|
在客戶授權(quán)范圍內(nèi),安全工程師對客戶應(yīng)用WEB應(yīng)用和網(wǎng)絡(luò)系統(tǒng)的深層挖掘檢測應(yīng)用系統(tǒng)是否存在可被利用的漏洞,多角度進行檢測發(fā)現(xiàn)應(yīng)用系統(tǒng)存在的問題。 |
|
|
|
|
|
|
|
滲透測試分以下兩種方式 |
|
|
|
外部滲透測試 |
|
通過Internet發(fā)起,對客戶的Web站點,Mail服務(wù)器等可以通過Internet訪問的主機和設(shè)備進行滲透。外部滲透測試可以測試當前網(wǎng)絡(luò)防火墻及其他安全措施對站點的防護能力,及時發(fā)現(xiàn)對外防御措施存在的漏洞或缺陷。 |
|
|
|
|
|
|
|
內(nèi)部滲透測試 |
|
從客戶企業(yè)內(nèi)部網(wǎng)絡(luò)發(fā)起,對客戶的各種應(yīng)用系統(tǒng)和網(wǎng)絡(luò)設(shè)備進行滲透。內(nèi)部滲透測試模擬黑客來自企業(yè)內(nèi)部或者黑客已經(jīng)控制個別內(nèi)部主機的情況,可以測試客戶對內(nèi)部機密信息的保護能力及內(nèi)部網(wǎng)絡(luò)系統(tǒng)的防護能力。 |
|
|
|
|
|
|
|
|
滲透測試過程主要依據(jù)安全專家已經(jīng)掌握的安全漏洞信息,模擬黑客的真實攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進行非破壞性質(zhì)的攻擊性測試。所有的滲透測試行為將在客戶的書面明確授權(quán)和監(jiān)督下進行。 |
|
|
|
測試流程 |
|
方案制定 |
安全服務(wù)實施團隊獲取到企業(yè)的書面授權(quán)許可后,才進行滲透測試的實施。并且將實施范圍、方法、時間、人員等具體的方案與企業(yè)進行交流,并得到企業(yè)的認同。
測試實施之前,安全服務(wù)實施團隊會做到讓客戶對滲透測試過程和風險的知曉,使隨后的正式測試流程都在客戶的控制下。 |
|
|
|
|
|
|
|
信息收集 |
|
操作系統(tǒng)類型指紋收集;網(wǎng)絡(luò)拓撲結(jié)構(gòu)分析;端口掃描和目標系統(tǒng)提供的服務(wù)識別等。 |
|
|
|
|
|
|
|
測試實施 |
|
操作系統(tǒng)可檢測到的漏洞測試、應(yīng)用系統(tǒng)檢測到的漏洞測試(如:Web應(yīng)用), 此階段如果成功的話,可能獲得普通權(quán)限。滲透測試人員可能用到的測試手段有:掃描分析、溢出測試、口令爆破、社會工程學(xué)、客戶端攻擊等,期間可能用到各種掃描工具,用于測試人員順利完成工程。在獲取到普通權(quán)限后,嘗試由普通權(quán)限提升為管理員權(quán)限,獲得對系統(tǒng)的完全控制權(quán)。一旦成功控制一臺或多臺服務(wù)器后,測試人員將利用這些被控制的服務(wù)器作為跳板,繞過防火墻或其他安全設(shè)備的防護,從而對內(nèi)網(wǎng)其他服務(wù)器和客戶端進行進一步的滲透。此過程將循環(huán)進行,直到測試完成。 |
|
|
|
|
|
|
|
報告輸出 |
|
滲透測試報告是提交給用戶的最終成果,滲透測試報告將滲透過程中發(fā)現(xiàn)的問題進行說明。滲透測試人員根據(jù)測試的過程結(jié)果編寫直觀的滲透測試服務(wù)報告,內(nèi)容主要包括問題描述及修復(fù)建議。 |
|
|
|
|
|
|
|
安全復(fù)查 |
|
滲透測試完成后,協(xié)助企業(yè)對已發(fā)現(xiàn)的安全隱患進行修復(fù)。修復(fù)完成后,滲透測試工程師對修復(fù)的成果再次進行遠程測試復(fù)查,對修復(fù)的結(jié)果進行檢驗,確保修復(fù)結(jié)果的有效性。 |
|
|
|
|
|
|
|
|
|
|
風險規(guī)避 |
|
在滲透測試過程中,雖然我們會盡量避免做影響正常業(yè)務(wù)運行的操作,也會實施風險規(guī)避的計策,但是由于測試過程變化多端,滲透測試服務(wù)仍然有可能對網(wǎng)絡(luò)、系統(tǒng)運行造成一定不同程度的影響,嚴重的后果是可能造成服務(wù)停止,甚至是宕機。比如滲透人員實施系統(tǒng)權(quán)限提升操作時,突遇系統(tǒng)停電,再次重啟時可能會出現(xiàn)系統(tǒng)無法啟動的故障等。因此,我們會在滲透測試前與客戶詳細討論滲透方案,并采取多條策略來規(guī)避滲透測試帶來的風險。 |
|
|
|
|
|
|
|
最后我們將提供滲透測試報告,,最終報告中將闡述各項評估結(jié)果,并根據(jù)IT和網(wǎng)絡(luò)安全國際標準對優(yōu)點/缺點進行對比。我們會對識別的弱點進行評估,同時提出相應(yīng)的建議和補救措施,并根據(jù)相關(guān)風險等級進行排序。向客戶口頭匯報評估結(jié)果時,雙方將對最終報告進行討論。報告將對已開展的安全審計或滲透測試工作做一個全面透徹的總結(jié)。此外,報告還將詳細闡述評估結(jié)果,并基于此展開相應(yīng)論述并提出建議,以便進一步完善安全管理措施。 |
