safedog-渗透测试服务白皮书

《safedog-渗透测试服务白皮书》由会员分享，可在线阅读，更多相关《safedog-渗透测试服务白皮书（12页珍藏版）》请在金锄头文库上搜索。

1、渗透测试服务白皮书 目录 1 渗透测试服务是什么 3 2 为何需要渗透测试服务 3 3 渗透测试服务会有什么收益 3 4 渗透测试与漏洞扫描有何差异 4 5 自动测试与人工测试有何差异 5 6 渗透测试有无相关规范 6 7 渗透测试执行流程是怎样的 7 8 渗透测试的内容有那些 8 9 如何避免渗透测试的风险 10 10 其他渗透测试常见问答 11 1 渗透测试服务是什么渗透测试服务是什么 渗透测试服务 Penetration Test PT 是委托信任的第三方专业安全公司 从 黑客的角度出发 模拟攻击者的思考方式对企业进行各种入侵攻击测试 渗透测试执行期间 网络安全专家会以黑客的思维尝试入侵

2、该企业的网站 网络系统 存储设备等软硬件 找出各种潜在的漏洞 以验证企业的设备与资料 是否可被破坏或窃取 同时也评估信息系统与硬件的全盘系统架构 确认其安全 性是否有待加强 渗透测试结束后 专家会列出详细的攻击手法与步骤 提供完整的修补建议 并协助企业修补漏洞 让企业能尽速降低遭受入侵的风险 漏洞经过企业修补完 毕后 安全团队会再次确认是否可使用其他手法绕过防护 以确保企业不会因为 同样的问题遭受损失 2 为何需要渗透测试服务 为何需要渗透测试服务 黑客攻击就像生活中的病毒 随时随地都有可能接触到并且遭受感染 而渗 透测试如同健康检查 若企业能定时执行深层的安全体检 面对各种攻击时即可 提高存

3、活的机率 若企业 网站有机密资料外泄 用户资料外泄等担忧 或是开发完毕的新系 统需要上线 又或者开发中的系统需要做局部安全测试 都适合渗透测试进行安 全检测 在面对网络上的众多黑客之前 先行做好防御措施 才能保证系统的每个环 节都经得起黑客的挑战 进而巩固客户对企业的信赖 3 渗透测试服务会有什么收益 渗透测试服务会有什么收益 通过渗透测试 客户获得的收益有 1 客户可以从攻击角度了解系统是否会存在一些隐性的安全漏洞和风险点 2 从客户收益的角度来说 特别是在进行安全项目之前进行渗透测试 可 以对信息系统的安全性得到较深的感性认知 有助于后续的安全建设 3 在进行了渗透测试后 可以用于验证经过

4、安全保护后的网络是否真实的 达到了预定安全目标 遵循了安全策略 4 渗透测试与漏洞扫描有何差异 渗透测试与漏洞扫描有何差异 渗透测试需由经验丰富的安全专家手动进行 测试过程中专家会利用不同的 漏洞进行组合式攻击 验证是否有任何方式一种方式可突破当前系统的防御 渗 透测试为求仔细 通常需要费时多天才能完成 因此耗费的人力成本较高 漏洞扫描可由自动化扫描软件在较短的时间内执行完毕 因此时间与金钱成 本相对较低 但是漏洞扫描仅能检测既有的漏洞 无法及时检测出最新的安全漏 洞并给予修补建议 同时对于漏洞的误判率也较高 目前渗透测试为求完整 通 常已将漏洞扫描包含在内 详细的关系图与比较表如下所示 渗透

5、测试 Penetration Test漏洞扫描 Vulnerability Assessment 执行方式 专业技术顾问手动进行 执行方式 自动化工具 门槛 高 测试者需要经验与专业知识 门槛 低 工具安装完毕即可执行 流量 低 门槛 低 工具安装完毕即可执行 误判率 低 专家可验证该漏洞的利用方式与价 值 误报率 高 工具无法确认该漏洞是否可被利用 创造力 高 专家可能在检测过程中找到无人发 现的新漏洞 创造力 低 有低价的商业工具或免费工具 报告内容报告內容 专家会列出详细攻击手法 并提供定制 化的专业修补建议 仅陈列漏洞报表 通常不包含修补建议 成本 高 通常金额是弱点扫描的数倍 成本

6、低 有低价的商业工具或免费工具 5 自动测试与人工测试有何差异 自动测试与人工测试有何差异 自动测试与人工测试的差异主要有下列几项 即时性即时性 自动测试的检测规则需要定期更新 若软件尚未更新或已过期 就无法检测 出最新的漏洞 在安全专家的人工测试之下 则不会有此状况发生 准确率准确率 自动测试的结果通常有为数不少的误报 因此需要有安全专家验证渗透测试 报告的内容 虽然某些渗透测试软件的检测准确率有一定水准 但通常其价格也 较贵 而人工渗透测试所找出来的弱点都是 100 确定可利用的 不会有误报的 状况 检测深度检测深度 自动测试仅能依照既有规则对 IT 系统进行检测 无法将检测到的漏洞加以

7、组合利用 而具备黑客思维的安全专家 则可利用多个漏洞进行组合式攻击 往 往会发现能造成重大危害的潜在漏洞 商业逻辑判断商业逻辑判断 程序无法判断逻辑漏洞 以下图内容为例 企业在商城出售价格为 4488 的 一部手机 如图 1 然而攻击者可能会通过修改数据包的方法把控制价格的参 数赋值为 1 元 如果能修改成功改 如图 2 则可能会对企业造成金钱上的损 失 这类型的逻辑漏洞 只能靠人工的方式找出 而无法用自动化渗透测试工具 扫描 图 1 商城出售价格为 4488 的手机 图 2 黑客篡改价格参数 就可以使用一元来付订单 6 渗透测试有无相关规范 渗透测试有无相关规范 检测的服务项目会包括网络扫描

8、 漏洞扫描 渗透测试三大层面 并且遵循 下列国际标准 OWASP Open WebApplication Security Project 网站应用程式安全测试清单第三版 https www owasp org images 5 56 OWASP Testing Guide v3 pdf OSSTMM Open Source Security Testing Methodology Manual 开源安全测试方法指南第三版 http www isecom org research osstmm html NIST SP 800 115 National Institute of Standar

9、ds and Technology Special Publication 800 115 美国国家标准与技术研究院 系统安全测试与评估指南 http csrc nist gov publications nistpubs 800 115 SP800 115 pdf 7 渗透测试执行流程是怎样的 渗透测试执行流程是怎样的 图 3 渗透测试流程图 确认项目需求确认项目需求 1 启动项目起始会议 了解客户需求 2 确认作业方式与执行规范 3 签署合约取得合法渗透授权 信息搜集与分析规划信息搜集与分析规划 1 搜集该目标之公开信息 2 分析与规划渗透方式 包含 OWASP 与 OSSTMM 等国际规

10、范 3 准备对应之渗透测试工具与设备 执行渗透测试执行渗透测试 1 测试信息泄漏 测试是否有敏感资料或系统信息泄漏 2 漏洞测试 扫描该目标已知漏洞 3 建立渗透途径 根据已搜集信息尝试各项渗透方式 4 安全漏洞渗透 操作系统安全漏洞渗透 应用软件安全漏洞渗透 网站逻辑漏洞渗透 密码破解 5 权限提升 尝试攻击与扩张权限 针对特定漏洞攻击 试图取得系統更高权限 开发定制化滲透工具攻击特定漏洞 渗透內网其他主机 需取得客戶授权 6 渗透测试报告 评估各漏洞潜在危险 危害程度 编写各漏洞修复方式 提交测试结果报告 提供客戶漏洞修复过程中的顾问咨询 拟定定期执行安全检查计划 7 简报与文件交付 针对

11、项目结果进行简报并交付相关文件 8 渗透测试的内容有那些 渗透测试的内容有那些 网络层渗透测试网络层渗透测试 网络设备渗透测试 针对客户网络系统中采用的各种防火墙 入侵检测系统 网络设备进行渗透测试 网络安全策略有效性测试 针对客户对于网络系统中采取的各种安全防护策 略的有效性进行检测 系统层渗透测试系统层渗透测试 操作系统渗透 主要针对客户网络系统中主机操作系统进行渗透 如对 WINDOWS SOLARIS AIX LINUX SCO SGI 等操作系统本身进行渗透测 试 数据库系统渗透 针对客户网络系统中数据库系统进行渗透 如采用的 MS SQL ORACLE MYSQL INFORMIX

12、 SYBASE DB2 等数据库应用系统 进行渗透测试 应用层渗透测试应用层渗透测试 针对客户面向用户提供的各种应用进行渗透测试 如 ASP CGI JSP PHP 等组成的 WWW 应用 邮件系统 FTP 服务系统 远程维护管理等 服务项目服务内容检测项 远 程 渗 透 网络层面渗透 网络协议漏洞分析 缓存区溢出 DNS53 结构安全 边界完整性检查 访问控制 入侵防范 网络设备防护 操作系统 数据库系统渗 透 端口安全测试 操作系统溢出漏洞 身份鉴别 拒绝服务 本地安全验证绕过 测 试 数据库功能滥用 应用系统渗透 信息收集 端口测试 权限提升 旁注 溢出测试 跨站攻击 SQL 注入 We

13、b 应用测试 敏感信息泄露 中间件脆弱性测试 第三方软件误配置 挂马文件检测 漏洞代码利用 认证机制分析 内网渗透测试 系统补丁 默认配置 薄弱口令 访问控制 网段隔离 9 如何避免渗透测试的风险如何避免渗透测试的风险 系统备份和恢复系统备份和恢复 为了防止在测试过程中出现导致系统无法使用的一场情况 应该对所有测试 系统实施之前做一次完整的备份 以便在系统在测试过程中发生灾难后及时恢 复 在测试过程中 如果发生由于测试导致的系统无法使用 应该及时中止测试 对系统进行恢复操作 并与客户和相关开发人员进行情况分析 在找到原因之后 根据分析结果调整测试方式 系统检测系统检测 在测试过程中 客户可以要

14、求通过参与测试的方式对渗透测试进行监控 可 能提高渗透测试的成本 客户参与测试的方式有以下 全程监控 和测试人员一起参与整个测试过程 并对所有测试目标进行操作 记录和数据记录 全程检测需要记录大量数据 可能会影响测试速度 部分监控 只监控对部分关键设备或者主机的系统状态 不与测试人员参与 测试 备份测试 对于不能出现任何中断的系统 例如银行系统等 应该采用备份测试方式 即复制一套测试系统 包括网络环境 主机系统 应用系统 数据库等 对复制 的系统进行渗透测试 10 其他渗透测试常见问答其他渗透测试常见问答 渗透测试有什么前期准备吗 渗透测试有什么前期准备吗 我司与委托者会沟通测试执行时间 基本

15、上以上班时间为准 以便发现重大漏洞 时可请企业开发人员及时修补 同时也会告知测试来源 IP 以便企业分辨测试 来源是否合法 避免同时遭到入侵攻击而未发觉 渗透测试需要多久的时间 渗透测试需要多久的时间 根据不同系统的规模大小而订 通常单一网站完成初测报告需要一个星期时间 加上后期企业修补到复测 整个项目周期可能需要一个月的时间 渗透测试包含社会工程学与渗透测试包含社会工程学与 DDoS 吗 吗 为避免影响企业正常营运 除非客户特别要求 否则渗透测试不会包含社会工程 学与 DDoS 渗透测试过程中会不会影响我的其他主机 渗透测试过程中会不会影响我的其他主机 若无取得合法授权 我司不会对授权目标之

16、外的主机进行检测 渗透测试所取得的信息是否容易外泄 渗透测试所取得的信息是否容易外泄 我司安全专家皆具备高度企业伦理与职业道德 不会将测试资料传递给第三方 测试过程中的资料传输也会以高强度的密码加密传输 以确保资料的安全性 在渗透项目合同中特别注明有保密条款 一旦发生项目信息泄露并对客户造成损 失 我司会承担相应法律责任 通过法律来作为保证客户项目信息安全的后盾 渗透测试执行完毕后就可以高枕无忧 渗透测试执行完毕后就可以高枕无忧 黑客攻击手法层出不穷 即使网站不进行任何更动 也难以保证未来不会被新的 攻击方式入侵 并且一般商务网站也不可能永远不开发新功能 因此仍建议每年 定期执行渗透测试 渗透测试该多久执行一次 渗透测试该多久执行一次 银监会规定银行等金融体系系统必须一年执行两次渗透测试 而一般的企业网站 或网路服务则建议每年至少执行一次渗透测试 可以委托测试其他企业的网站吗 可以委托测试其他企业的网站吗 渗透测试会触及企业的敏感信息 必须取得合法的授权后才能进行测试 因此仅 能接受该网站的拥有者或所属企业委托测试 执行渗透测试的厂商需要特定资格吗 执行渗透测试的厂商需要特定资格吗 目