渗透测试服务.pdf

渗透测试服务 课程目标 • 补充基础 • 学习思路 • 增强解决问题的能力 渗透测试——定义 渗透测试 (penetration test)并没有一个标准的定义，国 外一些安全组织达成共识的通用说法是：渗透测试是通过模拟 恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估 方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主 动分析，这个分析是从一个攻击者可能存在的位置来进行的， 并且从这个位置有条件主动利用安全漏洞，然后撰写渗透测试 报告，将其提供给客户。客户根据渗透人员提供的渗透测试报 告对系统存在漏洞和问题的地方进行修复和修补。 渗透测试——意义 识别最迫切需要解决/危害级别最高的漏洞 对疑难安全事件进行深入分析，锁定攻击源 提升业务逻辑安全性，根源解决问题 弥补通用安全产品不足 渗透测试——方法 黑盒 白盒 灰盒 • 在对被测试目 • 授权获得被测 • 介于黑盒与白 标一无所知的 目标的资料、 盒之间 白盒测试 黑盒测试 情况下进行挖 应用源代码、 • 在获得网络结 掘与渗透 数据库结构， 构或系统账号 • 完全模拟黑客 并且接入内网 等信息后进行 攻击 进行渗透 渗透 • 直接发现漏洞， 定位原因 灰盒测试 5 漏洞 漏洞是在硬件、软件、协议的具体实现或系统安 全策略上存在的缺陷，从而可以使攻击者能够在未授 权的情况下访问或破坏系统。 脆弱性 Exploitation 开发利用 入侵 漏洞的披露方式 1.完全公开披露 2.负责任的公开披露 3.进入地下经济链 4.小范围利用直至被动披露 安全漏洞公共资源库 CNNVD：中国国家漏洞库，由中国信息安全测评中心维护（ ）。 CNVD：中国国家信息安全漏洞共享平台，由国家计算机网络应急技术处理协 调中心（CNCERT/CC ）维护（ ）。 乌云安全漏洞报告平台：民间组织（/）。 SCAP中文社区：民间组织（/）。 CVE：（Common Vulnerability and Exposures，通用漏洞与披露）已成为安 全漏洞命名索引的业界事实标准，由美国国土安全部资助的MITRE公司负责 维护，CVE漏洞库为每个确认的公开披露安全漏洞供了索引CVE编号，以 及一段简单的漏洞信息述，而这个CVE编号就作为安全业界标识该漏洞的标 准索引号。 NVD：（National Vulnerability Database，国家漏洞数据库）是美国政府官方 根据NIST的SCAP标准协议所述的安全漏洞管理信息库，具体由美国国土安 全部下属的NCSD国家网际安全部门US-CERT组负责维护。 渗透测试—— 目标 11 主机渗透测试 22 应用系统渗透测试 33 网络设备渗透测试 渗透测试——流程 数据流、接口 其他Fuzzer、 信息收集 漏洞判断 漏洞利用