测试实验环境搭建
5
2、渗透测试概要及流程
2.1 PTES 渗透测试标准
在网络技术快速发展的大环境下,网络安全极为重要,关于网络安全,国内
外存在着明显的差距,本课题旨在研究导致国家、企业、人民财产损失的网络安
全漏洞,以攻击者的思维去分析导致各种漏洞出现的原因、漏洞带来的危害以及
对应的防御方式。
2.1.1 PTES 渗透测试流程
关于渗透测试流程,现如今国际上比较流行的有五个方案,其中 PTES 渗透
测试执行标准得到了业界的普遍认同,它包括以下几个阶段。
(1)前期交互阶段,可以根据客户的需求、客户环境的实际情况为其提供
量身定制测试方案。
(2)情报搜集阶段会尽可能多的搜集渗透对象的信息,如:网络的拓扑、
系统的配置、已经采用的安全防御措施等。
[8]
(3)威胁建模阶段,要利用上一阶段获取到的信息进行威胁建模,判断识
别目标可能存在的漏洞缺陷,将客户的资产根据重要程度进行分类并根据资产来
判断可能存在的威胁。然后根据威胁模型确定还需要搜集的信息和攻击手段。
(4)漏洞分析阶段,这是一个发现程序漏洞的过程,根据客户的需求可以
在测试的广度和深度之间取舍。
(5)漏洞攻击阶段是在验证漏洞已经存在的情况下,利用漏洞对目标进行
攻击,主要侧重于绕过安全限制实现精准打击。
(6)后渗透阶段往往会根据需求进行权限维持或者内网渗透操作。最后的
报告阶段则是向客户反映渗透测试的结果
[7]
。
(7)报告阶段包括向客户传达测试过程中会用到的技术、相关风险及对策,
还要将渗透测试期间发现的问题进行简要的总结以统计图或者图形的方式呈现。
另外还要向客户提供详细的攻击路径、发现的问题、造成的影响以及修复建议等。
2.1.2 PTES 标准的缺陷
根据上文的 PTES 渗透测试标准,测试人员在漏洞分析阶段通过手工或者自
动化的方式发现目标存在的漏洞,并对其进行验证和分析
[33]
,然而对于保护等
级较低的企业或者组织,对于个别中、低危漏洞只是停留在建议修复阶段,一般
为了节省开支而选择不去修复中、低危漏洞,这无可厚非。但是在实际的测试环
境中,由于自动化检测存在漏报和误报的情况
[6]
,根据 PTES 测试流程测试人员
剩余57页未读,继续阅读
