服务介绍
3.1 前期交互(Pre-engagement Interactions)
3.2 情报搜集(Intelligence Gathering)
信息收集方式有:
-
主动扫描,开放搜索 -
开放搜索:利用搜索引擎获得后台、未授权页面、敏感url等等 -
基础信息:IP、网段、域名、端口。 -
应用信息:各端口的应用,例如web应用、邮件应用等等 -
系统信息:操作系统版本 -
版本信息:所有这些探测到的东西的版本 -
服务信息:中间件的各类信息,插件信息 -
人员信息:域名注册人员信息,web应用中发帖人的id,管理员姓名等 -
防护信息:试着看能否探测到防护设备
3.3 威胁建模(Threat Modeling)
在搜集到充分的情报信息之后,渗透测试团队成员要坐下来进行威胁建模与攻击规划。在威胁建模过程中,要对客户公司的组织资产进行分类和罗列,举例如下:
-
公司的内部政策、商业计划、路线图 -
公司的产品信息和源代码 -
公司的财务信息(如银行,信贷,股权账户) -
公司的技术信息如基础设施信息,系统配置信息和用户帐户凭据 -
员工数据和客户数据
3.4 漏洞分析(Vulnerability Analysis)
-
自动化验证:结合自动化扫描工具提供的结果 -
手工验证:根据公开资源进行验证 -
试验验证:自己搭建模拟环境进行验证 -
登录猜解:有时可以尝试猜解一下登录口的账号密码等信息 -
业务漏洞验证:如发现业务漏洞,要进行验证 -
公开资源的利用:exploit-db、wooyun、Google hacking。渗透代码网站 -
通用、缺省口令,厂商的漏洞警告等等
3.5 渗透攻击(Exploitation)
3.6 后渗透攻击(Post Exploitation)
后渗透攻击是很能体现渗透测试团队职业操守与技术能力的环节。
前面的环节可以说都是在按部就班地完成非常普遍的目标,而在这个环节中,在得到客户允许的情况下,渗透测试团队进行权限提升并保持对机器的控制以供以后使用,就是常说的后门。同时需要和客户约定规则,以确保客户的日常运营和数据不会面临风险。一些重要的规则举例如下:
-
除非事先达成一致,否则将不会修改客户认为对其基础设施"至关重要"的服务。 -
必须记录针对系统执行的所有修改,包括配置更改。 -
必须保留针对受损系统采取的详细操作列表。 -
密码(包括加密形式的密码)将不会包含在最终报告中 -
测试人员收集的所有数据必须在测试人员使用的系统上加密。 -
除非客户在订立合同/工作说明书中明确授权,否则不得删除,清除或修改日志。
3.7 形成报告(Reporting)
渗透测试过程最终向客户组织提交,取得认可并成功获得合同付款的就是一份渗透测试报告。
这份报告凝聚了之前所有阶段之中渗透测试团队所获取的关键情报信息、探测和发掘出的系统安全漏洞、成功渗透攻击的过程,渗透过程中用到的代码(poc,exp等), 以及造成业务影响后果的攻击途径,同时还要站在防御者的角度上,帮助他们分析安全防御体系中的薄弱环节、存在的问题,以及修补与升级技术方案。
只要组织的数字化系统还在运行,它就时刻会面临各种不断出现的新威胁。网络犯罪分子会不停地寻找系统中的漏洞,如果渗透测试间隔时间长,他们就有机会领先于企业发现可利用的新漏洞。
良好的测试结果只是肯定了过去建设的成绩,并激励组织继续重视在安全方面的投入。因此,企业应该持续性进行渗透测试,以消除新出现的威胁,并确保系统没有威胁。
服务范围
