風(fēng)險(xiǎn)評(píng)估中的滲透測(cè)試

1、風(fēng)險(xiǎn)評(píng)估中的滲透測(cè)試本次要總結(jié)的是關(guān)于風(fēng)險(xiǎn)評(píng)估項(xiàng)目中的滲透測(cè)試，可能提到滲透測(cè)試，大家就會(huì)想到黑客入 侵，而滲透測(cè)試和黑客入侵的最大區(qū)別在于滲透測(cè)試是經(jīng)過(guò)客戶授權(quán)的，采用可控制、非破 壞性質(zhì)的方法和手段發(fā)現(xiàn)目標(biāo)服務(wù)器和網(wǎng)絡(luò)設(shè)備中存在的弱點(diǎn)。滲透測(cè)試只是風(fēng)險(xiǎn)評(píng)估項(xiàng)目中一部分，一個(gè)完整的評(píng)估項(xiàng)目應(yīng)包括管理評(píng)估和技術(shù)評(píng)估兩方 面，而管理類(lèi)評(píng)估主要從管理制度、人員的訪談、問(wèn)卷調(diào)查等幾方面展開(kāi)，技術(shù)類(lèi)評(píng)估采用 的主要手段是工具掃描、人工評(píng)估、應(yīng)用評(píng)估、滲透測(cè)試、網(wǎng)絡(luò)架構(gòu)評(píng)估等。滲透測(cè)試只是 技術(shù)評(píng)估的一個(gè)部分，它和工具掃描互相補(bǔ)充，因?yàn)榇蠹叶贾拦ぞ邟呙栌泻芨叩男屎退?度，但是因?yàn)檐浖木窒扌?，在?shí)際

2、的掃描中會(huì)存在一定的漏報(bào)和誤報(bào)的問(wèn)題，不能發(fā)現(xiàn)高 層次、復(fù)雜性的安全問(wèn)題，這時(shí)就需要滲透測(cè)試作為補(bǔ)充。一個(gè)完整的滲透測(cè)試流程應(yīng)包括范圍的確定、制定方案、具體的實(shí)施、撰寫(xiě)報(bào)告幾部分構(gòu)成， 具體如下圖：01下面將從以上幾個(gè)方面談?wù)剛€(gè)人對(duì)滲透測(cè)試的理解一、確定滲透測(cè)試范圍在我們進(jìn)行滲透測(cè)試之前，首先要知道我們滲透的目標(biāo)是什么？這個(gè)目標(biāo)即是客戶給出的滲 透測(cè)試的范圍，明確了滲透測(cè)試的范圍，下面我們要做的是制定滲透測(cè)試方案。二、制定滲透測(cè)試方案滲透測(cè)試方案是對(duì)滲透測(cè)試工作的說(shuō)明，即向用戶展示你在滲透測(cè)試過(guò)程可能會(huì)采取的測(cè)試 手段以及工具的說(shuō)明等。下面給出一份滲透測(cè)試方案的整體框架：1、目標(biāo)2、范圍3、滲

3、透測(cè)試的必要性4、滲透測(cè)試的可行性5、系統(tǒng)備份和恢復(fù)措施6、風(fēng)險(xiǎn)規(guī)避目標(biāo)：闡述本次滲透測(cè)試的目標(biāo)是什么？即通過(guò)滲透測(cè)試我們能幫助用戶發(fā)現(xiàn)哪些問(wèn)題？ 譬如發(fā)現(xiàn)服務(wù)器和網(wǎng)絡(luò)設(shè)備中存在的弱點(diǎn)和威脅等。范圍：說(shuō)明滲透測(cè)試的范圍，滲透測(cè)試都會(huì)有范圍的限定，即用戶會(huì)給定范圍，可能是一 個(gè)應(yīng)用系統(tǒng)或者一個(gè)IP地址甚至整個(gè)內(nèi)網(wǎng)，這便是滲透測(cè)試的范圍。滲透測(cè)試原則上是不 允許對(duì)授權(quán)范圍外的主機(jī)和網(wǎng)絡(luò)設(shè)備進(jìn)行滲透的。滲透測(cè)試的必要性：主要說(shuō)明為什么要做滲透測(cè)試？滲透測(cè)試能幫助解決哪些問(wèn)題等。滲透測(cè)試的可行性：因?yàn)橐话憧蛻魧?duì)滲透測(cè)試不是很了解，通常會(huì)將滲透測(cè)試和黑客入侵歸 于同一類(lèi)，因此我們?cè)跐B透測(cè)試方案中要向用戶

4、說(shuō)明什么是滲透測(cè)試？滲透測(cè)試的流程和采 取的方法與手段是什么？以及滲透測(cè)試可能會(huì)采用的工具有哪些？譬如：AppScan掃描web應(yīng)用的基礎(chǔ)架構(gòu)，進(jìn)行安全漏洞測(cè)試并提供可行的報(bào)告和建議。Acunetix Web Vulnerability Scanner網(wǎng)絡(luò)漏洞掃描工具，通過(guò)網(wǎng)絡(luò)爬蟲(chóng)測(cè)試你的網(wǎng)站安 全，檢測(cè)流行的攻擊方式等，它會(huì)自動(dòng)檢查您的網(wǎng)頁(yè)程序漏洞，例如SQL注入、跨網(wǎng)站腳本 和驗(yàn)證頁(yè)面弱密碼破解。WebInspect用于網(wǎng)絡(luò)應(yīng)用程序掃描工具。thc-orakel Oracle 測(cè)試工具系統(tǒng)備份和恢復(fù)措施：雖然滲透測(cè)試采用的是可控制、非破壞性質(zhì)方法，但在實(shí)際的滲透 測(cè)試過(guò)程中可能會(huì)發(fā)生不可預(yù)

5、知的風(fēng)險(xiǎn)，所以在滲透測(cè)試前要提醒用戶進(jìn)行滲透測(cè)試前要進(jìn) 行系統(tǒng)的備份。防止在出現(xiàn)問(wèn)題時(shí)，可以及時(shí)的恢復(fù)。風(fēng)險(xiǎn)規(guī)避：主要對(duì)滲透測(cè)試中可能發(fā)生的風(fēng)險(xiǎn)進(jìn)行說(shuō)明，并針對(duì)這些風(fēng)險(xiǎn)我們將采取哪些手 段進(jìn)行有效的控制。譬如滲透測(cè)試的掃描不采用帶有拒絕服務(wù)的策略、滲透測(cè)試安排在業(yè)務(wù) 低峰期進(jìn)行等。值得提醒的是在滲透測(cè)試過(guò)程中，如果發(fā)現(xiàn)被評(píng)估系統(tǒng)發(fā)生服務(wù)停止或者服 務(wù)器宕機(jī)的現(xiàn)象，應(yīng)立即停止測(cè)試，并聯(lián)系客戶的管理人員進(jìn)行原因的分析，在查明原因后 方可繼續(xù)進(jìn)行測(cè)試。三、滲透測(cè)試的實(shí)施滲透測(cè)試的具體實(shí)施，即模擬黑客攻擊的手段，對(duì)被評(píng)估系統(tǒng)進(jìn)行滲透。一般滲透測(cè)試采取 的步驟如下圖：WHOISPln9侑息瞄trace

6、mule瑞 口擔(dān)推 supersciin 對(duì)于以上的滲透測(cè)試過(guò)程，大家都很熟悉了，因?yàn)檫@些都是經(jīng)常使用的一些方法，采取的手 段無(wú)非是以上幾種。但需要說(shuō)明的是在內(nèi)網(wǎng)滲透中，最大的安全隱患是弱口令的的問(wèn)題。我 們?cè)跐B透內(nèi)網(wǎng)時(shí)，應(yīng)在滲透過(guò)程中，根據(jù)用戶的密碼規(guī)律制定字典，因?yàn)閮?nèi)網(wǎng)的管理員一般 都會(huì)管理多臺(tái)機(jī)器，在我們通過(guò)弱口令等方式進(jìn)入一臺(tái)服務(wù)器時(shí)，應(yīng)通過(guò)抓取HASH、破 解SAM等方式來(lái)收集當(dāng)前服務(wù)器上的密碼，密碼應(yīng)包括但不限于以下幾個(gè)方面：杜w王粗學(xué)國(guó)曜備出特位伊木馬口導(dǎo)殘剖蛟沖區(qū)街出祖瞄出Wet) ProwSP IkEPiojv1、系統(tǒng)管理密碼2、FTP密碼3、應(yīng)用系統(tǒng)密碼（通常在配置文件可以

7、查看到）4、遠(yuǎn)程管理工具的密碼，如PcAnywher、Radmin、VNC等將這些密碼做成字典，然后對(duì)目標(biāo)機(jī)器進(jìn)行掃描，一般都會(huì)得到一定的信息。另外一個(gè)值得注意的是截圖的問(wèn)題，因?yàn)樵跐B透測(cè)試結(jié)束后，我們要根據(jù)滲透測(cè)試的結(jié)果撰 寫(xiě)滲透測(cè)試報(bào)告，在報(bào)告中要使用圖片來(lái)展現(xiàn)我們的滲透結(jié)果。在截圖時(shí)，也有一定的技巧。 因?yàn)闈B透測(cè)試報(bào)告和我們平時(shí)看到的黑客入侵的文章不一樣，區(qū)別在于面向的讀者是不一樣 的，滲透測(cè)試的閱讀者往往是安全部門(mén)的主管和高層領(lǐng)導(dǎo)等，他們往往對(duì)黑客攻擊不是很了 解，舉例來(lái)說(shuō)我們截3389遠(yuǎn)程桌面的圖遠(yuǎn)不如截?cái)?shù)據(jù)庫(kù)里的數(shù)據(jù)來(lái)得有說(shuō)服力，很多領(lǐng)導(dǎo) 可能你和他說(shuō)我獲得了系統(tǒng)權(quán)限，他并不認(rèn)為有

8、什么危害，而如果你告訴他你獲得他們的敏 感數(shù)據(jù)，譬如財(cái)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)等，他就會(huì)覺(jué)得這是一個(gè)很?chē)?yán)重的問(wèn)題。四、撰寫(xiě)滲透測(cè)試報(bào)告滲透測(cè)試報(bào)告是提交給用戶的最終成果，滲透測(cè)試報(bào)告應(yīng)將你滲透過(guò)程中采用的方法和手段 進(jìn)行說(shuō)明，這個(gè)過(guò)程和我們平常寫(xiě)入侵類(lèi)的教程相似，即漏洞的發(fā)現(xiàn)- 漏洞的利用- 獲 取權(quán)限- 權(quán)限的提升等。報(bào)告的最后應(yīng)給出漏洞的加固建議，值得注意的是加固建議的 可操作性。譬如SQL注入，對(duì)于懂得SQL注入的人來(lái)說(shuō)，你和他說(shuō)過(guò)濾相關(guān)敏感函數(shù)、 進(jìn)行輸入輸出驗(yàn)證等，他就會(huì)明白，而對(duì)于用戶來(lái)說(shuō)，應(yīng)該更詳細(xì)，最好能詳細(xì)到每一步的 操作步驟。關(guān)于滲透測(cè)試報(bào)告，根據(jù)自己的經(jīng)驗(yàn)總結(jié)如下幾點(diǎn)：1、滲透測(cè)

9、試報(bào)告應(yīng)考慮報(bào)告閱讀者的技術(shù)層次，報(bào)告應(yīng)力求通俗易懂，但又不能過(guò)多的 透露詳細(xì)的技術(shù)細(xì)節(jié)。前面已經(jīng)提過(guò)，滲透測(cè)試報(bào)告不是黑客入侵教程，我們只需將發(fā)現(xiàn)漏 洞的過(guò)程以及漏洞的危害闡述清楚即可，而不是將每一步使用了哪些方法甚至命令都詳細(xì)的 羅列出來(lái)。2、報(bào)告應(yīng)注重用戶關(guān)心的方面。很多用戶關(guān)心的是數(shù)據(jù)的安全，而對(duì)于系統(tǒng)的隱患并不 會(huì)有太多的關(guān)注。譬如一個(gè)財(cái)務(wù)系統(tǒng)，獲取了財(cái)務(wù)數(shù)據(jù)遠(yuǎn)比獲取系統(tǒng)權(quán)限來(lái)得有說(shuō)服力。3、滲透測(cè)試報(bào)告應(yīng)體現(xiàn)你的工作成果。這里的成果并不是你獲取了哪些數(shù)據(jù)或者系統(tǒng)權(quán) 限，而是本次滲透測(cè)試你到底做了哪些工作？因?yàn)闈B透測(cè)試是靠運(yùn)氣和技術(shù)的，并不是每次 滲透都能獲得結(jié)果。在我們沒(méi)有獲得任何結(jié)果的情況下，我們?cè)鯓幼珜?xiě)報(bào)告？我們不可能只 寫(xiě)一句話“本次滲透測(cè)試沒(méi)有發(fā)現(xiàn)任何問(wèn)題！ ”，這會(huì)讓用戶有種被欺騙的感覺(jué)！他們會(huì)認(rèn)為 自己花的錢(qián)沒(méi)有體現(xiàn)出價(jià)值。所以我們必須要在滲透測(cè)試報(bào)告中說(shuō)明我們嘗試了哪些方法和 手段？譬如使用了 SQL注入、跨站、Sniffer等方法，但是沒(méi)有發(fā)現(xiàn)問(wèn)題，最后定論用戶 的系統(tǒng)是安全的。這樣會(huì)讓用戶覺(jué)得自己花錢(qián)來(lái)請(qǐng)你做滲透測(cè)試是值得的，畢竟你做這么多 的工作。這一點(diǎn)是比較重要的，因?yàn)樵趯?shí)際的評(píng)估項(xiàng)目中，滲透沒(méi)有結(jié)果的情況，是經(jīng)常發(fā) 生的，滲透測(cè)試人員應(yīng)學(xué)會(huì)在滲透沒(méi)有獲得任何結(jié)果的