小U技术分享论坛

快捷导航
查看: 37|回复: 0

[实战记录] 经常挂在嘴边的“渗透测试”,到底怎么测?

[复制链接]
  • TA的每日心情
    无聊
    昨天 12:10
  • 签到天数: 14 天

    [LV.3]偶尔看看II

    35656948
    发表于 4 天前 | 显示全部楼层 |阅读模式

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    立即注册 已有账号?点击登录

    x
    V3936g01g0KGzk9l.jpg
    提起渗透性测试(模拟黑客进行“合法”的网络入侵测试),人们自然会想到黑客,好象做这种测试的只有真正的黑客才可以做到,但黑客通常是“虚拟网络”中的人物,与现实生活中的人很难对应,对于他们的行为感到神秘也是自然的。测试与攻击有什么不同呢?刚从事安全研究时会很困惑,攻击是不按常理出牌的思维,遵循套路的只能是表演,不会实用,那么安全公司的专家们是如何进行渗透性测试呢?
    一般来说,这种测试的过程都是半隐蔽的,不同的安全公司、不同的人做这种测试的结果差异巨大。
    我们最终看到的多是一些结果报告,多数的报告是“模板”式的,开头是一大堆发现的漏洞,结果里总说这有问题,那有问题。
    这种报告里,渗透的“实际成果”很少,有些“吓唬”用户的意思,漏洞是否可被利用,究竟能产生多大的危害,才是用户真正想要的。
    首先我们先看一下一般企业的网络结构图
    KbzsxCABCgzTzclB.jpg
    一般攻击来自互联网,主要是企业的互联网门户、互联网出口、企业VPN访问网关等,都是攻击的首要位置,但实际上入侵通过企业办公区域网络接入、办公区域WLAN接入、员工移动电脑木马等内部方式更为方便、直接。
    大多数的安全公司采用了“黑盒表面”测试,表面测试不用细致分析企业内部业务流程上的安全漏洞,只在网络“表面”做攻击。
    最初的渗透性测试不是这样,应该说是一些黑客“从良”后的善意工作,渗透就是入侵的真实模拟。渗透性测试是模拟黑客入侵的思维,而不是形式。因为任何安全体系的建设都是基于一种信任的,网络的存在是要为人提供服务的,不可能对所有人都封闭。
    所以黑客会利用正常用户业务处理的正常逻辑、方法,用户需要这样去完成他的工作,就需要IT部门这样支持业务访问通道,黑客模拟成企业员工,通过同样的通道,就不容易被发现。
    这样我们再看一下一般企业的网络结构图
    oYT1rcSz2d0kYlBR.jpg
    这样,我们再看企业网络结构图,渗透性测试的目标就明确了,要找到进入目标资源的通道,而不仅仅是找到进入网络的通道。
    更为重要的是:测试还需要有非常好的自我隐蔽技术,不能很快被发现(安全监视系统与审计系统能在你获取机密资源前发现你),因为进入网络后,获取目标资源还需要很多时间,这也正式渗透性测试与风险评估的差别。
    风险评估常常是评价防护体系,而渗透性测试常常是与监控体系较量,入侵进去是一种技术,进去后不被发现地干好自己的事情是另一种技术---隐藏技术。
    经验
    我们总结了一些衡量渗透性测试结果的信息,通常以获得下面信息为标志:

    • 企业员工信息表:姓名、身份证、电话、邮箱、住址、简历、薪水…


    • 高级管理人员的财务支出明细


    • 入侵CEO的电脑(密码与信息)


    • 商业秘密的邮件与企业合约


    • 领导的电话语音(有电话信箱的)


    • 企业核心机密资料(如软件公司的源代码库)


    • 安装后门,保证进入通道


    • 各种服务器账户与密码列表


    • 高级管理人员的账户与密码列表
    当然,安全漏洞都是有时限的,打上了补丁,可能“通道”就关闭了,所以渗透性测试的结果也有时限意义。
    渗透性测试的结果通常不是要用户增加多少安全设备与投资,而是要用户提高安全措施的利用程度,加强安全管理,如制度落实、安全事件有人管、监控报警有人跟、审计记录有人看。
    没有“神话”渗透性测试过程,但它的确需要改变安全公司常用的安全防护思路,用黑客的入侵式的思维去想问题,才能有理想的效果。
    原作者 zhaisj
    原文链接 http://blog.51cto.com/zhaisj/301370
    lVvZmLnhv6dVnvH7.jpg
    更多精彩内容:
    大佬经验分享丨教你如何在测试的路上越走越高
    敏捷测试中发现的一些问题及改进办法
    测试员,如何面对自己35岁后的下坡路?
    我们到底需要什么样的测试?
    敏捷下测试员面临的挑战


    上一篇:一次简单的渗透测试
    下一篇:黑客工具:专为渗透测试人员设计的Python工具大合集
    回复

    使用道具 举报

     懒得打字,点击右侧快捷回复   下面自定义回复
    高级模式
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    站长QQ
    35656948 周六至周日:09:00 - 21:00
    电子邮箱:35656948@qq.com

    小U分享论坛是一个致力于学习与分享IT技术(QQ排名、QQ群排名技术、渗透测试、渗透测试技术、渗透技术…)的论坛。由众多的IT技术爱好者共同维护,尽力为IT技术初学者打造一个良好的学习环境。

    Powered by Discuz! X3.2

    QQ|手机版|小黑屋|QQ群排名、渗透测试 ( 粤ICP备18051481号

    GMT+8, 2018-10-16 07:21 , Processed in 0.248422 second(s), 48 queries , Gzip On.

    快速回复 返回顶部 返回列表