团队内部渗透测试协同工作流

最新推荐文章于 2024-05-31 16:56:09 发布
最新推荐文章于 2024-05-31 16:56:09 发布
阅读量923 收藏 6
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/inject2006/article/details/119039138
版权

以往进行渗透测试的时候都是单兵作战,做了一些项目发现了一些实际的问题:

1. 渗透的交付能力依赖个人能力,大部分实际情况不可控。

2. 渗透交付后无法很好的沉淀复盘和知识共享,影响团队发展。

3. 个人渗透效率有限,导致团队资源使用不平衡。

为此,团队创新性引入了渗透项目协同的机制,通过分组的形式将擅长不同领域的成员的技能进行资源整合,最大化提高渗透效率,下图就是我们在渗透过程中采取的协同渗透流程图,分享出来给准备搭建渗透团队的同事共同讨论学习哈。

根据渗透工作中的各部分工作内容差别进行职能拆分,分为三个组:工具组、信息组、专家组。

分组

职能

所需技能等级

工具组
  1. 负责武器库的开发和维护。
  2. 负责中间件、框架、组件的漏洞复现和利用。
  3. 负责支持渗透项目的自动化、武器化工作。
  4. 负责将渗透项目的成果抽象到平台中,积累平台能力。
  5. 负责所有安全工具和平台的稳定运行。

渗透能力:★★★☆☆

研发能力:★★★★☆

文档能力:★☆☆☆☆

基础能力:★★★☆☆

信息组
  1. 担任项目经理的职责,对项目进度进行把控。
  2. 负责将资产根据个人情况分配给专家组。
  3. 对外负责对接所有客户的沟通工作,包括收集客户资产信息,沟通渗透进度等。
  4. 对内负责自动化工具的实施,资产管理,漏洞管理等。
  5. 负责各组之间的工作协调和沟通,负责渗透报告的整理和项目复盘等。

渗透能力:★★☆☆☆

研发能力:★☆☆☆☆

文档能力:★★★★☆

基础能力:★★☆☆☆

专家组
  1. 负责项目的人工审计。
  2. 负责拓扑、资产、框架、中间件的进一步研判。
  3. 负责输出渗透过程信息。
  4. 提出自动化需求给到工具组。
  5. 进行武器投递验证结果。

渗透能力:★★★★☆

研发能力:★☆☆☆☆

文档能力:★☆☆☆☆

基础能力:★★★☆☆

 

 

inject2006
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
看完就能知道渗透测试的技术结构
HBohan的博客
06-23 509
渗透测试 指在客户授权许可的情况下,青永资深安全专家将通过模拟黑客攻击的方式,主动挖掘系统安全漏洞,提前暴露系统潜在安全风险,提供解决方案及时修复,最大程度降低系统漏洞危害与漏洞修复成本。 渗透服务内容 安全性漏洞挖掘 找出应用中存在的安全漏洞。应用检测是对传统安全弱点的串联并形成路径,终通过路径式的利用而达到模拟入侵的效果。 发掘应用中影响业务正常运行、导致敏感信息泄露、造成现金和信誉损失的等的漏洞。 漏洞修复方案 渗透测试目的是防御,故发现漏洞后,修复是关键。 安全专家针对漏洞产生的原因
安全渗透测试流程-渗透测试准备
qq_38831517的博客
07-05 601
渗透测试流程仅针对公司内部渗透测试,可以获取到渗透测试源码,协同开发人员一起进行安全渗透测试,保证产品质量。 与外部渗透测试流程不同,这里获取产品信息的流程得以简化,渗透测试会比较深入,渗透测试结果不是只要发现一个问题就结束,而是要全面保证产品不会出现功能以外的安全问题。但是,众所周知,安全是相对的,完全保证安全是不可能的。那么,为达到尽可能找到所有问题的目的,最先需要了解的是渗透测试的边界。 渗透测试准备 目的:获取产品所有相关内容,并分析获取渗透测试的边界。 流程: 一. 联系领导提供的负责
项目团队成员分工明细表1
08-08
组员分工明细梁铭标负责系统架构设计项目开发安排,前后端交互,后端开发,需求分析文档以及数据库设计刘杰负责用户管理模块和仪表盘模块的前端页面开发,系统测试以及测试
如何使用Rayder组织编排漏洞侦查和渗透测试工作流
最新发布
2401_84466223的博客
05-31 693
Rayder是一款针对漏洞网络侦查和渗透测试自动化工作流工具,该工具本质上是一个命令行工具,旨在帮助广大研究人员更轻松地组织、编排和执行漏洞侦查和渗透测试工作流。Rayder允许我们在YAML文件中定义一系列功能模块,且每个模块都由要执行的命令所组成。Rayder可以帮助广大研究人员自动化复杂的流程,使重复的模块变得简单,并在命令不相互依赖的情况下并行执行。 首先,我们需要在本地设备上安装并配置好Go v1.16+环境。然后直接运行下列命令即可安装最新版本的Rayder: go install github
渗透测试团队与红队
m_ing
07-02 1681
前言:这两个词语经常被一起讨论,所以可能会让人感觉到有些混淆。在这里,我会谈一下我是如何理解渗透测试团队和红队这两个不同的术语的。 渗透测试团队更多的是对网络、应用程序以及硬件等方面进行严格的、全方位的测试。如果你之前没接触过渗透测试,我建议你先阅读一下渗透测试执行标准 PTES——这是一个关于如何进行渗透评估的非常好的指导手册。简而言之,你会经历确定渗透测试范围,然后对其进行详细的信息收集,下一步的漏洞挖掘,漏洞利用,以及后渗透阶段和最终的完成渗透测试报告等所有工作。在传统的网络测试中,我们经常会用扫描器
软件测试流程划分
Vincent_Han的博客
07-06 856
软件测试流程在不同公司不完全一样,但是测试流程整体思路基本是相通的,目标都是为了保障软件质量和提升测试效率,只是有的多有的少,有的做的好有的做的差,有的规范有的随意,仅此而已。 1、1到3个测试人员 有的小型创业公司非常不专业,流程几乎没有,就是开发提交版本,测试测出bug给开发修复,然后就完事了,甚至都没有bug记录,测试辅助开发,无测试团队,测试人员也归属于开发小组。 2、5人以上测试团队 有的是进行传统模式,根据项目大小及里程碑排期,测试需求分析,测试方案计划,测试用例编写,冒
揭秘渗透测试中的特殊队伍(一)-红队
这里是二进制空间安全博客,主要分享网络安全、信息安全和数据安全相关的技术文章。内容覆盖编程语言、基础知识、漏洞分析、攻防技巧、安全工具使用、最佳实践等安全技术主题。
09-04 413
渗透测试领域中,红队通常扮演技术进攻的角色,蓝队扮演技术防御角色, 而紫队主要是总结红蓝队的技术特点,通过技术协作的方式来测试和改进检测与防御机制,提高攻击和防御技能, 实现在攻与防的对立统一中达到新的安全整体标准。反蓝队是网络攻防演练中代表攻击方的红队的一种称呼,与以防御为主的蓝队不同,反蓝队的主要目的是发现系统和网络的漏洞,模拟黑客入侵的行为。红队通过在内网足迹的不断扩大,可以测试网络分割与控制的有效性,使蓝队见识到零信任安全的重要性,这需要各个系统实施严密的横向移动防御。
基于协同工作流的企业信息化系统研究与实现
07-05
该文通过对协同工作流技术的研究,结合某集团供应链协同工作流程,详细分析了面向企业供应链管理系统的特征,研究了其对工作流管理系统的要求,设计了面向企业供应链管理系统集成平台的工作流管理系统,该系统能够有效地...
OA.rar_CSharp oa_OA 工作流_协同_工作流
09-14
在当今数字化时代,企业信息化建设的重要性日益凸显,其中,OA(Office Automation)系统作为企业内部管理的重要工具,已经从最初的自动化办公扩展到涵盖工作流协同办公等多个领域。"OA.rar_CSharp oa_OA 工作流_...
解析异构应用系统业务协同工作流平台设计与实现
10-22
随着社会经济的快速发展,"应用孤岛"与业务协同的矛盾日益突出。IT行业的技术进步带来政务效率提高的同时,也会带来业务流程的变革。这种业务流程的变革也造成了原有应用系统无法使用或使用效率低下。  1 解决方案 ...
论文研究-工作流协同过程建模.pdf
07-22
首先分析了生产流程和管理流程的特点,给出了协同过程模型的形式化定义,最后用一个例子说明该方法与现有过程建模方法的差异。
一种基于STIX信息交互的渗透测试协作方案研究*
10-15
对网络安全工作渗透测试工作中的效率瓶颈问题进行了分析,总结了原有测试工作协作方式以及测试过程中的低效之处。对现有威胁情报实时信息共享标准(STIX)进行了介绍,提出了一种基于STIX信息交互的渗透测试协作方案。通过对STIX进行定制扩充,可有效提升测试人员与测试人员、测试人员与测试工具以及测试工具之间的信息交互效率,提高信息交互的标准化、自动化程度。
法拉第:协同渗透测试和漏洞管理平台
02-05
关于 Faraday引入了一个新概念-IPE(集成渗透测试环境)多用户渗透测试IDE。 设计用于分发,索引和分析安全审核期间生成的数据。 专为真正的渗透者而设计 Faraday旨在让您以真正的多用户方式利用社区中的可用工具。 Faraday将您加载的数据处理到不同的可视化文件中,这对管理人员和测试人员都是有用的。 为了简单起见,用户应该注意自己的终端应用程序与法拉第所包含的应用程序之间没有区别。 用户开发了一套专门的功能,可以改善自己的工作。 您还记得上一次没有IDE进行编程的情况吗? IDE是编程的法拉第就是渗透测试。 要了解最新功能,请查看! 安装 有关所有受支持的操作系统的最新预
源天协同工作流解决方案
03-04
随着信息化建设的不断发展,业务管理系统开始逐步建设,工作流越来越受到客户的关注和重视,工作流再也不是...工作流系统不仅仅是处理简单事物的平台,而是企业电子化的工作平台,需要和其他应用紧密集成和协同工作。
渗透测试八个步骤【渗透测试流程】
公众号【伤心的辣条】资料领取~
04-24 3765
渗透测试遵循软件测试的基本流程,但由于其测试过程与目标的特殊性,在具体实现步骤上渗透测试与常见软件测试并不相同。渗透测试流程主要包括8个步骤,如下图所示: 下面结合上图介绍每一个步骤所要完成的任务。 (1 )明确目标 当测试人员拿到需要做渗透测试的项目时,首先确定测试需求,如测试是针对业务逻辑漏洞,还是针对人员管理权限漏洞等;然后确定客户要求渗透测试的范围,如IP段、域名、整站渗透或者部分模块渗透等;最后确定渗透测试规则,如能够渗透到什么程度,是确定漏洞为止还是继续利用漏洞进行更进一步的测试,是否允许破.
渗透测试的基本流程
xv7777666的博客
04-27 239
在信息收集阶段,我们需要尽量多的收集关于目标web应用的各种信息,比如:脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面,用到的框架等。对于web应用的渗透测试,大致可分为三个阶段:信息收集、漏洞发现以及漏洞利用。分析渗透测试过程中可能产生的风险,如大量测试数据的处理、影响正常业务开展、服务器发生异常的应急、数据备份和恢复、测试人力物力成本...:web应用的漏洞(新上线程序)?:能渗透到什么程度(发现漏洞为止or继续利用漏洞)、时间限制、能否修改上传、能否提权...
渗透工程师日常探测漏洞全流程 初学者必看
weixin_59086772的博客
01-19 4905
相信大家对网络安全中的渗透测试都或多或少听说过吧,渗透测试对于网络安全来说是十分重要的,简单来说,就是对网站和服务器进行安全检测,渗透工程师通过合法的授权模拟不法分子的手段,来检测我们的网站及服务器是否存在漏洞,那具体流程是怎样的呢?请看下文: 第一步:明确目标 1. 确定范围:也就是测试的范围,如:IP、域名、内外网、整个网站还是部分模块; 2. 确定规则:渗透到的程序,比如是发现漏洞为止,还是继续利用漏洞、时间限制、能否修改上传,能否提权。 第二步:分析风险,获得授权 也就是分析整个渗透测
一次完整的渗透测试流程
课嗨教育的专栏
09-07 2287
渗透测试并没有一个标准的定义,一般通用的说法是,渗透测试是指一家单位授权另一家单位或个人模拟攻击者入侵来评估计算机系统安全的行为,过程中被授权单位工程师或攻击者个人利用自己所掌握的知识对授权系统进行渗透,发现存在的安全隐患及漏洞,然后编写报告交付给最开始授权单位。最开始授权单位根据提供的报告,安排相对应的开发人员或运维人员进行漏洞修复。这里需要注意,随着2017年6月1日开始实施的《》,根本意义上定义了我们如果是未经过授权许可的渗透测试行为均属于违法行为。如果你不知道具体网络安全法包含了哪些?
渗透测试——情报收集阶段——渗透测试信息数据库与共享
YT的博客
02-08 1907
使用数据库来保存渗透测试过程中获取的各种数据,这种数据库就是渗透测试信息数据库。在 Metasploit v4 中,提供了多种工具的数据库继承方案和数据导入接口,可以方便地使用这些功能将信息搜集的结果保存在 Metasploit 的数据库中。 使用渗透测试信息数据库的优势 使用方便:Metasploit 中的大量模块都使用了数据库接口,结果能够自动存入数据库中。Metasploit 提供了 db...
IBOS协同办公平台工作流设置操作指导手册范本.pdf
05-15
"IBOS协同办公平台的工作流设置操作指南" 在IBOS协同办公平台中,工作流是关键功能,它涵盖了企业日常办公和业务处理的各个环节,如申请、转交、审批、会签和备案。这个操作指导手册旨在帮助用户理解和掌握如何有效...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

inject2006

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值