渗透测试及渗透测试操作流程
2.1 明确的目标
确定范围:测试目标范围、IP、域名,明确内外网规则:可以渗透到什么程度、时间、是否可以修改上传、是否可以升级权限等。确定需求:Web应用漏洞(新上线的程序)、业务逻辑漏洞(针对业务)、人员权限管理漏洞(针对人员和权限)等。 2.2信息收集方式:主动扫描、开放搜索等开放搜索:利用搜索引擎获取后台、未授权页面、敏感URL等
基本信息:IP、网段、域名、端口系统信息:操作系统版本应用程序信息:各个端口的应用程序,如Web 应用程序、邮件应用程序等版本信息:所有这些检测到的事物的版本人员信息:域名注册人员信息、网站应用中网站发布者的id、管理员姓名等。 防护信息:尝试检测是否能检测到防护设备。 2.3 漏洞搜索利用上一步列出的各种系统和应用程序中的相应漏洞。 ** 方法:**
漏洞扫描、awvs、IBM appscan等。结合漏洞,去exploit-db等位置查找并利用。网上搜索并验证了poc2.4。漏洞验证验证上一步中发现的所有可能被成功利用的漏洞。根据实际情况搭建了仿真环境进行测试。成功后应用于目标。
2.5 信息分析,为下一步渗透做准备
2.6 获取所需内容
实施攻击:根据前面步骤的结果,进行攻击以获取内部信息:进一步渗透基础设施(网络连接、VPN、路由、拓扑等):内网入侵、敏感目标持续存在:一般我们不需要渗透客户。 Rookit、后门、添加管理账号、驻守技术等清理痕迹:清理相关日志(访问操作)、上传文件等。 2.7 信息组织
整理渗透工具:整理渗透过程中用到的代码、POC、exp等。整理和收集信息:整理渗透过程中收集到的所有信息。整理漏洞信息:整理渗透过程中遇到的各种漏洞以及各种漏洞位置信息。 **目的:形成最终报告并制定测试结果以供使用。 **2.8 形成报告
按需整理:按照第一步与客户确定的范围和需求整理数据,形成报告。补充介绍:分析漏洞产生原因、验证过程以及造成的危害。补救建议:当然,必须对所有发生的情况进行分析。提出合理、高效、安全的问题解决方案2.9 流程总结
3、网络安全相关术语3.1 黑盒测试是在未经授权的情况下模拟黑客的攻击方式和思维方式,评估计算机网络系统可能存在的安全风险。黑盒测试不同于黑客攻击,也不等于黑网站。黑盒测试测试综合能力(操作系统、数据库、脚本、代码、想法、社会工程)。想法和经验的积累往往决定成败。
3.2 白盒测试与黑盒测试相比,白盒测试基本上是从内部发起的。白盒测试与黑盒测试正好相反。测试人员可以通过正常渠道从被测单位获取各种信息,包括网络拓扑、员工信息,甚至网站或其他程序的代码片段。他们还可以与单位的其他员工(销售、业务员、程序员、经理……)进行面对面的交流。
3.3 黑白盒的另一种说法是知道源代码而不是知道源代码渗透测试。此时黑盒测试仍然是传统的渗透测试,而白盒测试则偏向于代码审计。
3.4 APT攻击高级持续性威胁是指组织(特别是政府)或小团体利用先进的攻击手段,对特定目标进行长期、持续的网络攻击的一种攻击形式。特征:
隐蔽性极强、潜伏期长、持久性强、针对性强。附操作流程:
1.1. 测试活动实施流程
1.1.1. 实施流程图
1.1.2. 确定测试范围
用途
确定Web应用程序测试的范围
描述
根据Web应用的入口和后台应用界面的URL确定Web应用的测试范围。例如http://example.com/下所有可达的功能点。
步
1、分析测试范围内容:
1)分析Web应用系统的各个应用入口及入口类型,以及主要业务功能。
2、确定测试范围:
1)被测系统物理子系统名称、所属部门信息、各产品的应用入口、被测环境类型等信息。
2)根据本次测试的目的,确定是从应用入口进行全面测试,还是测试部分业务功能或部分测试项目。
实施要求
1、测试范围要清晰明确,提供给测试人员的应用入口可以直接访问。
1.1.3. 准备测试环境
目的
准备测试执行所用的环境并提供测试帐号。
描述
确保渗透测试涉及的功能全面可用,业务顺利,包含必要的接地数据。准备多个具有不同权限、类型和组织的测试帐户。
步
1、准备功能齐全、业务执行流畅的测试环境。关键交易和敏感功能应该有相应的底层数据来模拟实际的使用场景。
2. 根据实际使用场景,准备多个不同权限级别的账号,保证每个级别的权限可以使用一个账号。如果不同组织、不同类型账户的业务功能不同,您需要准备不同组织、不同类型的账户。如果在生产环境中测试实施,请提供测试编号或让渗透测试人员自行注册。
实施要求
1、测试环境功能齐全,业务流畅,有一定的基础数据。
2. 提供多个不同权限级别的测试帐号。
指导
1.1.4. 渗透测试实施
目的
对测试范围内的各个功能点和安全机制进行相应的安全测试,发现安全漏洞和风险。
描述
测试执行人员根据系统特点分析测试点,根据常见的安全检测项目进行测试实施,尝试发现应用安全漏洞和风险。
步
1. 访问被测Web应用的功能并确认应用功能正常。
2、分析系统特征,针对常见安全漏洞进行针对性测试。
1)认证:弱口令、暴力破解等认证相关的漏洞,一般攻击面在注册、登录、修改密码、重置密码等功能。
2)授权:比如未授权访问、未授权访问等漏洞,各个功能需要验证是否存在此类漏洞。
3)会话管理:例如会话注销不过期、会话漏洞、跨站请求伪造等,所应用的会话机制、会话令牌管理功能等需要重点关注。
4)输入验证:SQL注入、XSS、XXE等注入漏洞需要对各种输入函数进行验证。
5)信息泄露:例如敏感信息泄露、敏感信息弱加密、评论和备份、应用功能、页面前端代码等信息泄露等需要检测。
6)命令/代码执行类:例如命令执行、反序列化漏洞,需要检测接口的后台处理以及所使用的框架组件。
7)业务逻辑:如支付绕行、短信炸弹、验证码失败、文件上传等漏洞,检测关键业务逻辑。
8)其他相关安全风险和漏洞的测试。
3. 撰写测试结果,并对发现的漏洞描述漏洞严重程度、漏洞位置、详细测试步骤、漏洞修复建议等信息。
4、开发者根据漏洞详情进行漏洞修复。
5、渗透测试人员进行复测并记录复测过程。
实施要求
1. 测试充分性要求。参照《渗透测试检查基线》中各测试项目的测试点进行测试。不适用于本次测试的测试项目将在测试报告中注明。根据实际情况,如有其他新的检测项目,将在检测报告中补充。
2、测试规范及注意事项:
1)要测试注入漏洞,只要证明数据可以读取就足够了。如果在生产环境测试,严禁读取生产环境表中的数据。
2)生产环境测试验证未授权/未授权访问漏洞时,严禁批量读取数据。
3)生产环境测试不能影响正常在线用户,真实账户不能越权添加、删除、修改。您必须使用自行注册的账号或项目组提供的测试账号进行测试。
4)在生产环境中测试存储的XSS漏洞时,应使用不影响其他用户的测试负载。
5)生产环境测试时,如果可以执行shell或者命令执行,建议上传文本证明,如纯文本1.php、1.jsp等,以证明问题存在。
6) 内部账户用于生产环境中的短信/电子邮件。如果测试环境中的短信/邮件功能实际发送短信/邮件,也必须使用内部账号。
7) 生产环境中禁止使用扫描仪。
8) 禁止利用社会工程学进行内部测试和进行DOS攻击测试。
3、测试结果漏洞命名及分级规范参见《银行互联网渗透测试指南》(JR/T0232-2021)《中国银行互联网渗透测试漏洞风险分级参考》进行分级。
用户评论
£烟消云散
渗透测试,听起来好专业啊!刚刚入门,能详细讲讲操作流程吗?
有16位网友表示赞同!
有一种中毒叫上瘾成咆哮i
渗透测试操作流程,这个很重要,我之前做的时候有点摸不着头脑。
有14位网友表示赞同!
伪心
渗透测试,是不是就是要黑进别人的系统?有点刺激,但不知道如何下手。
有14位网友表示赞同!
莫失莫忘
渗透测试操作流程,得先了解法律法规,不能乱来啊。
有12位网友表示赞同!
男神大妈
渗透测试,感觉是个技术活,但不知道怎么开始。
有18位网友表示赞同!
陌颜
渗透测试操作流程,这个标题太实用了,我一定要仔细看看。
有19位网友表示赞同!
无寒
渗透测试,听起来挺高级的,不知道这个流程能不能自学。
有6位网友表示赞同!
陌上花
渗透测试操作流程,希望能有图文并茂的教程,这样更容易理解。
有14位网友表示赞同!
南宫沐风
渗透测试,我之前参加过培训,但流程还是不太清晰。
有17位网友表示赞同!
温柔腔
渗透测试操作流程,有没有什么推荐的书籍或网站,我想系统学习一下。
有6位网友表示赞同!
我一个人
渗透测试,这个操作流程看起来挺复杂的,得慢慢来。
有11位网友表示赞同!
熟悉看不清
渗透测试,听说做这个可以找到好工作,但我不懂流程怎么办?
有20位网友表示赞同!
瑾澜
渗透测试操作流程,能不能分享一下你的经验,我刚开始做这个。
有10位网友表示赞同!
反正是我
渗透测试,我想知道这个流程的难点在哪里,好提前做好准备。
有6位网友表示赞同!
焚心劫
渗透测试操作流程,这个标题让我想起了之前的黑客电影,好期待!
有19位网友表示赞同!
浅笑√倾城
渗透测试,这个操作流程涉及到很多安全知识,我得好好研究研究。
有18位网友表示赞同!
那伤。眞美
渗透测试,我听说渗透测试师工资很高,但操作流程太难了。
有14位网友表示赞同!
有恃无恐
渗透测试操作流程,这个标题让我对这个领域有了新的认识,谢谢分享!
有14位网友表示赞同!