首頁 | 安全文章 | 安全工具 | Exploits | 本站原創 | 關于我們 | 網站地圖 | 安全論壇
  當前位置:主頁>安全文章>文章資料>網絡安全>文章內容
風險評估中的滲透測試
來源:www.vfcocus.net 作者:vfocus 發布時間:2009-06-08  
本次要總結的是關于風險評估項目中的滲透測試,可能提到滲透測試,大家就會想到黑客入侵,而滲透測試和黑客入侵的最大區別在于滲透測試是經過客戶授權的,采用可控制、非破壞性質的方法和手段發現目標服務器和網絡設備中存在的弱點。

滲透測試只是風險評估項目中一部分,一個完整的評估項目應包括管理評估和技術評估兩方面,而管理類評估主要從管理制度、人員的訪談、問卷調查等幾方面展開,技術類評估采用的主要手段是工具掃描、人工評估、應用評估、滲透測試、網絡架構評估等。滲透測試只是技術評估的一個部分,它和工具掃描互相補充,因為大家都知道工具掃描有很高的效率和速度,但是因為軟件的局限性,在實際的掃描中會存在一定的漏報和誤報的問題,不能發現高層次、復雜性的安全問題,這時就需要滲透測試作為補充。一個完整的滲透測試流程應包括范圍的確定、制定方案、具體的實施、撰寫報告幾部分構成,具體如下圖:

 

1.gif
大小: 22.9 K
尺寸: 440 x 500
瀏覽: 0 次
點擊打開新窗口瀏覽全圖

下面將從以上幾個方面談談個人對滲透測試的理解

一、 確定滲透測試范圍

在我們進行滲透測試之前,首先要知道我們滲透的目標是什么?這個目標即是客戶給出的滲透測試的范圍,明確了滲透測試的范圍,下面我們要做的是制定滲透測試方案。

二、 制定滲透測試方案

滲透測試方案是對滲透測試工作的說明,即向用戶展示你在滲透測試過程可能會采取的測試手段以及工具的說明等。下面給出一份滲透測試方案的整體框架:

1、目標
2、范圍
3、滲透測試的必要性
4、滲透測試的可行性
5、系統備份和恢復措施
6、風險規避

目標 :闡述本次滲透測試的目標是什么?即通過滲透測試我們能幫助用戶發現哪些問題?譬如發現服務器和網絡設備中存在的弱點和威脅等。

范圍: 說明滲透測試的范圍,滲透測試都會有范圍的限定,即用戶會給定范圍,可能是一個應用系統或者一個IP 地址甚至整個內網,這便是滲透測試的范圍。滲透測試原則上是不允許對授權范圍外的主機和網絡設備進行滲透的。

滲透測試的必要性:主要說明為什么要做滲透測試?滲透測試能幫助解決哪些問題等。

滲透測試的可行性:因為一般客戶對滲透測試不是很了解,通常會將滲透測試和黑客入侵歸于同一類,因此我們在滲透測試方案中要向用戶說明什么是滲透測試?滲透測試的流程和采取的方法與手段是什么?以及滲透測試可能會采用的工具有哪些?譬如:

 

◆ AppScan 掃描web應用的基礎架構,進行安全漏洞測試并提供可行的報告和建議。

◆ Acunetix Web Vulnerability Scanner 網絡漏洞掃描工具,通過網絡爬蟲測試你的網站安全,檢測流行的攻擊方式等,它會自動檢查您的網頁程序漏洞,例如SQL注入、跨網站腳本和驗證頁面弱密碼破解。

◆ WebInspect 用于網絡應用程序掃描工具。

◆ thc-orakel Oracle測試工具

系統備份和恢復措施: 雖然滲透測試采用的是可控制、非破壞性質方法,但在實際的滲透測試過程中可能會發生不可預知的風險,所以在滲透測試前要提醒用戶進行滲透測試前要進行系統的備份。防止在出現問題時,可以及時的恢復。

風險規避: 主要對滲透測試中可能發生的風險進行說明,并針對這些風險我們將采取哪些手段進行有效的控制。譬如滲透測試的掃描不采用帶有拒絕服務的策略、滲透測試安排在業務低峰期進行等。值得提醒的是在滲透測試過程中,如果發現被評估系統發生服務停止或者服務器宕機的現象,應立即停止測試,并聯系客戶的管理人員進行原因的分析,在查明原因后方可繼續進行測試。

三、 滲透測試的實施

滲透測試的具體實施,即模擬黑客攻擊的手段,對被評估系統進行滲透。一般滲透測試采取的步驟如下圖:

 

2.gif
大小: 19.68 K
尺寸: 465 x 500
瀏覽: 0 次
點擊打開新窗口瀏覽全圖

對于以上的滲透測試過程,大家都很熟悉了,因為這些都是經常使用的一些方法,采取的手段無非是以上幾種。但需要說明的是在內網滲透中,最大的安全隱患是弱口令的的問題。我們在滲透內網時,應在滲透過程中,根據用戶的密碼規律制定字典,因為內網的管理員一般都會管理多臺機器,在我們通過弱口令等方式進入一臺服務器時,應通過抓取HASH 、破解 SAM 等方式來收集當前服務器上的密碼,密碼應包括但不限于以下幾個方面:

1、系統管理密碼
2、FTP 密碼
3、應用系統密碼(通常在配置文件可以查看到)
4、遠程管理工具的密碼,如 PcAnywher、Radmin、VNC等

將這些密碼做成字典,然后對目標機器進行掃描,一般都會得到一定的信息。

另外一個值得注意的是截圖的問題,因為在滲透測試結束后,我們要根據滲透測試的結果撰寫滲透測試報告,在報告中要使用圖片來展現我們的滲透結果。在截圖時,也有一定的技巧。因為滲透測試報告和我們平時看到的黑客入侵的文章不一樣,區別在于面向的讀者是不一樣的,滲透測試的閱讀者往往是安全部門的主管和高層領導等,他們往往對黑客攻擊不是很了解,舉例來說我們截3389 遠程桌面的圖遠不如截數據庫里的數據來得有說服力,很多領導可能你和他說我獲得了系統權限,他并不認為有什么危害,而如果你告訴他你獲得他們的敏感數據,譬如財務數據、客戶數據等,他就會覺得這是一個很嚴重的問題。

四、 撰寫滲透測試報告

滲透測試報告是提交給用戶的最終成果,滲透測試報告應將你滲透過程中采用的方法和手段進行說明,這個過程和我們平常寫入侵類的教程相似,即漏洞的發現 --> 漏洞的利用 --> 獲取權限 --> 權限的提升等。報告的最后應給出漏洞的加固建議,值得注意的是加固建議的可操作性。譬如 SQL 注入,對于懂得 SQL 注入的人來說,你和他說過濾相關敏感函數、進行輸入輸出驗證等,他就會明白,而對于用戶來說,應該更詳細,最好能詳細到每一步的操作步驟。關于滲透測試報告,根據自己的經驗總結如下幾點:

1、 滲透測試報告應考慮報告閱讀者的技術層次,報告應力求通俗易懂,但又不能過多的透露詳細的技術細節。前面已經提過,滲透測試報告不是黑客入侵教程,我們只需將發現漏洞的過程以及漏洞的危害闡述清楚即可,而不是將每一步使用了哪些方法甚至命令都詳細的羅列出來。

2、 報告應注重用戶關心的方面。很多用戶關心的是數據的安全,而對于系統的隱患并不會有太多的關注。譬如一個財務系統,獲取了財務數據遠比獲取系統權限來得有說服力。

3、 滲透測試報告應體現你的工作成果。這里的成果并不是你獲取了哪些數據或者系統權限,而是本次滲透測試你到底做了哪些工作?因為滲透測試是靠運氣和技術的,并不是每次滲透都能獲得結果。在我們沒有獲得任何結果的情況下,我們怎樣撰寫報告?我們不可能只寫一句話“本次滲透測試沒有發現任何問題!”,這會讓用戶有種被欺騙的感覺!他們會認為自己花的錢沒有體現出價值。所以我們必須要在滲透測試報告中說明我們嘗試了哪些方法和手段?譬如使用了 SQL 注入、跨站、Sniffer 等方法,但是沒有發現問題,最后定論用戶的系統是安全的。這樣會讓用戶覺得自己花錢來請你做滲透測試是值得的,畢竟你做這么多的工作。這一點是比較重要的,因為在實際的評估項目中,滲透沒有結果的情況,是經常發生的,滲透測試人員應學會在滲透沒有獲得任何結果的情況下,撰寫滲透測試報告。

4、 滲透測試報告應注意細節的美觀。細節方面主要是文檔的排版。一份好的滲透測試報告,應當給人一種專業的感覺,而不是隨便寫寫,這也是對自己的工作態度的一種展示,千萬不要給用戶留下不專業的感覺。


以上只是個人在滲透測試項目的一點看法和總結,因技術有限,難免有遺漏的地方,大家作為參考吧。

3

3


 
[推薦] [評論(0條)] [返回頂部] [打印本頁] [關閉窗口]  
匿名評論
評論內容:(不能超過250字,需審核后才會公布,請自覺遵守互聯網相關政策法規。
 §最新評論:
  熱點文章
·一句話木馬
·samcrypt.lib簡介
·教你輕松查看QQ空間加密后的好友
·web sniffer 在線嗅探/online ht
·SPIKE與Peach Fuzzer相關知識
·Cisco PIX525 配置備忘
·用Iptables+Fedora做ADSL 路由器
·檢查 Web 應用安全的幾款開源免
·asp,php,aspx一句話集合
·Md5(base64)加密與解密實戰
·NT下動態切換進程分析筆記
·QQ2009正式版SP4文本信息和文件
  相關文章
·何迪生:縱深防御管理保護企業核
·Penetration Testing 滲透測試 (
·論甲方的信息安全
·pfSense 防火墻硬件平臺性能評估
·信息安全管理體系在基金公司的實
·關于安全服務部門下半年規劃
·撰寫一組SNORT規則防御SQL注入
·發現最新式的DDOS攻擊方式
·跨站腳本攻防之道
·windows驅動漏洞發現與利用
·總結linux安全
·一句話木馬的部分整理
  推薦廣告
CopyRight © 2002-2020 VFocuS.Net All Rights Reserved
期本期特码