渗透测试方法论
0x00
渗透测试(penetration testing)是实施安全评估(审计)的具体手段。方法论是在制定,实施信息安全审计方案时,需要遵循的规则、惯例和过程。人们在评估网络、应用系统或三者组合的安全状况时,不断摸索各种务实的理念和成熟的做法,并总结了一套理论——渗透测试方法论。
0x01
渗透测试的种类
①:黑盒测试
在进行黑盒测试时,安全审计员在不清楚被测单位的内部技术构造的情况下,从外部评估网络基础设施的安全性。在渗透测试的各个阶段,黑盒测试借助真实世界的黑客技术,暴露出目标的安全问题,甚至可以揭露尚未被他人利用的安全弱点。
渗透测试人员应能够理解安全弱点,将之分类并按照风险等级(高、中、低)对其排序。通常来说,风险等级(级别)取决于相关弱点可能形成危害的大小。老练的渗透测试专家应能够确定可引发的安全事故的所有安全模式。当测试人员完成黑盒测试的所有测试工作之后,他们会把与测试对象安全状况有关的必要信息进行整理,并使用业务的语言描述这些被识别出来的风险,继而将之汇总为书面报告。黑盒测试的市场报价通常会高于白盒测试。
②:白盒测试
白盒测试的审计员是可以获取被测单位的各种内部资料甚至不公开资料,所以渗透测试人员的视野更为开阔。若以白盒测试的方法评估安全漏洞,测试人员可以以最小的工作量达到最高的评估精确度。白盒测试从被测系统环境自身出发,全面消除内部安全问题。从而增加了从单位外部渗透系统的难度。黑盒测试起不到这样的作用。白盒测试所需要的步骤数目与黑盒测试不相上下。另外若能将白盒测试与常规的研发生命周期相结合,就可以最早的消除全部安全隐患。这使得白盒测试的时间、成本,以及发现、解决安全弱点的技术门槛都全面低于黑盒测试。
③:脆弱性评估与渗透测试
脆弱性评估通过分析企业资产面临安全威胁的情况和程度,评估内部和外部的安全控制的安全性。这种技术上的信息系统评估,不仅揭露现有防范措施里存在的风险,而且要提出多重备选的补救策略,并将这些策略进行比较。内部的脆弱性评估可保证内部系统的安全性,而外部的脆弱性评估则是验证边界防护的有效性。无论进行内部脆弱性评估还是进行外部脆弱性评估,评估人员都会采用各种攻击模式来严格测试网络的资产的安全性,从而验证信息系统处理安全威胁的能力,进而确定应对措施的有效性。不同类型的脆弱性评估需要的测试流程、测试工具和自动化的测试技术也不相同。这可以通过一体化的安全弱点管控平台(vulnerability management)来实现。现在的安全弱点管理平台带有可自动更新的漏洞数据库,能够测试不同类型的网络设备,而且不会影响配置管理和变更管理的完整性。
脆弱性评估和渗透测试两者的最大的区别就是:渗透测试不仅要识别目标的弱点,它还要设计在目标的系统上进行漏洞利用、权限提升和访问维护。换句话说,脆弱性评估虽然可以充分发现系统里的缺陷,但是不会考虑去衡量这些缺陷去对系统造成的危害。另外,相比脆弱性评估,渗透测试更倾向于入侵,会刻意使用各种技术手段利用安全漏洞;所以渗透测试可能对生产环境带来实际的破坏性影响。而脆弱性评估以非入侵的方式,定性、定量得识别已知的安全弱点。
0x02
OWASP TOP 10应用安全风险——2017
1.
注入:将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。
2.
失效的身份认证和会话管理:通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其它用户的身份。
3.
跨站脚本(XSS):当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建HTML或JavaScript的浏览器API更新现有网页时,就会出现XSS缺陷。XSS让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点。
4.
失效的访问控制:未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或者数据,例如:访问其他用户的账户、查看敏感文件、修改其他用户的数据、更改访问权限等。
5.
安全配置错误:这通常由于不安全的默认配置、不完整的临时配置、开源云存储、错误的HTTP标头配置以及包含敏感信息的详细错误信息所导致的。
6.
敏感数据泄露:许多WEB应用程序和API都无法正确保护敏感数据。攻击者可以通过窃取或修补未加密的数据来实施信用卡诈骗、身份盗窃或其它犯罪行为。未加密的敏感数据容易遭受破坏,因此,我们需要对敏感数据加密,这些数据包括:传输中的数据,存储的数据以及浏览器的交互数据。
7.
攻击检测与防护不足: 大多数应用和API缺乏检测、预防和响应手动或自动化攻击的能力。攻击保护措施不限于基本输入验证,还应具备自动检测、记录和响应,甚至阻止攻击的能力。应用所有者还应能够快速部署安全补丁以防御攻击。
8.
跨站请求伪造 (CSRF): 一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求,包括受害者的会话 cookie和所有其他自动填充的身份认证信息,发送到一个存在漏洞的web应用程序。这种攻 击允许攻击迫使受害者的浏览器生成让存在漏洞的应用程序认为是受害者的合法请求的请求。
9.
使用含有已知漏洞的组件: 组件,比如:库文件、框架和其他软件模块,具有与应用程序相同的权限。如果一个 带有漏洞的组件被利用,这种攻击可以促成严重的数据丢失或服务器接管。应用程序和API 使用带有已知漏洞的组件可能会破坏应用程序的防御系统,并使一系列可能的攻击和影响成为可能。
10.
未受有效保护的API: 现代应用程序通常涉及丰富的客户端应用程序和API,如:浏览器和移动APP中的 JavaScript,其与某类API(SOAP/XML、REST/JSON、RPC、GWT等)连接。这些API通常是不 受保护的,并且包含许多漏洞。
最新的OWASP官方文档我已上传,若需可取:
OWASP TOP10 2017
通用缺陷列表(CWE) 【https://cwe.mitre.org/】
- CWE-79:XSS 漏洞
- CWE-89:SQLi 漏洞
通用漏洞与披露(CVE)【http://cve.scap.org.cn/】
- MS17-010
- S2-053
structs2
APACHE 开源开发JAVA框架
345
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
