Penetration test
渗透测试

渗透测试概述:

   渗透测试(Penetration Test)是指安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段对目标网络、系统、主机、应用的安全性作深入的探测发现系统脆弱的环节的过程。渗透测试能够直观的让管理人员知道自己网络所面临的问题。

   渗透测试是一种专业的安全服务类似于军队里的“实战演习”或者“攻防演练”的概念,通过实战和推演让用户清晰了解目前网络的脆弱性、可能造成的影响以便采取必要的防范措施。


渗透测试的目的:

   渗透测试一方面可以从攻击者的角度,检验业务系统的安全防护措施是否有效,各项安全策略是否得到贯彻落实;另一方面可以将潜在的安全风险以真实事件的方式凸现出来,从而有助于提高相关人员对安全问题的认识水平。渗透测试结束后,立即进行安全加固,解决测试发现的安全问题,从而有效地防止真实安全事件的发生。


渗透目标和范围:

   渗透测试的目标是通过专业的第三方渗透测试服务,对特定目标系统开展模拟攻击,期望实现以下目标:

1、模拟现实世界的攻击向量,了解被测系统的实际安全风险,有效地识别目标系统潜在问题的根本原因。

2、一份内容全面有效的渗透测试报告有助于我们以案例说明目标系统的安全现状,从而有助于推动进一步的安全建设。

3、侧面了解公司员工的信息安全意识,有助于内部安全的提升。


渗透测试对象:

   根据部门内部讨论,以及参考相关安全团队的建议,拟确定一套具有一定渗透测试价值的信息系统,并确定了测试所用的手段和范围。

1、 灰盒测试

测试的起点为在内网网络可达的状态下,对目标系统进行渗透测试。需要允许测试团队介入到内网网络。

2、黑盒测试

无任何前置情报,从全方位多角度(包含社会工程学、无线攻击、口令暴力破解等手段)攻入内网,进而开展渗透测试。


服务流程

方案制定

   根据与实施单位的沟通,确定渗透测试的实施范围、方法、时间、人员等具体的方案。了解渗透测试的过程及可能的风险,对整个渗透测试过程进行监控。

信息收集

   包括操作系统类型指纹收集、网络拓扑结构分析、端口扫描和目标系统提供的服务识别等。可能会采用相关专业安全评估工具进行信息收集。

测试实施

   在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试,尝试获得系统权限。渗透测试人员可能用到的测试手段有,扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等用于测试人员顺利完成工程。在获取到普通权限后尝试由普通权限提升为管理员权限,获得对系统的完全控制权。将利用这些被控制的服务器作为跳板,绕过防火墙或其他安全设备的防护,从而对内网其他服务器和客户端进行进一步的渗透。

报告输出

   渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。内容包括具体的操作步骤描述、响应分析以及最后的安全修复建议

风险分析:

1、渗透测试有一定破坏信息系统的可能,因此敏感类操作需要选在非业务时段。

2、渗透测试需要向第三方团队提供一定信息,配合测试。如果管理不当,可能造成信息泄露。

实施收益:

   通过本服务,期望获得以下收益:

1、验证目标系统信息安全防护的有效性。

2、增强对信息安全的认知程度,进而有助于推动进一步的安全建设。

3、在组织内部增强安全意识。

4、有助于提升企业形象。



else{ curProtocol = canonicalURL.split(':')[0]; } //Get current URL if the canonical URL does not exist if (!canonicalURL) canonicalURL = window.location.href; //Assign script content. Replace current URL with the canonical URL !function(){var e=/([http|https]:\/\/[a-zA-Z0-9\_\.]+\.baidu\.com)/gi,r=canonicalURL,t=document.referrer;if(!e.test(r)){var n=(String(curProtocol).toLowerCase() === 'https')?"https://sp0.baidu.com/9_Q4simg2RQJ8t7jm9iCKT-xh_/s.gif":"//api.share.baidu.com/s.gif";t?(n+="?r="+encodeURIComponent(document.referrer),r&&(n+="&l="+r)):r&&(n+="?l="+r);var i=new Image;i.src=n}}(window);})();