见性、事件告警和取证。
A10：2021-服务端请求伪造Server-Side Request Forgery	2021年版的一个新类别，来源于社区调查（排名第1）。数据显示发生率相对较低，测试覆盖率高于平均水平，并且利用和影响潜力的评级高于平均水平。加入此类别风险是说明：即使目前通过数据没有体现，但是安全社区成员告诉我们，这也是一个很重要的风险。