滲透測試,是為了證明網絡防御按照預期計劃正常運行而提供的一種機制。不妨假設,你的公司定期更新安全策略和程序,時時給系統打補丁,并采用了漏洞掃描器等工具,以確保所有補丁都已打上。如果你早已做到了這些,為什么還要請外方進行審查或滲透測試呢?因為,滲透測試能夠獨立地檢查你的網絡策略,換句話說,就是給你的系統安了一雙眼睛。而且,進行這類測試的,都是尋找網絡系統安全漏洞的專業人士。
滲透測試一定要遵循軟件測試基本流程,要知道測試過程和目標特殊,在具體實施步驟上主要包含以下幾步:
1、明確目標
當測試人員拿到需要做滲透測試的項目時,首先確定測試需求,如測試是針對業務邏輯漏洞,還是針對人員管理權限漏洞等;然后確定客戶要求滲透測試的范圍,如ip段、域名、整站滲透或者部分模塊滲透等;最后確定滲透測試規則,如能夠滲透到什么程度,是確定漏洞為止還是繼續利用漏洞進行更進一步的測試,是否允許破壞數據、是否能夠提升權限等。
2、收集信息
在信息收集階段要盡量收集關于項目軟件的各種信息。比如:對于一個Web應用程序,要收集腳本類型、服務器類型、數據庫類型以及項目所用到的框架、開源軟件等。信息收集對于滲透測試來說非常重要,只要掌握目標程序足夠多的信息,才能更好地進行漏洞檢測。
信息收集的方式可分為以下2種:主動收集、被動收集。
3、掃描漏洞
在這個階段,綜合分析收集到的信息,借助掃描工具對目標程序進行掃描,查找存在的安全漏洞。
4、驗證漏洞
在掃描漏洞階段,測試人員會得到很多關于目標程序的安全漏洞,但這些漏洞有誤報,需要測試人員結合實際情況,搭建模擬測試環境對這些安全漏洞進行驗證。被確認的安全漏洞才能被利用執行攻擊。
5、分析信息
經過驗證的安全漏洞就可以被利用起來向目標程序發起攻擊,但是不同的安全漏洞,攻擊機制不同,針對不同的安全漏洞需要進一步分析,制定一個詳細的攻擊計劃,這樣才能保證測試順利執行。
6、滲透攻擊
滲透攻擊實際是對目標程序進行的真正攻擊,為了達到測試的目的,像是獲取用戶賬號密碼、截取目標程序傳輸數據等。滲透測試是一次性測試,在攻擊完成后能夠執行清理工作。
7、整理信息
滲透攻擊完成后,整理攻擊所獲得的信息,為后邊編寫測試報告提供依據。
8、編寫報告
測試完成之后要編寫報告,闡述項目安全測試目標、信息收集方式、漏洞掃描工具以及漏洞情況、攻擊計劃、實際攻擊結果等。此外,還要對目標程序存在的漏洞進行分析,提供安全有效的解決辦法。