官網熱線:400-100-0298
滲透測試并沒有一個標準的定義,滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。滲透測試是指滲透人員在不同的位置(比如從內網、從外網等位置)利用各種手段對某個特定網絡進行測試,以期發現和挖掘系統中存在的漏洞,然后輸出滲透測試報告,并提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告,可以清晰知曉系統中存在的安全隱患和問題。
滲透測試的過程有一個執行標準,其核心理念是通過建立起進行滲透測試所需要的基本準則基線,來定義一次真正的滲透測試過程。標準將滲透測試過程分為七個階段,依次為:前期交互階段、情報收集階段、威脅建模階段、漏洞分析階段、滲透攻擊階段、后滲透攻擊階段、報告階段。 一、前期交互階段。 在前期交互階段,滲透測試團隊與客戶組織主要進行交互討論.重點確定滲透測試的范圍 目標限制條件以及服務合同細節。 該階段通常涉及收集客戶需求、準備測試計劃、定義測試范圍與邊界、定義業務目標 、項目管理與規劃等活動。 二、信息收集分析階段。 信息收集是每一步滲透攻擊的前提,通過信息收集可以有針對性的制定模擬攻擊測試計劃,提高模擬攻擊的成功率,同時可以有效的降低攻擊測試對系統正常運行造成的不利影響。三、威脅建模階段 威脅建模主要使用情報搜集階段所活的到的信息,來標識出目標系統上可能存在的安全漏洞與弱點。 在威脅建模階段,通常需要將客戶組織作為敵手來看待,然后以攻擊者的視角和思維來嘗試利用目標系統的弱點。四、漏洞分析階段 漏洞分析階段主要是從前面幾個環節獲取的信息分析和理解哪些攻擊途徑是可行的。 特別需要重點分析端口和漏洞掃描結果,提取到的服務 “旗幟”信息,以及在情報收集環節中得到的其他關鍵信息。 五、滲透攻擊階段 滲透攻擊主要是針對目標系統實施深入研究和測試的滲透攻擊,并不是進行大量漫無目的的滲透測試。 六、后滲透攻擊階段 后滲透攻擊階段主要是從已經攻陷了的客戶組織系統標識出關鍵的基礎設施,尋找最具有價值信息和資產。主要包括:基礎設施分析、高價值目標識別、掠奪敏感信息、掩蹤滅跡、權限維持。 七、滲透測試報告 報告是滲透測試過程中最為重要的因素,將使用報告文檔來交流在滲透測試過程中做了哪些,如何做的,以及最為重要的就是告訴客戶組織如何修復你所發現的安全漏洞與弱點。
