含义:
渗透测试是一种通过模拟攻击者的技术和方法,挫败目标系统的安全控制措施并取得访问控制权的安全测试方式。
PTES标准中的渗透测试阶段:
该标准将渗透测试过程分为七个阶段,并在每个阶段定义不同的扩展级别
1.前期交互阶段
和客户组织进行讨论,确定渗透测试的范围和目标
2.情报搜集阶段
采用各种方法搜集要攻击的客户组织的各种信息
3.威胁建模阶段
使用上阶段所搜集的信息,标识出目标系统可能存在的安全漏洞与弱点。在进行威胁建模时,将确定最为高效的攻击方法,以及从哪里攻破目标系统。
4.漏洞分析阶段
考虑如何取得目标系统的访问权,综合所有信息,分析出哪些攻击途径是可行的
5.渗透攻击阶段
最好在基本上能够确定特定渗透测试攻击会成功时,才真正对目标系统试试渗透攻击
6.后渗透攻击阶段(关键环节)
从已经攻陷客户组织的一些系统或取得域管理权限之后开始。将以特定的业务系统作为目标,识别出关键的基础设施,并寻找客户组织最具价值和尝试进行安全保护的信息和资产
7.报告阶段
使用报告文档来交流在渗透测试过程中做了哪些、如何做的、客户组织如何恢复所发现的漏洞和弱点。报告至少分为摘要、过程展示、技术发现三个部分
渗透测试类型:
1.白盒测试
指渗透测试者在拥有客户组织所有知识的情况下所进行的测试。其问题在于:无法有效地测试客户组织的应急响应程序,也无法判断其安全防护计划对检测特定攻击的效率
2.黑盒测试
模拟一个对客户组织一无所知的攻击者所进行的渗透攻击。