Day101什么是滲透測(cè)試的課件

1、什么是滲透測(cè)試2022/8/271自我介紹：1、熊耀富（piaox），從事信息安全行業(yè)7年；2、深信服高級(jí)安全咨詢顧問(wèn)，國(guó)家CNCERT等機(jī)構(gòu)總接口人；3、百度SRC、烏云、FREEBUF在線高級(jí)白帽子；4、國(guó)家漏洞共享平臺(tái)CNVD、CNNVD原創(chuàng)漏洞提交者。2022/8/2722022/8/273CONTENTS1234滲透測(cè)試技術(shù)與分類滲透測(cè)試與風(fēng)險(xiǎn)評(píng)估如何掌握滲透測(cè)試技能滲透須注意事項(xiàng)與自我保護(hù)2022/8/274滲透測(cè)試技術(shù)與分類 簡(jiǎn)而言之，滲透測(cè)試就是一種通過(guò)模擬惡意攻擊者的技術(shù)與方法，對(duì)目標(biāo)系統(tǒng)進(jìn)行主動(dòng)探測(cè)分析，以發(fā)現(xiàn)潛在的系統(tǒng)漏洞，包括不恰當(dāng)?shù)南到y(tǒng)配置，已知或未知的軟硬件漏洞的安

2、全測(cè)試與評(píng)估方式。滲透測(cè)試分類黑盒測(cè)試(Black-box Testing) 也稱為外部測(cè)試，滲透測(cè)試團(tuán)隊(duì)在發(fā)起滲透測(cè)試前沒(méi)有任務(wù)目標(biāo)系統(tǒng)的相關(guān)信息(內(nèi)部網(wǎng)絡(luò)拓?fù)洹⒒A(chǔ)設(shè)施等)。白盒測(cè)試(White-box Testing) 也稱為內(nèi)部測(cè)試，滲透測(cè)試團(tuán)隊(duì)可以了解目標(biāo)系統(tǒng)的內(nèi)部和底層知識(shí)。白盒測(cè)試的實(shí)施流程與黑盒測(cè)試類似，不同之處在無(wú)需進(jìn)行目標(biāo)定位與情報(bào)搜集。灰盒測(cè)試(Grey-box Testing) 兩種滲透測(cè)試方法的組合，組合后能同時(shí)發(fā)揮兩者的優(yōu)勢(shì)。2022/8/275滲透測(cè)試技術(shù)標(biāo)準(zhǔn)安全測(cè)試方法學(xué)開(kāi)源手冊(cè)(OSSTMM) 安全測(cè)試方法學(xué)開(kāi)源手冊(cè)(OSSTMM)提供物理安全、人類心理學(xué)、數(shù)

3、據(jù)網(wǎng)絡(luò)、無(wú)線通信媒介和電訊通信五類渠道非常細(xì)致測(cè)試用例。NIST SP 800-42網(wǎng)絡(luò)安全測(cè)試指南 美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布滲透測(cè)試流程與方法，更偏向管理。OWASP 十大Web應(yīng)用安全測(cè)試指南 針對(duì)目前最普遍的Web應(yīng)用層，為安全測(cè)試人員提供如何識(shí)別與避免安全威脅的指南，只關(guān)注Web領(lǐng)域，非普適性的滲透測(cè)試方法指南。Web安全威脅分類標(biāo)準(zhǔn) 與OWASP Top Ten類似，全面給出Web領(lǐng)域中的漏洞、攻擊與防范措施視圖。PTES滲透測(cè)試執(zhí)行標(biāo)準(zhǔn) 2010年發(fā)起的滲透測(cè)過(guò)程規(guī)范，核心理念是建立所要求的基本準(zhǔn)則基線，來(lái)定義一次真正的滲透測(cè)試過(guò)程，目前得到業(yè)績(jī)廣泛認(rèn)可。2022/8/276P

4、TES滲透測(cè)試過(guò)程確定攻擊范圍、目標(biāo)、限制條件及服務(wù)合同細(xì)節(jié)社會(huì)工程學(xué)、網(wǎng)絡(luò)踩點(diǎn)、掃描探測(cè)、被動(dòng)監(jiān)聽(tīng)獲取攻擊目標(biāo)詳盡信息通過(guò)團(tuán)隊(duì)共同的縝密情報(bào)分析，確定出最可行的攻擊通道找出可被利用的漏洞、根據(jù)情況開(kāi)發(fā)出必要的滲透代碼利用可利用的漏洞，嘗試真實(shí)入侵、獲取訪問(wèn)控制權(quán)限。輸出滲透測(cè)試報(bào)告2022/8/277CONTENTS1234滲透測(cè)試技術(shù)與分類滲透測(cè)試與風(fēng)險(xiǎn)評(píng)估如何掌握滲透測(cè)試技能滲透須注意事項(xiàng)與自我保護(hù)2022/8/278信息安全風(fēng)險(xiǎn)評(píng)估CISP信息安全風(fēng)險(xiǎn)管理章節(jié)2022/8/279信息安全風(fēng)險(xiǎn)概念 GB/T 20984的定義：信息安全風(fēng)險(xiǎn)人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆

5、弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。 信息安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。 信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。 信息安全風(fēng)險(xiǎn)只考慮那些對(duì)組織有負(fù)面影響的事件。2022/8/2710信息安全風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施；為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障信息安全提供科學(xué)依據(jù)。 風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過(guò)程。

6、 風(fēng)險(xiǎn)評(píng)估的目的是控制風(fēng)險(xiǎn)。 風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的起點(diǎn)和基礎(chǔ)環(huán)節(jié) 風(fēng)險(xiǎn)管理是在倡導(dǎo)適度安全 風(fēng)險(xiǎn)分析準(zhǔn)備：制定風(fēng)險(xiǎn)評(píng)估方案、選擇評(píng)估方法 風(fēng)險(xiǎn)要素識(shí)別：發(fā)現(xiàn)系統(tǒng)存在的威脅、脆弱性和控制措施 風(fēng)險(xiǎn)分析：判斷風(fēng)險(xiǎn)發(fā)生的可能性和影響的程度 風(fēng)險(xiǎn)結(jié)果判定：綜合分析結(jié)果判定風(fēng)險(xiǎn)等級(jí)2022/8/2711信息安全風(fēng)險(xiǎn)評(píng)估2022/8/2712信息安全風(fēng)險(xiǎn)評(píng)估2022/8/2713信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家保密局涉密信息系統(tǒng)安全保密測(cè)評(píng)中心涉密系統(tǒng)非涉密系統(tǒng)中國(guó)信息安全測(cè)評(píng)中心國(guó)家信息技術(shù)安全研究中心公安部信息安全等級(jí)保護(hù)中心風(fēng)險(xiǎn)評(píng)估專業(yè)隊(duì)伍信息安全評(píng)估工作承擔(dān)部門 等保測(cè)評(píng)、安全檢查都是在既定安全基線的基礎(chǔ)上開(kāi)

7、展的符合性測(cè)評(píng)，其中等保測(cè)評(píng)是符合國(guó)家安全要求的測(cè)評(píng)，安全檢查是符合行業(yè)主管安全要求的符合性測(cè)評(píng)。 而風(fēng)險(xiǎn)評(píng)估是在國(guó)家、行業(yè)安全要求的基礎(chǔ)上，以被評(píng)估系統(tǒng)特定安全要求為目標(biāo)而開(kāi)展的風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)。2022/8/2714CONTENTS1234滲透測(cè)試技術(shù)與分類滲透測(cè)試與風(fēng)險(xiǎn)評(píng)估如何掌握滲透測(cè)試技能滲透須注意事項(xiàng)與自我保護(hù)2022/8/2715掌握滲透測(cè)試技能2022/8/2716掌握滲透測(cè)試基礎(chǔ)或或網(wǎng)絡(luò)知識(shí)系統(tǒng)知識(shí)數(shù)據(jù)庫(kù)知識(shí)編程語(yǔ)言網(wǎng)站知識(shí)2022/8/2717具備必要的linux知識(shí)2022/8/2718具備必要的linux知識(shí)系統(tǒng)接入日志: 多個(gè)程序會(huì)記錄該日志，記錄到/

8、var/log/wtmp和/var/run/utmp文件中，telnet、ssh等程序會(huì)更新wtmp和utmp文件，系統(tǒng)管理員可以根據(jù)該日志跟蹤到誰(shuí)在何時(shí)登錄到系統(tǒng)。 進(jìn)程統(tǒng)計(jì)日志: Linux內(nèi)核記錄該日志，當(dāng)一個(gè)進(jìn)程終止時(shí)，進(jìn)程統(tǒng)計(jì)文件（pacct或acct）中會(huì)進(jìn)行記錄。進(jìn)程統(tǒng)計(jì)日志可以供系統(tǒng)管理員分析系統(tǒng)使用者對(duì)系統(tǒng)進(jìn)行的配置，以及對(duì)文件進(jìn)行的操作。 錯(cuò)誤日志: Syslog日志系統(tǒng)已經(jīng)被許多設(shè)備兼容，Linux的syslog可以記錄系統(tǒng)事件，主要由syslogd程序執(zhí)行，Linux系統(tǒng)下各種進(jìn)程、用戶程序和內(nèi)核都可以通過(guò)Syslog文件記錄重要信息，錯(cuò)誤日志記錄在/var/log/m

9、essages中。有許多Linux/Unix程序創(chuàng)建日志。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志。 2022/8/2719具備數(shù)據(jù)庫(kù)知識(shí)2022/8/2720具備網(wǎng)站開(kāi)發(fā)知識(shí)2022/8/2721具備網(wǎng)站開(kāi)發(fā)知識(shí)2022/8/2722熟悉網(wǎng)站常見(jiàn)架構(gòu)簡(jiǎn)單缺少靈活性（DNS緩存）D:pythonDjango-1.1.1nslookup Server: Address: 0Non-authoritative answer:Name: Addresses: 4, 12, 0, 1Aliases: 2022/8/2723熟悉網(wǎng)站常見(jiàn)架構(gòu)負(fù)載均衡軟件nginxHAProxyapach

10、e httpdLVS(網(wǎng)絡(luò)第四層工作)F5(硬件，四層/七層)反向代理負(fù)載均衡2022/8/2724熟悉網(wǎng)站常見(jiàn)架構(gòu)Linux Virtual Server(LVS)2022/8/2725熟悉網(wǎng)站常見(jiàn)架構(gòu)img,js,css使用單獨(dú)的服務(wù)器處理請(qǐng)求apache httpdtomcat瀏覽器靜態(tài)資源靜態(tài)資源動(dòng)態(tài)請(qǐng)求動(dòng)態(tài)請(qǐng)求動(dòng)態(tài)請(qǐng)示動(dòng)態(tài)請(qǐng)示動(dòng)靜態(tài)資源分離2022/8/2726熟悉網(wǎng)站常見(jiàn)架構(gòu)現(xiàn)實(shí)網(wǎng)站圖片存儲(chǔ)分析圖片服務(wù)器的域名不同多臺(tái)機(jī)器保存相同的圖片(img3,img2子域名)同一頁(yè)面不同圖片隨機(jī)生成不同的子域名進(jìn)行負(fù)載均衡2022/8/2727熟悉網(wǎng)站常見(jiàn)架構(gòu)Content Delivery

11、Network2022/8/2728熟悉HTTP協(xié)議知識(shí)2022/8/2729擅于使用搜索引擎google地址:52、512022/8/2730積極利用安全社區(qū)論壇2022/8/2731積極利用安全社區(qū)論壇2022/8/2732積極利用安全社區(qū)論壇2022/8/2733積極利用安全社區(qū)論壇2022/8/2734積極利用安全社區(qū)論壇習(xí)科：2022/8/2735積極利用安全社區(qū)論壇暗組：/2022/8/2736積極利用安全社區(qū)論壇習(xí)科：http:/2022/8/2737積極利用安全社區(qū)論壇2022/8/2738CONTENTS1234滲透測(cè)試技術(shù)與分類滲透測(cè)試與風(fēng)險(xiǎn)評(píng)估如何掌握滲透測(cè)試技能滲透須注

12、意事項(xiàng)與自我保護(hù)2022/8/2739積極利用安全社區(qū)論壇刑法 第六章 妨礙社會(huì)管理秩序罪 第一節(jié) 擾亂公共秩序罪 第285、286、287條285條：非法侵入計(jì)算機(jī)信息系統(tǒng)罪；非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪；提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪。違反國(guó)家規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役。違反國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)

13、重的，處三年以上七年以下有期徒刑，并處罰金。提供專門用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。2022/8/2740積極利用安全社區(qū)論壇刑法 第六章 妨礙社會(huì)管理秩序罪 第一節(jié) 擾亂公共秩序罪 第285、286、287條286條：破壞計(jì)算機(jī)信息系統(tǒng)罪。違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役；后果特別嚴(yán)重的，處五年以上有期徒刑。違反國(guó)家規(guī)定，對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，