目录
渗透测试流程
无论是进行白盒测试还是黑盒测试,选择和使用测试步骤都是测试人员的责任。在测试开始前,测试人员需要根据目标系统的实际环境和已经掌握的相关目标系统的情况,指定最佳的测试策略。
渗透测试执行标准PTES
PTES:Penetration Testing Execution Standard,由7个阶段标准组成,可以在任意环境中进行富有成果的渗透测试。
1、事前互动
2、情报搜集
3、威胁建模
4、漏洞分析
5、漏洞利用
6、深度利用
7、书面报告
PTES的主要特性和优势
1、它是非常全面的渗透测试框架,涵盖了渗透测试的技术方面和其他重要方面。
2、它介绍了多数测试任务的具体方法,可指导您准确测试目标系统的安全状态。
3、它汇聚了多名日行一渗的渗透测试专家的丰富经验
4、它包含了最常用的以及很罕见的相关技术
5、它浅显易懂,可以根据测试工作的需要对相应测试步骤进行调整。
通用渗透测试框架
从技术管理的角度来看,遵循正规的测试框架对安全测试极为重要。通用渗透测试框架涵盖了典型的审计测试工作和渗透测试工作会涉及到的各个阶段。
相比于PTES,通用渗透测试框架更加细化。
相关阶段如下:
1、范围界定
在开始技术性安全评估之间,需要观察、研究目标环境的被测范围。同时需要了解该范围涉及到哪些单位。具体需要考虑的典型因素如下:
- 测试对象是什么?
- 应当采取何种测试方法?黑盒测试?白盒测试?
- 有哪些在测试过程中需要满足的条件?比如需要做内网渗透的测试,至少需要一台能够连入内网的pc。
- 哪些因素可能会限制测试执行的过程?
- 需要多久才能完成测试?
- 此次测试应当达成什么样的任务目标?
2、信息搜集
在划定了测试范围后