safedog-渗透测试服务白皮书
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
执行渗透测试 1、测试信息泄漏
测试是否有敏感资料或系统信息泄漏 2、漏洞测试
扫描该目标已知漏洞 3、建立渗透途径
根据已搜集信息尝试各项渗透方式 4、安全漏洞渗透
操作系统安全漏洞渗透 应用软件安全漏洞渗透 网站逻辑漏洞渗透 密码破解 5、权限提升 尝试攻击与扩张权限 针对特定漏洞攻击 试图取得系統更高权限 开发定制化滲透工具攻击特定漏洞 渗透內网其他主机(需取得客戶授权) 6、渗透测试报告 评估各漏洞潜在危险、危害程度 编写各漏洞修复方式 提交测试结果报告 提供客戶漏洞修复过程中的顾问咨询 拟定定期执行安全检查计划 7、简报与文件交付 针对项目结果进行简报并交付相关文件
图 1:商城出售价格为 4488 的手机
图 2:黑客篡改价格参数 就可以使用一元来付订单
6. 渗透测试有无相关规范?
检测的服务项目会包括网络扫描、漏洞扫描、渗透测试三大层面,并且遵循 下列国际标准: OWASP (Open Web Application Security Project)
网站应用程式安全测试清单第三版 https://www.owasp.org/images/5/56/OWASP_Testing_Guide_v3.pdf
应用层渗透测试 针对客户面向用户提供的各种应用进行渗透测试,如 ASP、CGI、JSP、PHP 等组成的 WWW 应用、邮件系统、FTP 服务系统、远程维护管理等。
服务项目
服务内容
检测项
网络协议漏洞分析
缓存区溢出(DNS53)
结构安全
网络层面渗透
边界完整性检查
访问控制
远
入侵防范
网络设备防护
程
端口安全测试
组合利用。而具备黑客思维的安全专家,则可利用多个漏洞进行组合式攻击,往 往会发现能造成重大危害的潜在漏洞。
商业逻来自百度文库判断 程序无法判断逻辑漏洞。以下图内容为例,企业在商城出售价格为 4488 的
一部手机(如图 1),然而攻击者可能会通过修改数据包的方法把控制价格的参 数赋值为 1 元。如果能修改成功改(如图 2),则可能会对企业造成金钱上的损 失。这类型的逻辑漏洞,只能靠人工的方式找出,而无法用自动化渗透测试工具 扫描。
渗透测试需要多久的时间? 根据不同系统的规模大小而订,通常单一网站完成初测报告需要一个星期时间, 加上后期企业修补到复测,整个项目周期可能需要一个月的时间。
1. 渗透测试服务是什么
渗透测试服务 (Penetration Test, PT) 是委托信任的第三方专业安全公司,从 黑客的角度出发,模拟攻击者的思考方式对企业进行各种入侵攻击测试。
渗透测试执行期间,网络安全专家会以黑客的思维尝试入侵该企业的网站、 网络系统、存储设备等软硬件,找出各种潜在的漏洞,以验证企业的设备与资料 是否可被破坏或窃取,同时也评估信息系统与硬件的全盘系统架构,确认其安全 性是否有待加强。
操作系统溢出漏洞 渗
操作系统、数据库系统渗 身份鉴别
透
透
拒绝服务
本地安全验证绕过
测
数据库功能滥用
信息收集 试
端口测试
权限提升
旁注
溢出测试
跨站攻击
应用系统渗透
SQL 注入 Web 应用测试
敏感信息泄露
中间件脆弱性测试
第三方软件误配置
挂马文件检测
漏洞代码利用
认证机制分析
系统补丁
默认配置
内网渗透测试
薄弱口令
创造力 低,有低价的商业工具或免费工具
报告內容
专家会列出详细攻击手法,并提供定制 化的专业修补建议 成本 高,通常金额是弱点扫描的数倍
仅陈列漏洞报表,通常不包含修补建议
成本 低,有低价的商业工具或免费工具
5. 自动测试与人工测试有何差异?
自动测试与人工测试的差异主要有下列几项:
即时性 自动测试的检测规则需要定期更新,若软件尚未更新或已过期,就无法检测
渗透测试结束后,专家会列出详细的攻击手法与步骤,提供完整的修补建议 并协助企业修补漏洞,让企业能尽速降低遭受入侵的风险。漏洞经过企业修补完 毕后,安全团队会再次确认是否可使用其他手法绕过防护,以确保企业不会因为 同样的问题遭受损失。
2. 为何需要渗透测试服务?
黑客攻击就像生活中的病毒,随时随地都有可能接触到并且遭受感染。而渗 透测试如同健康检查,若企业能定时执行深层的安全体检,面对各种攻击时即可 提高存活的机率。
若企业、网站有机密资料外泄、用户资料外泄等担忧,或是开发完毕的新系 统需要上线,又或者开发中的系统需要做局部安全测试,都适合渗透测试进行安 全检测。
在面对网络上的众多黑客之前,先行做好防御措施,才能保证系统的每个环 节都经得起黑客的挑战,进而巩固客户对企业的信赖。
3. 渗透测试服务会有什么收益?
通过渗透测试,客户获得的收益有: 1、客户可以从攻击角度了解系统是否会存在一些隐性的安全漏洞和风险点; 2、从客户收益的角度来说,特别是在进行安全项目之前进行渗透测试,可 以对信息系统的安全性得到较深的感性认知,有助于后续的安全建设; 3、在进行了渗透测试后,可以用于验证经过安全保护后的网络是否真实的 达到了预定安全目标、遵循了安全策略。
备份测试 对于不能出现任何中断的系统(例如银行系统等),应该采用备份测试方式,
即复制一套测试系统,包括网络环境、主机系统、应用系统、数据库等,对复制 的系统进行渗透测试。
10. 其他渗透测试常见问答
渗透测试有什么前期准备吗? 我司与委托者会沟通测试执行时间,基本上以上班时间为准,以便发现重大漏洞 时可请企业开发人员及时修补。同时也会告知测试来源 IP,以便企业分辨测试 来源是否合法,避免同时遭到入侵攻击而未发觉。
渗透测试服务白皮书
目录
1. 渗透测试服务是什么............................................................................................... 3 2. 为何需要渗透测试服务?....................................................................................... 3 3. 渗透测试服务会有什么收益?............................................................................... 3 4. 渗透测试与漏洞扫描有何差异?........................................................................... 4 5. 自动测试与人工测试有何差异?........................................................................... 5 6. 渗透测试有无相关规范?....................................................................................... 6 7. 渗透测试执行流程是怎样的?............................................................................... 7 8. 渗透测试的内容有那些?....................................................................................... 8 9. 如何避免渗透测试的风险..................................................................................... 10 10. 其他渗透测试常见问答....................................................................................... 11
访问控制
网段隔离
9. 如何避免渗透测试的风险
系统备份和恢复
为了防止在测试过程中出现导致系统无法使用的一场情况,应该对所有测试 系统实施之前做一次完整的备份,以便在系统在测试过程中发生灾难后及时恢 复。
在测试过程中,如果发生由于测试导致的系统无法使用,应该及时中止测试, 对系统进行恢复操作,并与客户和相关开发人员进行情况分析。在找到原因之后, 根据分析结果调整测试方式。
4. 渗透测试与漏洞扫描有何差异?
渗透测试需由经验丰富的安全专家手动进行,测试过程中专家会利用不同的 漏洞进行组合式攻击,验证是否有任何方式一种方式可突破当前系统的防御。渗 透测试为求仔细,通常需要费时多天才能完成,因此耗费的人力成本较高。
漏洞扫描可由自动化扫描软件在较短的时间内执行完毕,因此时间与金钱成 本相对较低。但是漏洞扫描仅能检测既有的漏洞,无法及时检测出最新的安全漏 洞并给予修补建议,同时对于漏洞的误判率也较高。目前渗透测试为求完整,通 常已将漏洞扫描包含在内。详细的关系图与比较表如下所示:
出最新的漏洞。在安全专家的人工测试之下,则不会有此状况发生。
准确率 自动测试的结果通常有为数不少的误报,因此需要有安全专家验证渗透测试
报告的内容。虽然某些渗透测试软件的检测准确率有一定水准,但通常其价格也 较贵。而人工渗透测试所找出来的弱点都是 100% 确定可利用的,不会有误报的 状况。
检测深度 自动测试仅能依照既有规则对 IT 系统进行检测,无法将检测到的漏洞加以
8. 渗透测试的内容有那些?
网络层渗透测试 网络设备渗透测试:针对客户网络系统中采用的各种防火墙、入侵检测系统、 网络设备进行渗透测试。 网络安全策略有效性测试:针对客户对于网络系统中采取的各种安全防护策 略的有效性进行检测。
系统层渗透测试 操作系统渗透:主要针对客户网络系统中主机操作系统进行渗透,如对 WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI 等操作系统本身进行渗透测 试。 数据库系统渗透:针对客户网络系统中数据库系统进行渗透,如采用的 MS-SQL、ORACLE、MYSQL、INFORMIX、SYBASE、DB2 等数据库应用系统 进行渗透测试。
系统检测 在测试过程中,客户可以要求通过参与测试的方式对渗透测试进行监控。(可
能提高渗透测试的成本)客户参与测试的方式有以下:
全程监控:和测试人员一起参与整个测试过程,并对所有测试目标进行操作 记录和数据记录,全程检测需要记录大量数据,可能会影响测试速度。
部分监控:只监控对部分关键设备或者主机的系统状态,不与测试人员参与 测试。
OSSTMM (Open Source Security Testing Methodology Manual) 开源安全测试方法指南第三版 http://www.isecom.org/research/osstmm.html
NIST SP 800-115 (National Institute of Standards and Technology - Special Publication 800-115) 美国国家标准与技术研究院- 系统安全测试与评估指南 http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
渗透测试 Penetration Test 执行方式 专业技术顾问手动进行 门槛 高,测试者需要经验与专业知识 流量 低 误判率 低,专家可验证该漏洞的利用方式与价 值 创造力 高,专家可能在检测过程中找到无人发 现的新漏洞 报告内容
漏洞扫描 Vulnerability Assessment 执行方式 自动化工具 门槛 低,工具安装完毕即可执行 门槛 低,工具安装完毕即可执行 误报率 高,工具无法确认该漏洞是否可被利用
7. 渗透测试执行流程是怎样的?
图 3:渗透测试流程图
确认项目需求 1、启动项目起始会议,了解客户需求 2、确认作业方式与执行规范 3、签署合约取得合法渗透授权
信息搜集与分析规划 1、搜集该目标之公开信息 2、分析与规划渗透方式(包含 OWASP 与 OSSTMM 等国际规范) 3、准备对应之渗透测试工具与设备
测试是否有敏感资料或系统信息泄漏 2、漏洞测试
扫描该目标已知漏洞 3、建立渗透途径
根据已搜集信息尝试各项渗透方式 4、安全漏洞渗透
操作系统安全漏洞渗透 应用软件安全漏洞渗透 网站逻辑漏洞渗透 密码破解 5、权限提升 尝试攻击与扩张权限 针对特定漏洞攻击 试图取得系統更高权限 开发定制化滲透工具攻击特定漏洞 渗透內网其他主机(需取得客戶授权) 6、渗透测试报告 评估各漏洞潜在危险、危害程度 编写各漏洞修复方式 提交测试结果报告 提供客戶漏洞修复过程中的顾问咨询 拟定定期执行安全检查计划 7、简报与文件交付 针对项目结果进行简报并交付相关文件
图 1:商城出售价格为 4488 的手机
图 2:黑客篡改价格参数 就可以使用一元来付订单
6. 渗透测试有无相关规范?
检测的服务项目会包括网络扫描、漏洞扫描、渗透测试三大层面,并且遵循 下列国际标准: OWASP (Open Web Application Security Project)
网站应用程式安全测试清单第三版 https://www.owasp.org/images/5/56/OWASP_Testing_Guide_v3.pdf
应用层渗透测试 针对客户面向用户提供的各种应用进行渗透测试,如 ASP、CGI、JSP、PHP 等组成的 WWW 应用、邮件系统、FTP 服务系统、远程维护管理等。
服务项目
服务内容
检测项
网络协议漏洞分析
缓存区溢出(DNS53)
结构安全
网络层面渗透
边界完整性检查
访问控制
远
入侵防范
网络设备防护
程
端口安全测试
组合利用。而具备黑客思维的安全专家,则可利用多个漏洞进行组合式攻击,往 往会发现能造成重大危害的潜在漏洞。
商业逻来自百度文库判断 程序无法判断逻辑漏洞。以下图内容为例,企业在商城出售价格为 4488 的
一部手机(如图 1),然而攻击者可能会通过修改数据包的方法把控制价格的参 数赋值为 1 元。如果能修改成功改(如图 2),则可能会对企业造成金钱上的损 失。这类型的逻辑漏洞,只能靠人工的方式找出,而无法用自动化渗透测试工具 扫描。
渗透测试需要多久的时间? 根据不同系统的规模大小而订,通常单一网站完成初测报告需要一个星期时间, 加上后期企业修补到复测,整个项目周期可能需要一个月的时间。
1. 渗透测试服务是什么
渗透测试服务 (Penetration Test, PT) 是委托信任的第三方专业安全公司,从 黑客的角度出发,模拟攻击者的思考方式对企业进行各种入侵攻击测试。
渗透测试执行期间,网络安全专家会以黑客的思维尝试入侵该企业的网站、 网络系统、存储设备等软硬件,找出各种潜在的漏洞,以验证企业的设备与资料 是否可被破坏或窃取,同时也评估信息系统与硬件的全盘系统架构,确认其安全 性是否有待加强。
操作系统溢出漏洞 渗
操作系统、数据库系统渗 身份鉴别
透
透
拒绝服务
本地安全验证绕过
测
数据库功能滥用
信息收集 试
端口测试
权限提升
旁注
溢出测试
跨站攻击
应用系统渗透
SQL 注入 Web 应用测试
敏感信息泄露
中间件脆弱性测试
第三方软件误配置
挂马文件检测
漏洞代码利用
认证机制分析
系统补丁
默认配置
内网渗透测试
薄弱口令
创造力 低,有低价的商业工具或免费工具
报告內容
专家会列出详细攻击手法,并提供定制 化的专业修补建议 成本 高,通常金额是弱点扫描的数倍
仅陈列漏洞报表,通常不包含修补建议
成本 低,有低价的商业工具或免费工具
5. 自动测试与人工测试有何差异?
自动测试与人工测试的差异主要有下列几项:
即时性 自动测试的检测规则需要定期更新,若软件尚未更新或已过期,就无法检测
渗透测试结束后,专家会列出详细的攻击手法与步骤,提供完整的修补建议 并协助企业修补漏洞,让企业能尽速降低遭受入侵的风险。漏洞经过企业修补完 毕后,安全团队会再次确认是否可使用其他手法绕过防护,以确保企业不会因为 同样的问题遭受损失。
2. 为何需要渗透测试服务?
黑客攻击就像生活中的病毒,随时随地都有可能接触到并且遭受感染。而渗 透测试如同健康检查,若企业能定时执行深层的安全体检,面对各种攻击时即可 提高存活的机率。
若企业、网站有机密资料外泄、用户资料外泄等担忧,或是开发完毕的新系 统需要上线,又或者开发中的系统需要做局部安全测试,都适合渗透测试进行安 全检测。
在面对网络上的众多黑客之前,先行做好防御措施,才能保证系统的每个环 节都经得起黑客的挑战,进而巩固客户对企业的信赖。
3. 渗透测试服务会有什么收益?
通过渗透测试,客户获得的收益有: 1、客户可以从攻击角度了解系统是否会存在一些隐性的安全漏洞和风险点; 2、从客户收益的角度来说,特别是在进行安全项目之前进行渗透测试,可 以对信息系统的安全性得到较深的感性认知,有助于后续的安全建设; 3、在进行了渗透测试后,可以用于验证经过安全保护后的网络是否真实的 达到了预定安全目标、遵循了安全策略。
备份测试 对于不能出现任何中断的系统(例如银行系统等),应该采用备份测试方式,
即复制一套测试系统,包括网络环境、主机系统、应用系统、数据库等,对复制 的系统进行渗透测试。
10. 其他渗透测试常见问答
渗透测试有什么前期准备吗? 我司与委托者会沟通测试执行时间,基本上以上班时间为准,以便发现重大漏洞 时可请企业开发人员及时修补。同时也会告知测试来源 IP,以便企业分辨测试 来源是否合法,避免同时遭到入侵攻击而未发觉。
渗透测试服务白皮书
目录
1. 渗透测试服务是什么............................................................................................... 3 2. 为何需要渗透测试服务?....................................................................................... 3 3. 渗透测试服务会有什么收益?............................................................................... 3 4. 渗透测试与漏洞扫描有何差异?........................................................................... 4 5. 自动测试与人工测试有何差异?........................................................................... 5 6. 渗透测试有无相关规范?....................................................................................... 6 7. 渗透测试执行流程是怎样的?............................................................................... 7 8. 渗透测试的内容有那些?....................................................................................... 8 9. 如何避免渗透测试的风险..................................................................................... 10 10. 其他渗透测试常见问答....................................................................................... 11
访问控制
网段隔离
9. 如何避免渗透测试的风险
系统备份和恢复
为了防止在测试过程中出现导致系统无法使用的一场情况,应该对所有测试 系统实施之前做一次完整的备份,以便在系统在测试过程中发生灾难后及时恢 复。
在测试过程中,如果发生由于测试导致的系统无法使用,应该及时中止测试, 对系统进行恢复操作,并与客户和相关开发人员进行情况分析。在找到原因之后, 根据分析结果调整测试方式。
4. 渗透测试与漏洞扫描有何差异?
渗透测试需由经验丰富的安全专家手动进行,测试过程中专家会利用不同的 漏洞进行组合式攻击,验证是否有任何方式一种方式可突破当前系统的防御。渗 透测试为求仔细,通常需要费时多天才能完成,因此耗费的人力成本较高。
漏洞扫描可由自动化扫描软件在较短的时间内执行完毕,因此时间与金钱成 本相对较低。但是漏洞扫描仅能检测既有的漏洞,无法及时检测出最新的安全漏 洞并给予修补建议,同时对于漏洞的误判率也较高。目前渗透测试为求完整,通 常已将漏洞扫描包含在内。详细的关系图与比较表如下所示:
出最新的漏洞。在安全专家的人工测试之下,则不会有此状况发生。
准确率 自动测试的结果通常有为数不少的误报,因此需要有安全专家验证渗透测试
报告的内容。虽然某些渗透测试软件的检测准确率有一定水准,但通常其价格也 较贵。而人工渗透测试所找出来的弱点都是 100% 确定可利用的,不会有误报的 状况。
检测深度 自动测试仅能依照既有规则对 IT 系统进行检测,无法将检测到的漏洞加以
8. 渗透测试的内容有那些?
网络层渗透测试 网络设备渗透测试:针对客户网络系统中采用的各种防火墙、入侵检测系统、 网络设备进行渗透测试。 网络安全策略有效性测试:针对客户对于网络系统中采取的各种安全防护策 略的有效性进行检测。
系统层渗透测试 操作系统渗透:主要针对客户网络系统中主机操作系统进行渗透,如对 WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI 等操作系统本身进行渗透测 试。 数据库系统渗透:针对客户网络系统中数据库系统进行渗透,如采用的 MS-SQL、ORACLE、MYSQL、INFORMIX、SYBASE、DB2 等数据库应用系统 进行渗透测试。
系统检测 在测试过程中,客户可以要求通过参与测试的方式对渗透测试进行监控。(可
能提高渗透测试的成本)客户参与测试的方式有以下:
全程监控:和测试人员一起参与整个测试过程,并对所有测试目标进行操作 记录和数据记录,全程检测需要记录大量数据,可能会影响测试速度。
部分监控:只监控对部分关键设备或者主机的系统状态,不与测试人员参与 测试。
OSSTMM (Open Source Security Testing Methodology Manual) 开源安全测试方法指南第三版 http://www.isecom.org/research/osstmm.html
NIST SP 800-115 (National Institute of Standards and Technology - Special Publication 800-115) 美国国家标准与技术研究院- 系统安全测试与评估指南 http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
渗透测试 Penetration Test 执行方式 专业技术顾问手动进行 门槛 高,测试者需要经验与专业知识 流量 低 误判率 低,专家可验证该漏洞的利用方式与价 值 创造力 高,专家可能在检测过程中找到无人发 现的新漏洞 报告内容
漏洞扫描 Vulnerability Assessment 执行方式 自动化工具 门槛 低,工具安装完毕即可执行 门槛 低,工具安装完毕即可执行 误报率 高,工具无法确认该漏洞是否可被利用
7. 渗透测试执行流程是怎样的?
图 3:渗透测试流程图
确认项目需求 1、启动项目起始会议,了解客户需求 2、确认作业方式与执行规范 3、签署合约取得合法渗透授权
信息搜集与分析规划 1、搜集该目标之公开信息 2、分析与规划渗透方式(包含 OWASP 与 OSSTMM 等国际规范) 3、准备对应之渗透测试工具与设备