歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

滲透測試工程師視角下的滲透測試流程

來源:本站整理 作者:佚名 時間:2020-01-19 TAG: 我要投稿

一直忙著做安服項目,好久沒發稿了,今天特意抽出時間寫篇文章,希望能幫助到大家。作為一直在乙方做滲透測試的攻城獅,入行之前在黑吧安全網上看過類似滲透測試流程的文章,當然對我的幫助不少,非常感謝。但是現如今再次翻看這些文章,發現好多文章不是以給甲方做滲透的視角下寫的,大家應該都知道正規的滲透測試需要授權好多細節,尤其是在現如今這種法律高壓下,細節就顯得尤為重要了。下面我拋轉引玉,大家多提提意見,共同進步。
眾所周知,Web應用的滲透測試可分3個階段:信息搜集、漏洞發現、漏洞利用,但是在給甲方做滲透時就需細化流程。
1、明確目標
1.1確定范圍
如:IP、域名、內外網、整站、部分模塊……
1.2確定規則
能滲透到什么程度,是發現漏洞即可還是需要利用該漏洞、時間限制、能否修改上傳、能否提權……
目標系統介紹、重點保護對象及特性
是否允許破壞數據?
是否允許阻斷業務正常運行
測試之前是否應當知會甲方安全部門,IP是否需要加白
接入方式?外網和內網?
測試是發現問題即可,還是盡可能發現更多問題
測試過程是否需要考慮社會工程手段
測試過程中要求完全仿真,除了破壞操作需要報備,其余手段不受限制還是如何
1.3確定需求
上線前的web應用測試、業務邏輯漏洞測試、人員權限管理漏洞測試
2、分析風險,獲得授權(重點討論)
需分析滲透過程可能產生的風險:測試是否對系統產生影響、帶寬占用、系統資源消耗、爆破測試行為或其他可能觸發動態感知系統或其他告警機制、影響正常業務開展、服務器發生異常的應急、數據備份和恢復、測試人力物力成本……
由乙方書寫實施方案初稿提交給甲方或公司內部審核,審核通過后,測試人必須拿到正規的乙方書面委托授權書才能開工,代理商第三方授權不具備法律效力,若是第三方授權,必須拿到甲方給中間商的授權,且注明中間商有轉讓授權的權限,這樣中間商下發的授權測試才是合法的。需要提前跟甲方確認是否能提供測試賬號,測試賬號最好覆蓋各個權限級別,金融行業或者交易類的測試賬號需要賬戶中有一定的余額……
3、信息搜集
信息搜集的方法很多,不詳細闡述,大概列舉如下:
方 式:主動掃描+開放搜索
基礎信息:IP、網段、域名、端口……
系統信息:操作系統版本……
應用信息:各端口應用、例如web應用、郵件應用、腳本語言類型、目錄結構、數據庫類型、web框架……
版本信息:所有探測到的版本
服務信息: 服務器類型、版本
人員信息: 域名注冊人信息,web應用中網站發帖人的id,管理員姓名等
防護信息:嘗試探測防護設備
4、漏洞探測
匯總信息搜集到的信息,使用與之匹配的漏洞檢測策略
方法:
1.漏掃:AWVS、AppScan、Nessus……
2.漏掃結果去exploit-db等位置找利用
3.在網上尋找驗證POC
內容:
系統漏洞:系統沒能及時更新補丁
Webserver漏洞:webserver配置問題……
Web應用漏洞:Web應用開發問題、錯誤頁面未定義、后臺暴露……
其他端口服務器漏洞:諸如21/8080(st2)/7001/22/3389……
通信安全:明文傳輸、token在cookie中傳送……
5、漏洞驗證
將4>階段發現的洞,通過自己經驗分析可能成功利用的全部漏洞都驗證一遍,結合實施環境,搭建模擬環境進行試驗,利用成功后再實施在目標系統中
自動化驗證:結合自動化掃描工具發現的結果
手工驗證:利用公開資源進行驗證
試驗驗證:自己搭建模擬環境進行驗證
登錄猜測:嘗試猜測登錄、萬能密碼、注入
業務漏洞驗證:發現后該漏洞,進行驗證
公開資源利用:exploit-db/wooyun/、滲透代碼網站、通用、缺省口令、廠商的漏洞告警……
6、信息分析
實施滲透的準備環節
精準攻擊:利用4>探測到的EXP,進行精準攻擊
繞過防御機制:檢測是否有WAF等,繞過策略籌劃
定制攻擊路徑:最佳攻擊路徑、主要根據薄弱入口,高內網權限位置,最終目標等
繞過檢測機制:是否有檢測機制,流量監控,殺毒軟件,惡意代碼(免殺)檢測
攻擊代碼:試驗得來的代碼,包括不限于xss代碼,sql注入語句……
7、利用漏洞
實施攻擊:根據前幾步的結果,實施精準攻擊
獲取內部信息:基礎設施(網絡連接、vpn、路由、網絡拓撲、內網IT資產……)
橫向滲透:內網入侵、敏感目標
持續性存在:一般情況,甲方不需要,rookit、后門、添加管理員賬號、駐扎手法等
清除痕跡:清理滲透相關日志(訪問、操作),漏掃,上傳文件等
8、信息整理
整理滲透工具:整理滲透中使用的代碼、POC、EXP等。
整理收集信息:整個滲透過程中收集的一切信息。
整理漏洞信息:整個滲透過程中利用成功的所有漏洞,各種脆弱位置信息,為書寫滲透報告做準備。
9、形成報告
按需整理:按照之前第一步跟甲方確認的范圍、需求來整理資料,技術細節盡可能的詳細,形成報告進行交付。
補充介紹:需對漏洞成因,驗證過程中帶來的危害進行分析
修補建議:給開發或運維人員提出合理高效安全的解決方案
大家應該能看到我寫的這個流程,涉及到信息的出現了3處,原因我不多說,做滲透的都知道,對信息的搜集與處理是滲透測試的本質,希望大家在做任何事能夠透過現象抓本質,這樣才能事半功倍。
 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 篮球巨星排名 安徽快3开奖结累今天近50期 天津十一选五玩法 广西快乐双彩开奖查询 股市行情走势图 什么叫胆码 皇家网络在线棋牌 辉夜真人版电影百度云 云南快乐十分直播 26选5近30期开奖 宁夏11选5 宁夏十一选五技巧 试机号金码关注码杀 股票融资杠杆 吉祥棋牌白城麻将辅助 江苏快3开奖遗漏数据查询