渗透测试方法论概述
渗透测试是实施安全评估(即审计)的具体手段。方法论是在制定、实施信息安全审计方案时,需要遵循的规则、惯例和过程。人们在评估网络、应用、系统或三者组合的安全状况时,不断摸索各种务实的理念和成熟的做法,并总结了一套理论一渗透测试方法论。
渗透测试的种类
渗透测试对象:网络、应用、系统
黑盒测试:在进行黑盒测试时,安全审计员在不清楚被测单位的内部技术构造的情况下,从外部评估网络基础设施的安全性。在渗透测试的各个阶段,黑盒测试借助真实世界的黑客技术,暴露出目标的安全问题,甚至可以揭露尚未被他人利用的安全弱点。
渗透测试人员应能理解安全弱点,将之分类并按照风险等级(高、 中、低)对其排序。通常来说,风险级别取决于相关弱点可能形成危害的大小。渗透测试专家应能够确定可引发安全事故的所有攻击模式。
当测试人员完成黑盒测试的所有测试工作之后,他们会把与测试对象安全状况有关的必要信息进行整理,并使用业务的语言描述这些被识别出来的风险,继而将之汇总为书面报告。黑盒测试的市场报价通常会高于白盒测试。
白盒测试:白盒测试的审计员可以获取被测单位的各种内部资料甚至不公开资料,所以渗透测试人员的视野更为开阔。若以白盒测试的方法评估安全漏洞,测试人员可以以最小的工作量达到最高的评估精确度。白盒测试从被测系统环境自身出发,全面消除内部安全问题。从而增加了从单位外部渗透系统的难度。黑盒测试起不到这样的作用。白盒测试所需要的步骤数目与黑盒测试不相上下。
另外,若能将白盒测试与常规的研发生命周期相结合,就可以在入侵者发现甚至利用安全弱点之前,尽可能最早地消除全部安全隐患。这使白盒测试的时间、成本,以及发现、解决安全弱点的技术门槛都全面低于黑盒测试。
脆弱性评估:借助自动化工具进行漏洞扫描,并提出补救策略。
安全测试方法论
开放式Web应用程序安全项目OWASP
测试指南
开发人员指南
代码审查指南:OWASP top 10、Web十大安全漏洞
http://www.owasp.org.cn/owasp-project/2017-owasp-top-10
通用缺陷列表 CWE-79 XSS 漏洞
CWE-89 SQLi
通用漏洞与披露 http://cve.scap.org.cn
S2-053
MS17-010
一个安全公告对应一个漏洞
微软的补丁以KB开头
WEB十大安全威胁
A1:2017 – 注入
A2:2017 –失效的身份认证
A3:2017 –敏感信息泄漏
A4:2017 – XML外部实体(XXE) [新]
A5:2017 – 失效的访问控制 [合并]
A6:2017 – 安全配置错误
A7:2017 – 跨站脚本(XSS)
A8:2017 – 不安全的反序列化 [新,来自于社区]
A9:2017 –使用含有已知漏洞的组件
A10:2017 – 不足的日志记录和监控 [新,来自于社区]