一.渗透测试方法论
- 渗透测试方法论是制定实施信息安全审计方案时,需要遵循的规则,惯例和过程。
- 人们在评估网络,应用,系统或者三者组合的安全状态时,不断摸索各种实务的理念和成熟的做法,并总结了一套理论-渗透测试方法论
二.渗透测试种类
| 测试种类 | 测试特点 | 测试难度 |
|---|---|---|
| 黑盒测试 | 不清楚内部技术构造,从外部评估网络基础设施的安全性 | 高 |
| 白盒测试 | 获取被测单位的各种内部资料甚至不公开资料 | 低 |
三. 开放式web应用程序安全项目 (Open Web Application Security Project)
OWASP TOP10
| 应用编号 | 风险描述 |
|---|---|
| A1:注入 | 1. 将不受信任的数据作为命令或者查询的一部分发送到解析器时,会产生诸如SQL注入,NOSQL注入,OS注入和LDAP注入的注入缺陷 2.攻击者恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或者访问数据 |
| A2:失效的身份认证 | 通过错误使用应用系统的身份认证和会话管理功能,攻击者能够破译密码,密钥或者会话令牌或者利用其他开发缺陷暂时或者永久性冒充其他用户身份 |
| A3:敏感数据泄露 | 许多web应用程序和API无法正确保护敏感数据:财务数据,医疗数据和Pii数据 |
| A4:XML外部实体 | 较早的或配置错误的XML处理器评估了XML文件中的外部实体引用。攻击者可以利用外部实体窃取uri文件处理器的内部文件和共享文件,监听内部扫描端口,执行远程代码和实施拒绝攻击服务 |
| A5:失效的访问控制 | 未对通过身份验证的用户实施恰当的访问控制,攻击者可以访问其他用户的账户,查看敏感文件,修改其他用户的数据,更改访问权限等 |
| A6:安全配置错误 | 不安全的默认配置,不完整的临时配置 |
| A7:跨站脚本(XSS) | 网站中包含不受信任的未经恰当验证的数据,或者使用可以创建HTML或者js的浏览器API就会导致XSS缺陷,XSS能够劫持用户会话,破坏网站或者将用户重定向到恶意站点 |
| A8:不安全的反序列化) | 不安全的反序列化攻击导致远程代码执行:重播攻击,注入攻击和特权升级攻击 |
| A9:使用含有已知漏洞的组件 | 使用含有已知漏洞的组件 |
| A10:不足的日志记录和监控 | 不足的日志记录和监控,攻击者可以保持持续性攻击 |
四. PII数据
1.PII数据(个人可识别信息。Personally Identifiable Information)可以用来识别特定个人的任何数据。这些信息可以单独使用,也可以余其他数据结合使用以识别个人身份
| 分类 | 信息 |
|---|---|
| 直接识别信息 | 姓名、社会保险号码、地址等,这些信息可以直接用来识别个人 |
| 白盒测试 | 出生日期、种族等,这些信息单独使用时不足以识别个人,但与其他信息结合后可以识别个人 |
五. 渗透测试流程(PTES)
- 事前互动
- 情报搜集
- 威胁建模
- 漏洞和分析
- 漏洞利用
- 深度利用
- 书面报告
通用渗透测试框架
- 范围界定
- 信息搜集
- 目标识别
- 服务枚举
- 漏洞映射
- 社会工程学
- 漏洞利用
- 权限提升
- 访问维护
- 文档报告
1.1 范围界定
- 测试对象是啥
- 采用什么测试方法
- 那些测试过程中需要满足的条件
- 哪些因素可能限制测试执行过程
- 需要多久才能完成测试
- 此次限额是应当达成什么样的任务目标
1.2 信息搜集
渗透人员需要使用各种公开资源尽可能的获取测试目标的相关信息
1.3 目标识别
这个阶段的主要任务是识别目标的网络状态,操作系统和网络架构,该阶段工作旨在完整地展现目标网络里各种联网设备或技术的完整关系,以及帮助测试人员在接下来的工作里枚举目标网络的各种服务。
1.4 服务枚举
- 找出系统开放端口
- 端口对应的相应服务
1.5 漏洞映射
- 已经发现的开放端口和服务程序,查找,分析目标系统中存在的漏洞
- 社会工程学
1.6 漏洞利用
在仔细检查和发现目标系统中的漏洞之后,就可以使用已有的漏洞利用程序对目标系统进行渗透
1.7 权限提升
- 审计人员也可以使用适用与目标系统的本地漏洞来提升自己的权限。只要他们能够在目标系统上运行提权漏洞利用程序,就可以获得主机的超级用户权限或者系统权限
- 以该主机为跳板,进一步攻击局域网络。根据之前的渗透范围的界定
1.8 访问维护
- 安装后门将节省重新渗透目标系统所耗费的大量时间
1.9 文档报告
- 审计人员要记录、报告并现场演示那些已经识别、验证和利用了的安全漏洞
