渗透测试工做流程渗透测试类型法律边界

渗透测试工做流程渗透测试类型法律边界

渗透测试工做流程

渗透测试与其它评估方法不一样。一般的评估方法是根据已知信息资源或其它被评估对象，去发现全部相关的安全问题。渗透测试是根据已知可利用的安全漏洞，去发现是否存在相应的信息资源。相比较而言，一般评估方法对评估结果更具备全面性，而渗透测试更注重安全漏洞的严重性。渗透测试一般有七个阶段，以下所示本文选自Android渗透测试入门教程大学霸：

q  前期交互阶段：该阶段一般是用来肯定渗透测试的范围和目标的。

q  信息收集阶段：在该阶段须要采用各类方法来收集目标主机的信息，包括使用社交媒体网络、Google Hacking技术、目标系统踩点等。

q  威胁建模阶段：该阶段主要是使用信息收集阶段所获取到的信息，来标识出目标系统上可能存在的安全漏洞与弱点。

q  漏洞分析阶段：在该阶段将综合从前面几个环节中获取到的信息，从中分析和理解那些攻击途径是可行的。特别是须要重点分析端口和漏洞扫描结果，截取到服务的重要信息，以及在信息收集环节中获得的其它关键信息。

q  渗透攻击阶段：该阶段多是在渗透测试过程当中最吸引人的过程。然而在这种状况下，每每没有用户所预想的那么一路顺风，而每每是曲径通幽。在攻击目标主机时，必定要清晰地了解在目标系统上存在这个漏洞。不然，根本没法攻击成功。

q  后渗透攻击阶段：该阶段在任何一次渗透过程当中都是一个关键环节。该阶段将以特定的业务系统做为目标，识别出关键的基础设施，并寻找客户组织最具价值和尝试进行安全保护的信息和资产。

q  报告阶段：报告是渗透测试过程当中最重要的因素，使用该报告文档能够交流渗透测试过程当中作了什么、如何作的以及最为重要的安全漏洞与弱点。

1.2.2  渗透测试类型

到如今为止，你们已经对渗透测试的基本技术流程与环节有了一个初步的了解。接下来介绍一下渗透测试的两种基本类型，分别是黑盒测试和白盒测试。白盒测试有时也被称为“白帽子”，是指渗透测试者在拥有客户组织全部知识的状况下进行的测试；而黑盒测试是指对攻击主机一无所知的攻击者所进行的渗透测试。两种测试方法都拥有它们本身的优势和弱点。下面分别介绍详细介绍这两种类型。

1.白盒测试

使用白盒测试，须要和客户组织一块儿工做，来识别出潜在的安全风险，客户组织将会向用户展现它们的系统与网络环境。白盒测试最大的好处就是攻击者将拥有全部的内部信息，并能够在不须要惧怕被阻断的状况下任意地实施攻击。而白盒测试的最大问题在于没法有效地测试客户组织的应急响应程序，也没法判断出它们的安全防御计划对检测特定攻击的效率。若是时间有限，或是特定的渗透测试环节如信息收集并不在范围以内的话，那么白盒测试是最好的渗透测试方法。

2.黑盒测试

黑盒测试与白盒测试不一样的是，通过受权的黑盒测试是设计成为模拟攻击者的入侵行为，并在不了解客户组织大部分信息和知识的状况下实施的。黑盒测试能够用来测试内部安全团队检测和应对一次攻击的能力。

黑盒测试是比较费时费力的，同时须要渗透测试者具有更强的技术能力。它依靠攻击者的能力经过探测获取目标系统的系统。所以，做为一次黑盒测试的渗透测试者，一般并不须要找出目标系统的全部安全漏洞，而只须要尝试找出并利用可用获取目标系统访问权代价最小的攻击路径，并保证不被检测到。

不论测试方法是否相同，渗透测试一般具备两个显著特色。

q  渗透测试是一个渐进的而且逐步深刻的过程。

q  渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。

1.2.3  法律边界

当实施渗透测试时，获取准确的书面受权是很是重要的事情。若是不清楚的话，可能致使用户面临法律诉讼的问题，更有可能为此锒铛入狱。因此，这里简单介绍一些需注意的法律边界问题。以下所示本文选自Android渗透测试入门教程大学霸：

q  谁有权利授予此次渗透测试任务？

q  测试的目的是什么？

q  测试预计的时间范围是多少？测试中有什么限制，如何时能够进行测试？

q  你的客户指定漏洞评估和渗透测试的区别吗？

q  你在这次扫描测试过程当中会和IT安全团队合做吗？你须要测试它们的能力吗？

q  能够在渗透过程当中使用社会工程学攻击吗？可使用拒绝服务攻击吗？

q  你可以使用一些物理安全测试方法来测试那些安全服务器、敏感数据存储、或其余可以物理接触的设备吗？例如，撬锁、仿冒一些员工得到进入大楼的权限、或是进入那些普通人员一般不能单独访问的区域。

q  你是否被容许查看网络文件，或者在测试以前告知网络架构来加速测试过程？若是不明白这一点，可能会影响你获得测试结果的价值。可是在绝大多数业务中，这类企业信息不会像用户想象的那么容易获得。

q  容许用户检查的IP范围是什么？没有通过正式容许的扫描和测试是法律所不容许的。用户必须尽力弄清属于客户的网络范围和设备，不然可能会陷于法律指控的危险之中。

q  公司的物理位置在哪里？若是容许使用社会工程学攻击，那么这个信息对测试人员很是重要。由于这可以保证用户身处被测试的建筑物当中。若是时间容许，你应该让客户指定。尽管他们认为本身的位置信息是保密或者难以发现的，可是你却可以轻松地从公开渠道获取上诉的信息。

q  若是测试时遇到一个问题，或测试的最初目标已经达到，你应该作什么？你是否会继续检查，以发现更多入口或结束测试？这个问题很是重要，它关系到客户为何要进行一次渗透测试这一首要问题。

q  用户须要注意不一样国家对信息系统制定的法律不一样。在针对渗透测试的法律上，不是全部国家的法律都是相同的。

q  一旦经过漏洞攻击了系统，进一步拓展是否须要得到其余许可？这在对分段的网络进行测试时很是重要。客户可能不会想到，你可以经过内网一台主机做为支点来进一步渗透内网。

q  怎样处理数据库？是否容许你添加记录、用户等信息？

在渗透测试时，用户须要作一个列表，列出根据客户要求须要测试的内容。大部分数据能够从客户那里直接收集，可是还有一些数据须要大家团队进行处理。若是担忧法律问题，建议用户咨询一下法律顾问以确保对渗透测试的合法性有一个彻底了解本文选自Android渗透测试入门教程大学霸。