網絡安全滲透測試的流程和方法:首先要明確在整個滲透測試過程中需要進行的工作。當接收到客戶的滲透測試任務時,往往對於所要進行的目標知之甚少或者一無所知。而在滲透結束的時候,對目標的了解程度已經遠遠超過客戶。在此期間需要從事大量的研究工作,整個滲透過程可以分為以下階段。
一、前期與客戶的交流階段
1、滲透的目標
確定滲透測試所涉及的IP地址範圍和域名範圍。Web應用和無線網絡,甚至安保設備都有可能是滲透目標。同時需要明確客戶需要的是全面評估還是某一方面或部分評估。
2、進行滲透測試過程中所使用的方法
黑盒測試-也稱外部測試。
測試人員先期對目標網絡的內部結構和所使用的的程序完全不了解,對網絡外部對網絡安全進行評估。需要耗費大量時間對目標信息進行收集。
白盒測試-也稱內部測試。
測試人員必須事先清楚地知道被測目標的內部網結構和技術細節。相比黑盒測試,白盒測試的目標是明確定義好的。
灰盒測試-白盒測試和黑盒測試的結合。
會了解大部分目標網絡信息,但不會掌握網絡內部工作原理和限制信息。
3、進行滲透測試所需要的的條件
如果是白盒測試,需要客戶提供測試必要的信息和權限,客戶最好可以接受問卷調查。確定滲透時間、如果受到了破壞 如何補救。
4、滲透測試過程中的條件限制
必須明確哪些設備不能進行滲透測試,以及哪些技術不能應用。另外明確哪些時間點不能進行滲透測試。
5、滲透測試過程的周期
客戶可以了解滲透測試的開始和結束時間,以及在每個時段所進行的工作。
6、滲透測試的費用
一般公司銷售會討論 不了解
7、滲透過程中的預期目標
需要客戶明確或者說好了在滲透測試結束後達到什麼目標,最終滲透報告應該包含哪些內容。
二、情報收集階段
情報指的的目標網絡、服務器、應用程序的所有信息。
1、被動掃描
一般不會被發現 –
2、主動掃描
使用專業工具進行對目標的掃描。掃描後會獲得目標網絡結構,目標網絡所使用的設備類型,主機上運行的操作系統、主機開放的所有端口、主機上提供的服務、目標主機上鎖運行的應用程序等。
三、威脅建模階段
哪些資產是目標中的重要資產
攻擊時採用什麼技術和手段
那些群體可能會對目標造成破壞
那些群體會使用什麼手段來進行破壞
四、漏洞分析階段
根據情報收集時發現的目標操作系統、開放端口、服務進程,查找和分析可能存在的問題漏洞
五、漏洞利用階段
根據發現的可能存在的網站漏洞 進行驗證和利用
六、後滲透攻擊階段
1.控制權限的提升
2.登錄憑證的竊取
3.重要信息的獲取
4.利用目標做跳板
5.簡歷長期的控制通道
七、報告階段
漏洞位置、後果、漏洞修改方法、當前網絡安全的改進意見
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-hk/n/258916.html
微信掃一掃 
支付寶掃一掃 