首頁 | 安全文章 | 安全工具 | Exploits | 本站原創 | 關于我們 | 網站地圖 | 安全論壇
  當前位置:主頁>安全文章>文章資料>網絡安全>文章內容
網絡滲透測試指導手冊
來源:vfocus.net 作者:vfocus 發布時間:2010-09-29  
什么是網絡滲透測試?滲透測試是一種最老的評估計算機系統安全性的方法。雖然滲
透測試的主要目標是發現組織中網絡基礎架構的安全漏洞;但是它也可能有許多次要目
標,包括測試組織的安全問題識別和響應能力,測試員工安全知識或測試安全性政策規范
等。本文手冊介紹了執行一個滲透測試,滲透測試中的策略、技術方法、種類、以及標準
等。
 
網絡滲透測試基礎  
 
滲透測試是一種最老的評估計算機系統安全性的方法。在 70年代初期,國防部就曾
使用這種方法發現了計算機系統的安全漏洞,并促使開發構建更安全系統的程序。滲透測
試越來越多地被許多組織用來保證信息系統和服務的安全性,從而使安全性漏洞在暴露之
前就被修復。
 
什么是滲透測試?
滲透測試是一種最老的評估計算機系統安全性的方法。在 70年代初期,國防部就曾
使用這種方法發現了計算機系統的安全漏洞,并促使開發構建更安全系統的程序。滲透測
試越來越多地被許多組織用來保證信息系統和服務的安全性,從而使安全性漏洞在暴露之
前就被修復。由于惡意代碼、黑客、不滿員工所造成的網絡入侵、數據偷竊和攻擊的頻率
和嚴重程度會繼續增加,所以網絡安全漏洞和數據偷竊所造成的風險和代價是極大的。由
于企業電子化的興起及其對安全性的要求,公司網絡的遠程訪問也在增加。事實上,即使
網絡實現管理的很好,并使用了最新的硬件和軟件,也仍然可能受到錯誤配置或軟件缺陷
的影響。這可能最終會將敏感信息的訪問權限泄漏給入侵者。使用滲透測試工具則能夠顯
著地減少這種情況的發生。
雖然滲透測試的主要目標是發現組織中網絡基礎架構的安全漏洞;但它也可能有許多
次要目標,包括測試組織的安全問題識別和響應能力,測試員工安全知識或測試安全性政
策規范等。
執行網絡滲透測試的原因
  滲透測試能夠通過識別安全問題來幫助一個單位理解當前的安全狀況。這使促使許
多單位開發操作規劃來減少攻擊或誤用的威脅。
  撰寫良好的滲透測試結果可以幫助管理人員建立可靠的商業案例,以便證明所增加
的安全性預算或者將安全性問題傳達到高級管理層。
  安全性不是某時刻的解決方案,而是需要嚴格評估的一個過程。安全性措施需要進
行定期檢查,才能發現新的威脅。滲透測試和公正的安全性分析可以使許多單位
重視他們最需要的內部安全資源。此外,獨立的安全審計也正迅速成為獲得網絡
安全保險的一個要求。
  現在符合規范和法律要求也是執行業務的一個必要條件。滲透測試工具可以幫助許
多單位滿足這些規范要求。
  啟動一個企業電子化項目的核心目標之一是實現與戰略伙伴、提供商、客戶和其他
電子化相關人員的緊密協作。要實現這個目標,許多單位有時會允許合作伙伴、
提供商、B2B 交易中心、客戶和其他相關人員使用可信連接方式來訪問他們的網
絡。一個良好執行的滲透測試和安全性審計可以幫助許多單位發現這個復雜結構
中的最脆弱鏈路,并保證所有連接的實體都擁有標準的安全性基線。
  當擁有安全性實踐和基礎架構,滲透測試會對商業措施之間的反饋實施重要的驗
證,同時提供了一個以最小風險而成功實現的安全性框架。
如何執行一個滲透測試?
 
一個良好的滲透測試是什么組成的?
雖然執行一個滲透測試有許多明顯的優點——執行滲透測試的價值在于它的結果。這
些結果必須是有價值的,而且對于客戶來說必須是很容易理解的。有一個常見的誤解是認
為滲透測試只是使用一些時髦的自動化安全工具,并處理所生成的報告。但是,成功執行
一個浸透測試并不僅僅是需要安全工具。雖然這些自動化安全測試工具在實踐中扮演了重
要的角色,但是它們也是有缺點的。事實上,這些工具一直無法真正模擬一個高深攻擊者
的行為。不管安全工具完成的報告有多么全面,其中總是有一些需要解釋的問題。
讓我們看看構成一個良好滲透測試的一些關鍵因素:
  建立參數:定義工作范圍是執行一個成功滲透測試的第一步,也是最重要的一
步。這包括定義邊界、目標和過程驗證(成功條件)。
  專業人員:配備技術熟練和經驗豐富的咨詢人員執行測試——他們了解自己要做
什么。換句話說,專業人員與一般人員是不同的。要保證他們是:
 能勝任的
 經驗豐富的
 遵守保密協議
  選擇足夠的測試集:手工的和自動的都會影響成功/效益之間的最佳平衡。
  遵循正確的方法:這并不是猜謎游戲。所有方面都需要規劃、文檔化和符合要
求。
  結果值:結果應該詳細地寫入文檔,并且要盡力使它們能被客戶所理解。不管是
技術報告還是執行總結,都需要一些注釋。應用安排一些安全咨詢人員/測試人
員來回復問題或解釋結果。
  測試結果與建議:這是滲透測試的一個非常重要的部分。最終的報告必須清晰地
說明成果,必須將成果與潛在的風險對應。這應該會附帶產生一個基于最佳安全
實踐方法的修正路線圖。
在我們討論浸透測試中所使用的測試策略和技術之前,讓我們先看一些可能很有用的
場景:
  建立新的辦公室
不管是建立新的公司或增加新的辦公點,浸透測試都有助于確定網絡基礎架構中的潛
在漏洞。例如,在增加新辦公點時執行內部測試是非常重要的,因為它會檢查網絡資源的
可用性,并檢查這些辦公點之間傳輸的流量類型。
  部署新的網絡基礎架構
每一個新的網絡基礎架構都應該能模擬黑客行為進行全面的測試。當執行外部測試
(預先不太了解基礎架構)來保證邊界安全性時,我們也應該執行內部測試來保證網絡資
源,如:服務器、存儲、路由和訪問設備,在邊界受到攻擊時仍然是足夠安全的,而且基
礎架構是能夠抗拒任何攻擊的。
  修改/升級現有的基礎架構
修改是不可避免的——可能是軟件、硬件或網絡設計,由于需要功能改進;修復重大
缺陷和/或應用新的需求,都可能引起修改/升級。不管現有的基礎架構在什么時候發生變
化,它都應該再次測試,以保證不會出現新的漏洞。必要測試的數量取決于基礎架構修改
的特征和程度。細小的變化,如配置變更為特定規則,將只需要進行端口掃描來保證預期
的防火墻行為,而重大的變化,如關鍵設備/OS版本升級,可能就需要徹底重新測試。
  部署新應用
當基礎架構進行徹底測試之后,新的應用(不管是連接 Internet 的或是在Intranet
中)在部署到生產環境之前也都必須進行安全性測試。這個測試需要在“實際的”平臺上
進行,以保證這個應用只使用預定義的端口,而且代碼本身也是安全的。 
  修改/升級一個現有應用
隨著基本架構發生變化,本質上應用也會發生變化。細小的變化,如用戶帳號修改,
都不需要測試。但是,重大的變化,包括應用功能變化,都應該徹底重新測試。
  定期重復測試
管理安全性并非易事,而公司不應該認為滲透測試就是所有安全問題的最終解決辦
法。如果這樣認為,那么他們只是相信了假的安全性。對敏感系統定期執行測試來保證不
會出現不按計劃的變化,一直都是一個非常好的實踐方法。
滲透測試有哪些策略?
 
在之前的文章中我們介紹了什么是網絡滲透測試,以及如何執行一個滲透測試,本文
中我們將重點介紹滲透測試的各種策略。
根據準備實現的具體目標,我們主要有以下不同的滲透測試策略:
  外部測試策略
外部測試指的是在單位系統以外位置執行程序來攻擊單位的網絡邊界,如Internet
或Extranet。這種測試的執行可能不會暴露有問題的環境,但也可能會完全暴露。這種測
試一般首先使用客戶的公共訪問信息,然后進行網絡枚舉,這是專門針對公司的對外服務
器或設備,如域名服務器(DNS)、電子郵件服務器、Web服務器或防火墻。
  內部測試策略
內部測試是在單位的技術環境內執行的。這種測試模擬由帶有標準訪問權限的不滿員
工或擁有授權訪客發起的內部網絡攻擊。它的重點是知道網絡邊界被入侵之后會出現的結
果,或了解授權用戶在單位網絡內部能夠穿透哪些具體的信息資源。雖然這兩種測試的結
果可能差別很大,但它們所使用的技術都比較類似。
  盲式測試策略
盲式測試策略的目標是模擬真實黑客的操作和流程。就像一個真實的攻擊一樣,測試
團隊在發起測試之前只有少量單位信息,或者根本沒有單位信息。這個浸透測試團隊使用
公開的信息(如企業網站、域名注冊信息、Internet 論壇、USENET和其它位置的信息)
來收集關于目標的信息來執行浸透測試。雖然盲式測試可以提供大量關于這個組織的信息
(所謂內部信息),但是這些信息之前是未知——一個盲式浸透可能會暴露這樣一些問
題,如附加的Internet接入端、直接連接的網絡、公開的保密/私有信息等。但是它需要
更多的時間和開銷,因為測試團隊需要花時間來研究測試目標。
  雙盲式測試策略
雙盲式測試是盲式測試策略的擴展。在這種測試中,這個組織的 IT和安全人員預先
不會得到通知或提醒,他們對于所規劃的測試活動是完全“看不見的”。雙盲測試是一種
非常重要的測試組件,因為它可以測試這個組織的安全監控和意外事件識別、升級和響應
過程。為了不影響這種測試的目標實現,這個組織中只有少數人會了解這個測試。通常只
有項目經理在仔細觀察整個測試過程,以保證測試過程的順利進行,同時使這個組織的意
外事件響應過程可以在達到測試目標后被關閉。
  定向測試策略
定向測試,或者所謂的明亮方法,這個測試在測試過程中同時引入了這個組織的 IT
團隊和浸透測試團隊。他們對于測試活動和關于測試目標及網絡設計的信息是非常清晰的
理解的。當測試的目標更關注于技術設置,或者網絡設計,而不是這個組織的意外事件響
應和其它運營過程,那么定向測試方法可能更加有效且更經濟。與盲式測試不同,定向測
試的執行時間更短些,開銷更小些,這其中唯一不同的是它可能不能完整了解一個組織安
全漏洞和響應能力。
本文中我們主要介紹了滲透測試的各種策略,接下來的文章中我們將介紹一些滲透測
試中使用的技術方法,以及它是如何在執行成功的滲透測試中發揮作用的。
滲透測試中使用哪些技術方法?
 
《滲透測試策略》中我們介紹了滲透測試的各種策略,接下來我們重點介紹一些滲透
測試中使用的技術/方法,以及它是如何在執行成功的滲透測試中發揮作用的:
  被動研究
顧名思義,被動研究是一種從公共域收集盡可能多的關于一個單位的系統配置信息的
方法,包括:
DNS (域名服務)
RIPE (Réseaux IP Européens) 
USENET (新聞組)
ARIN (美國網絡地址注冊管理組織)
* 被動研究一般是在外部滲透測試剛開始時采用。
  開源監控
這個服務是一種利用單位重要關鍵字的 Internet元數據搜索(包含網站、新聞專
線、新聞組等多目標搜索)的相關技術。數據收集后,發現的問題會向單位突出顯示。這
有助于確定單位的保密信息是否泄漏,或者它們之間是否發生電子會話。這使得一個單位
能夠采取必要的手段保證信息的保密性和完整性。
  網絡映射和OS識別
網絡配置虛擬化是滲透測試的一個重要部分。網絡映射可用于創建測試網絡的配置視
圖。所創建的網絡圖可以標明路由器、防火墻、Web 服務器和其它更設備的邏輯位置和 IP
地址。
此外,這種檢查有助于確定或“標識”操作系統。被動研究和諸如ping、
traceroute和 nmap 等網絡工具的測試結果,結合在一起可以幫助創建相當準確的網絡
圖。
網絡映射的一個擴展是端口掃描(Port Scanning)。這個技術是為了確定目標主機
的可用服務類型。掃描結果能夠發現一些重要的信息,如計算機的功能(它是否是 Web 服
務器、郵件服務器等),以及發現可能有嚴重安全風險的端口,如telnet。端口掃描應該
包含許多單獨的測試,這其中包括:
TCP(Transmission Control Protocol)掃描
連接掃描
SYN(或 half open)掃描
RST(或Xmas-tree)掃描
UDP (User Datagram Protocol)和ICMP (Internet Control Message Protocol)掃
描。nmap等工具可以執行此類掃描。
RPC (Remote Procedure Call)所使用的動態端口應該使用諸如 RPCinfo等工具進行
掃描。
  電子欺騙
電子欺騙指是使用其他人的 Internet 地址創建 TCP/IP 數據包,然后將相同的數據包
發送到目標計算機,使它認為數據包來自一個可信源。這是一種在一臺計算機模仿另一臺
計算機的操作。路由器是使用“目標 IP”地址來通過 Internet 轉發數據包的,但是它會
忽略“源IP”地址。目標主機給源地址發送響應時只使用源 IP地址。這個技術可用在內
部和外部的滲透測試中,用來訪問遭受入侵后只對某些特定計算機產生響應的一些計算
機。這可能導致一些高度機密信息被發送到未授權的系統上。IP欺騙也是許多不需要接收
響應(盲式欺騙)的網絡攻擊的主要部分。
  網絡嗅探
嗅探是用來捕捉網絡中傳輸的數據的技術。嗅探是一個重要的信息收集技術,它能夠
捕獲特定的信息,如密碼;如果需要的話,它也能夠捕獲特定計算機之間的完整會話。要
執行嗅探,計算機的網卡需要設置為混合模式,這樣它才能夠捕獲網絡中發送的所有數
據。
嗅探經常用在內部測試中,這時處理混合模式的嗅探器或計算機是直接連接到網絡上
的,從而能夠捕獲大量的信息。嗅探可以通過許多商業工具執行,如 Ethereal、Network
Associates SnifferPro和 Network Instruments Observer。
  木馬攻擊
木馬一般是通過電子郵件附件或 IM聊天工具在網絡中傳播的一些惡意程序。這些程
序是秘密運行的,并在用戶不知情的情況下安裝到客戶計算機上。一旦被安裝,它們就可
能打開遠程控制通道給攻擊者或者盜取信息。滲透測試目的是嘗試將專門準備的木馬程序
發送到網絡中。
  暴力攻擊
暴力攻擊指的是嘗試使用大量的字母組合和窮舉試錯法來查找合法身份認證信息。這
種耗費時間的方法的根本目標是要獲得目標系統的訪問權限。暴力攻擊可能會造成系統過
載,也可能使它無法響應合法的請求。此外,如果系統啟用了帳號鎖定規則,那么暴力攻
擊可能會造成合法用戶帳號的關閉。
  漏洞掃描/分析
漏洞掃描/分析是針對目標區域的單位網絡基礎架構進行窮舉檢查,以確定它們當前
的狀態。掃描的目標范圍可能是單個系統或一些關鍵系統,也可能是整個網絡。它通常是
使用自動化工具執行的,這些工具能夠測試系統數據庫已知漏洞方面的大量潛在弱點,并
報告潛在的安全問題。雖然它們不能主動防御攻擊,但是許多掃描程序都提供了附加的工
具幫助修復所發現的漏洞。一些通常使用的漏洞掃描程序包括:開源 Nessus Project 的
Nessus、ISS Internet Scanner、GFI Software的 GFI LANguard Network Security
Scanner、eEye Digital Security的Retina Network Security Scanner、BindView RMS
漏洞管理解決方案和Network Associates CyberCop。
  場景分析
當漏洞掃描完成并發現問題,下一步就是要執行場景分析。這個測試的目標是利用所
識別的安全漏洞執行一個系統侵入以產生可測量的后果,如盜取信息、盜取用戶名和密碼
或篡改系統。這種級別的測試可以保證不產生誤報,并產生更精準的漏洞風險評估。目前
有許多的工具可以協助探索測試,雖然這個過程通常都是手工進行的。搜索測試往往是滲
透測試的最終環節。
滲透測試的種類介紹
 
滲透測試是完全依賴于操作范圍的——像入侵程度就是與范圍直接關聯的。例如,有
時在一個特定系統中發現漏洞就足夠了。因此,基于約定的范圍來選擇正確的滲透測試對
于安全人員來說是非常重要的。本文將介紹不同的滲透測試方法。
滲透測試的種類
拒絕服務(DoS)測試
拒絕服務測試指的是嘗試通過耗盡測試目標的資源來發現系統的特定弱點,這種方法
會導致系統停止對合法請求的響應。這種測試可以使用自動化工具或手動執行。各種類型
的DoS可以概括地分成軟件探索和洪水攻擊。滲透測試應該包含多大程度的拒絕服務測試
取決于信息系統及相關過程活動的持續相對重要性和連續可用性。拒絕服務可以采用許多
格式;以下所列是一些對測試而言比較重要的格式:
•資源過載——這些攻擊的目的是耗盡攻擊目標的資源(如,內存),從而使之停止
響應。
•洪水攻擊——是指通過發送超大數量的網絡請求來達到耗盡的目的。這種攻擊可以
通過以下方式實現:
ICMP(Internet Control Message Protocol),即所謂的“smurf”攻擊;
UDP (User Datagram Protocol),即所謂的“fraggle”攻擊。
•半開放SYN 攻擊——是指在目標系統局部開放大量的 TCP連接,這樣就無法再啟動
合法連接。
•編外攻擊——這些攻擊試圖通過破壞 IP報頭標準來使目標系統崩潰:
超大數據包(ping of death)——數據報頭顯示數據包所包含大于實際大小的數
據。
分片(淚滴攻擊)——發送很短的重疊分片數據包(數據包片斷)。
IP 源地址欺騙(落地攻擊)——導致計算機創建連接自己的 TCP連接。
畸形 UDP數據報頭(UDP炸彈)——UDP報頭顯示了不正確的長度。
應用安全性測試
隨著企業電子化的發展,核心業務功能現在越來越多地通過Web應用實現。雖然連接
Internet的應用使一個組織實現了全球客戶訪問,但是給予合作伙伴訪問內部網的權限會
帶來新的安全漏洞,即使使用了防火墻和其它監控系統也一樣,安全性也可能受到威脅,
因為流量是必須通過防火墻的。應用安全性測試的目標是評估對應用的控制(電子商務服
務器、在線財務應用、分布式應用和遺留系統的Internet前端)和它的處理流。評估的
方面可能包括應用是否使用加密方法來保護信息的保密性和完整性,用戶是如何驗證的,
Internet用戶會話與主機應用的完整性,以及Cookie 的使用——存儲在客戶計算機上由
Web服務器應用所使用的一塊數據。
讓我們了解應用測試的一些重要組件:
代碼檢查:代碼檢查指的是分析所有應用代碼來保證它們不包含任何可被入侵者利用
來攻擊應用的敏感信息。例如:公共應用代碼可能會包含一些測試注釋,其中的名稱或明
文密碼可能會給入侵者提供大量關于這個應用的信息。
授權測試:指是測試負責初始化和維護用戶會話的系統。它要求測試:
登錄的輸入驗證——無效字符或過長的輸入可能會產生意外結果;
安全性——Cookie 可能被盜取,而合法會話可能會被未授權的用戶使用;
帳號鎖定測試——測試應用中設置的超時和入侵鎖定參數,保證合法會話不會被劫
持。
這個測試是用來發現登錄系統是否可能被迫允許未授權訪問。這個測試也將使用相同
的技術來發現系統是否容易受到拒絕服務攻擊的影響。
功能測試:這指的是測試負責交付用戶功能的系統。這個測試包括:
輸入驗證——無效字符、特殊 URL或者過長的輸入都可能會產生意外的結果;
事務測試——保證應用執行符合規范,并且不允許用戶濫用系統。
戰爭撥號
戰爭撥號是一種有組織地呼叫一系列電話號碼來試圖發現一個組織網絡中可能存在的
調制解調器、遠程訪問設備和計算機的維護連接。通過使用戰爭撥號方法,黑客可能能夠
定位到組織中易受攻擊的編外入口,從而操作它們來訪問網絡。IT人員忽視了電話網絡,
作為一個可能的主要接入端,它也是越來越多遭受此類攻擊的主要因素之一。例如:在關
鍵的網絡服務器、路由器和其它設備上打開調制解調器可能會不小心將組織網絡的入口暴
露出去。在這個測試中,一旦調制解調或其它連接設備被發現,那么就應該使用分析和搜
索技術來評估這個連接是否能夠用于入侵這個單位的信息系統網絡。
無線網絡的滲透測試
隨著無線網絡的出現,不管是在企業網絡基礎架構內還是在家里,都會造成更多的安
全漏洞,而且它們比有線網絡更容易受到攻擊。因為只有邊界無線網絡才知道它們的信
號,所以黑客更容易以“駕車”或沿辦公樓四處走動的方式來使用無線網絡設備發現可用
的無線網絡——這就是所謂的“戰爭駕駛”。一旦發現開放的無線接入端,他們就會標記
下來,所以最后他就能夠得到一個帶有接入端屬性(SSID、WEP、MAC 等)的無線網絡圖。
無線網絡測試的目標是確定一個組織的無線網絡的設計、實現或運營中的安全缺陷或漏
洞。
社會工程
這種方法通常與盲式或雙盲式測試一起使用,社會工程指的是搜索以收集信息為目的
的人類本性(最主要是人的信任感和幫助姿態)的技術。這種方法是通過與單位員工、提
供商和合同方的社會互動來收集信息和侵入這個組織的系統。這些技術可能包括:
非面對面的方式:假裝作為 IT 部門的幫助臺代表,要求用戶提供他們的用戶帳號和
密碼信息;
面對面或高級社交工程的方式:假裝為內部員工而獲得可能帶有敏感信息的受限區域
的物理訪問;攔截郵件、快件或者垃圾(大型垃圾裝卸車)來搜索打印材料上的敏感信
息。
社會工程活動可以測試技術要求較低但同等重要的安全組件:單位的人員能夠幫助或
阻止對信息和信息系統的未授權訪問。這也有助于確定員工之間安全知識的水平。
滲透測試的方法與標準
 
成功執行滲透測試的其一個主要因素是底層的方法。缺少正式的方法意味著沒有一致
性——我很確定這一點——你一定不希望成為那個受邀卻無視測試人員漫無目的地操作的
人。雖然滲透測試人員需要有適合的專業技術,但也不能缺少正確的方法。換句話說,一
個正式的方法應該能夠提供一個用于構建完整且準確的滲透測試的嚴格框架,但是不能夠
有限制——它應該允許測試人員充分發揮各自的聰明才智。
由 Pete Herzog提出的Open Source Security Testing Methodology Manual
(OSSTMM)已經成為執行滲透測試和獲得安全基準的事實方法。根據Pete Herzog 的觀點,
“OSSTMM的主要目標是實現透明度。它實現了對那些不具備充足安全配置和政策的人的透
明度。它實現了對那些沒有執行足夠安全性和滲透測試的人的透明度。它實現了對那些已
經很缺乏安全預算的犧牲者仍然盡力壓榨其每一分預算的無良安全供應商的透明度;以及
對那些回避商業價值而炒作法律規范、網絡破壞和黑客等威脅的人的透明度。OSSTMM的滲
透測試范疇包括從初始需求分析到生成報告的整個風險評估過程。”這個測試方法包含了
六個方面:
•信息安全性
•過程安全性
•Internet 技術安全性
•通信安全性
•無線安全性
•物理安全性
OSSTMM關注測試項的技術細節,在安全必測試之前、期間和之后需要做什么,以及
如何界定結果。針對國際化最初實踐方法、法律、規章和道德問題的新測試都會定期增加
和更新。
National Institute of Standards and Technology (NIST)在 Special
Publication 800-42, Guideline on Network Security Testing中討論了滲透測試。
NIST的方法雖然不及 OSSTMM 全面,但是它更可能被管理部門所接受。
另一個需要注意的方面是滲透測試服務提供商。每一個單位在滲透測試過程中最擔心
的一個問題是敏感信息可能通過錯誤的路徑。因此,收集盡可能多關于公司的信息變得非
常重要(如他們的技術能力、證書、經驗、方法和所使用的工具),并且要保證他們是專
業人員。此外,有一些專業的官方證書可以表明公司的可信賴程度及其與行業最佳實踐的
一致性。
滲透測試標準
讓我們看一些現有的標準和準則:
信息系統審計標準(ISACA):ISACA 是在1967年成立的,并且成為領先的全球性信
息管理、控制、安全和審計專家組織。它的 IS審計和 IS 控制標準得到了世界范圍的實踐
應用,而且它的研究能精確定位威脅它組成成分的專業問題。CISA,即Certified
Information Systems Auditor,是ISACA的基礎認證。
CHECK:CESG IT Health Check 模式是專門用于保證敏感管理網絡和那些組成 GSI
(Government Secure Intranet)和CNI(Critical National Infrastructure)的組件
是安全的且經過較高級別的測試。這個方法的目標是發現 IT系統和網絡中發現可能威脅
IT系統信息的保密性、完整性和可用性的漏洞。只有在需要對 HMG 或相關部分測試時才需
要CHECK咨詢公司的參與,并且他們也要滿足以上要求。CHECK 已經成了滲透測試及UK 內
滲透測試的事實標準。屬于 CHECK的公司必須擁有明確安全性且通過 CESG Hacking
Assault Course的員工。然而,除了 UK Government 協會,下面所介紹的開源方法也是可
行且全面替代方法。
OSSTMM:Open Source Security Testing Methodology Manual 的目標是為Internet
安全測試創建一個標準。它將構成這種測試的綜合基線,保證執行徹底和全面的滲透測
試。這能夠使客戶確定與其它組織問題無關的技術評估級別,如滲透測試提供者的企業資
料。
OWASP:Open Web Application Security Project (OWASP)是一個開源社區項目,它
通過開發軟件工具和知識文檔來幫助人員實現 Web應用和 Web 服務的安全性。OWASP是系
統架構師、開發人員、供應商、用戶和安全專業人員在設計、開發、部署和測試 Web應用
和Web服務時可以使用的開源參考點。總而言之,Open Web Application Security
Project 的目標是幫助所有人創建更安全的 Web應用和 Web服務。
結論
安全性是連續的,而非絕對的。滲透測試的價值在于它產生的結果——這也就是回答
“為什么”這樣一個大問題的答案。一個成功的滲透測試不只是能發現某一個特殊缺點,
它還能在一開始就確定產生漏洞的過程錯誤。修復或修補所探測的漏洞并不意味著你就不
再有安全問題了,或者高枕無憂了——這只是無限循環過程的開頭而已。
CRUX:一個滲透測試并不能保證絕對安全——它只是實現安全性的一個措施。所以,
“絕不要對安全性產生誤判”。

相關鏈接:

http://baike.baidu.com/view/1139765.htm


 
[推薦] [評論(0條)] [返回頂部] [打印本頁] [關閉窗口]  
匿名評論
評論內容:(不能超過250字,需審核后才會公布,請自覺遵守互聯網相關政策法規。
 §最新評論:
  熱點文章
·一句話木馬
·samcrypt.lib簡介
·教你輕松查看QQ空間加密后的好友
·web sniffer 在線嗅探/online ht
·SPIKE與Peach Fuzzer相關知識
·Cisco PIX525 配置備忘
·用Iptables+Fedora做ADSL 路由器
·檢查 Web 應用安全的幾款開源免
·asp,php,aspx一句話集合
·Md5(base64)加密與解密實戰
·NT下動態切換進程分析筆記
·風險評估中的滲透測試
  相關文章
·SPIKE與Peach Fuzzer相關知識
·麻煩的終結者
·從真實故事說起 讀黑客戰術社會
·一句話木馬
·記錄一次網站被黑抓馬記
·Web開發框架安全雜談
·自動化操控虛擬戰爭
·利用PHP編程防范XSS跨站腳本攻擊
·web sniffer 在線嗅探/online ht
·PHP中的密碼學算法及其應用2-對
·Content-Type 防范 XSS 繞過
·IDS規避與對策
  推薦廣告
CopyRight © 2002-2020 VFocuS.Net All Rights Reserved
期本期特码