投稿
  1. 智能控首页
  2. 综合

最基础的渗透测试流程(渗透测试流程详解)

不在乎未来 综合

最基础的渗透测试流程(渗透测试流程详解)

渗透测试 (penetration testing pentest)

主要是安全测试与评估

渗透测试分类:

黑盒测试:

对客户组织一无所知

优点:对内部安全团队的检测与响应能力做出评估

缺点:费时费力,需要高技术

白盒测试:

对客户知道所有的流程,节约时间

优点:可以了解关于目标所有内部与底层知识,最小代价发现和验证系统最严重安全漏洞

不需要情报收集和目标定位,可以在部署和开发周期中进行集成

时间少代价低

缺点:无法测试内部应急响应能力,也无法判断出他们的安全防护计划对检测特定攻击的效率

灰盒测试:

黑白组合可以提供对目标系统更加深入和全面审查

测试效果更好

PTES渗透测试执行标准:

1.前期交互阶段

测试团队与客户组织进行交互讨论确定测试范围,目标,限制条件以及服务合同细节

收集客户需求,准备测试计划,定义测试范围与边界,定义业务目标,项目管理与规划

2.情报搜集阶段

确定范围后,可以利用各种信息来源与收集技术方法,获取更多关于目标组织网络拓扑,系统配置与安全防御措施的信息。公开来源的信息查询,google hacking,社会工程学,网络踩点,扫描探测,被动监听,服务检查等。

3.威胁建模阶段

搜集到充分的情报信息之后,共同讨论获取的信息进行威胁建模与攻击规划,从中进行梳理,找出最可行的攻击通道。

4.漏洞分析阶段

确定出最可行的攻击通道之后,考虑如何取得目标系统的访问控制权。需要综合分析前几个阶段获取并汇总的情报信息,找出攻击点,并在环境中进行验证。找出可被利用的未知安全漏洞,并开发渗透代码,从而打开攻击通道。

5.渗透攻击阶段

利用找出的漏洞,真正入侵系统获得权限,黑盒测试中渗透测试者需要进行痕迹清理

6.后渗透测试阶段

需要渗透测试团队根据目标组织的业务经营模式,保护资产形式与安全防御计划的不同特点,自主设计出攻击目标,识别关键基础设施,并寻找客户组织最具有价值和尝试安全保护的信息资产,最终达到能够对客户组织造成最重要业务影响的攻击途径。

7.报告阶段

这份报告体现出渗透测试流程中所有的信息,包括渗透测试执行过程,还要站在防御者角度上,帮助他们分析安全防御体系中的薄弱环节,存在的问题,以及修补与升级技术方案

安全生命周期:

1.安全漏洞研究与挖掘

2.渗透代码开发与测试

3.安全漏洞和渗透代码在封闭团队中流传

4.安全漏洞和渗透代码开始扩散

5.恶意程序出现并开始传播

6.渗透漏洞/恶意程序大规模传播并危害互联网

7.渗透攻击代码/攻击工具/恶意程序逐渐消亡

您可能感兴趣:

渗透测试及渗透测试操作流程(渗透检测操作步骤)

(0)
不在乎未来不在乎未来普通用戶
0 0

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发表评论

登录后才能评论