渗透测试基础
PTES标准中的渗透测试阶段
- 前期交互阶段
与客户组织进行讨论,确定渗透测试的范围和目标。这个阶段最为关键的是需要让客户了解渗透测试将涉及哪些目标。而这个阶段也为你提供了机会,来说服客户走出全范围渗透测试的理想化愿景,选择更加现实可行的渗透测试目标来进行实际实施。 - 情报搜集阶段
采取各种可能的方法来搜集将要攻击的客户组织的所有信息,作为渗透测试者,最为重要的一项技能就是对目标系统的探查能力,包括获知它的行为模式、运行机理,以及最终可以如何被攻击。 - 威胁建模阶段
威胁建模阶段主要是使用你在情报搜集阶段所获取到的信息,来标识出目标系统可能存在的安全漏洞和弱点。在进行威胁建模是,你将确定最为高效的攻击方法、你所需要进一步获取到的信息,以及从哪里攻破目标系统。在威胁建模阶段,你通常需要将客户组织作为敌手看待,然后以攻击者的视角和思维来尝试利用目标系统的弱点。 - 漏洞分析阶段
一旦确定最为可行的攻击方法之后,你需要考虑的是如何取得目标系统的访问权。综合前面获取到的信息,从中分析和理解哪些攻击途径会是可行的。特别需要注意重点分析端口和漏洞扫描的结果。 - 渗透攻击阶段
最好是在基本确信特定的渗透攻击会成功的时候,才真正对目标系统实施这次渗透攻击,要记住的是,在尝试要触发一个漏洞时,你应该清晰的了解在目标系统上存在这个漏洞,不可进行大量漫无目的的渗透尝试,这种方式会造成大量喧闹的报警。 - 后渗透攻击阶段
后渗透攻击阶段从你已经攻陷了客户组织的一些系统或取得域管理权限之后开始,但离你搞定收工还有很多事情要做。
后渗透阶段将以特定的业务系统为目标,识别出关键的基础设施。在后渗透攻击阶段进行系统攻击时,你需要投入更多的时间来确定各种不同系统的用途以及它们中不同的用户角色。在难以处理的场景中寻找可用信息,激发灵感,并达到自己设置的攻击目标。作为一个职业的渗透测试者,你需要像恶意攻击者那样去思考,具有创新意识,能够迅速地地反应,并依赖于你的智慧和经验,而不是使用那些自动化的攻击工具。 - 报告阶段
报告是渗透测试过程中最为重要的因素,你将使用报告文档来交流你在渗透测试过程中做了哪些,如何做的,以及最为重要的–客户组织如何修复你发现的安全漏洞和弱点。
在进行渗透测试时,你是从一个攻击者的角度来进行工作的,这些工作一般客户组织会很少看到,而你在渗透测试过程中所获取到的信息是增强客户组织的信息安全措施以成功防御未来攻击的关键所在。当你在编写和报告你的发现时,你需要站在客户组织的角度上,来分析如何利用你的发现来提升安全意识,修补发现的问题,以及提升整体的安全水平,而并不仅仅是对发现的安全漏洞打上补丁。
你所撰写的报告上至少应该分为摘要。过程展示和技术发现这几个部分,技术发现部分将会被你的客户组织用来修补安全漏洞,但这也是渗透测试过程真正价值的体现位置。例如,你在客户组织的web应用程序中找出了一个SQL注入漏洞,你会在报告的技术发现部分来建议你的客户对所有用户的输入进行检查过滤,使用参数化的SQL查询语句,在一个受限的用户账户上运行SQL语句,以及使用定制的出错消息。当你的客户实现了你的建议修补了这个特定的SQL注入漏洞之后,那他们就能够抵御SQL注入攻击了吗?不是的!一个最可能导致SQL注入漏洞的根本原因是使用了未能确保安全性的第三方应用,而在你的报告中也应该充分地考虑这些因素,并建议客户组织进行细致检查并消除这些漏洞。
渗透测试类型
- 白盒测试
使用白盒测试,你将拥有所有的内部知识,并可以在不需要害怕被阻断的情况下任意的实施攻击。而白盒测试的最大问题在于无法有效地测试客户组织的应急响应程序,也无法判断出他们的安全防护计划对检测特定攻击的效率。如果时间有限,或是特定的渗透测试环节如情报搜集并不在范围之内的话,那么白盒测试可能是你最好的选择。 - 黑盒测试
与白盒测试不同的是,经过授权的黑盒测试是设计成为模拟攻击者的入侵行为,并在不了解客户组织大部分信息和知识的情况下实施的。黑盒测试可以用来测试内部安全团队检测和应对一次攻击的能力。
黑盒测试比较费时费力,同时需要渗透测试者具备更强的技术能力。在安全业界的渗透测试眼中,黑盒测试通常是更受崇拜的,因为它更逼真地模拟了一次真正的攻击过程。黑盒测试依靠你的能力通过探测获取目标系统的信息,因此作为一次黑盒测试的渗透测试者,你通常并不需要找出目标系统的所有安全漏洞,而只需要尝试找出并利用可以获取目标系统访问权限代价最小的攻击路径,并保证不被检测到。
漏洞扫描器
- 漏洞扫描器是用来找出指定系统或应用中安全漏洞的自动化工具。漏洞扫描器通常通过获取目标系统的操作系统指纹信息来判断其类别与版本,以及上面所运行的所有服务,一旦已经获取目标系统的操作系统与服务类型,你就可以使用漏洞扫描器执行一些特定的检查,来确定存在着哪些安全漏洞
- 漏洞扫描器适合用在无需考虑如何躲避检测的白盒测试中,从漏洞扫描器中获得到的信息可能非常有价值,但小心不要过分地依赖它们。渗透测试的美妙之处在于它不是一个千篇一律的自动化过程,成功地攻击系统通常需要你掌握更多的知识和技能。在大多数情况下,当你成为一名资深的渗透测试师之后,你将很少使用漏洞扫描器,而是依靠你自己的知识和专业技能来攻破系统。
- 小结:在进行任何实验、执行一次渗透测试时,请确信你拥有一个细化的、可实施的技术流程,而且还应该是可以重复的。作为一名渗透测试者,你需要确保不断地修炼情报搜集能力与漏洞分析技能,并尽可能达到精通的水平,这些技能在渗透测试过程中将是你面对各种攻击场景时的力量之源。
1868
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
