渗透测试与风险评估

1、渗透测试与风险评估定义渗透测试(penetration test)并没有一个标准的定义，国外一些安全组织达成共识的 通用说法是： 渗透测试是通过模拟恶意黑客的攻击方法， 来评估计算机网络系统安全的一种 评估方法。 这个过程包括对系统的任何弱点、 技术缺陷或漏洞的主动分析， 这个分析是从一 个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。渗透测试一方面可以从攻击者的角度， 检验业务系统的安全防护措施是否有效， 全策略是否得到贯彻落实； 另一方面可以将潜在的安全风险以真实事件的方式凸现出来， 而有助于提高相关人员对安全问题的认识水平。 渗透测试结束后， 立即进行安全加固， 测

2、试发现的安全问题，从而有效地防止真实安全事件的发生。方法黑箱测试黑箱测试又被称为所谓的“Zero-Knowledge Testing”，渗透者完全处于对系统一无所 知的状态， 通常这类型测试，最初的信息获取来自于 务器。白盒测试白盒测试与黑箱测试恰恰相反， 测试者可以通过正常渠道向被测单位取得各种资料， 括网络拓扑、员工资料甚至网站或其它程序的代码片断，也能够与单位的其它员工(销售、程序员、管理者)进行面对面的沟通。这类测试的目的是模拟企业内部雇员的越权操作。隐秘测试 灰盒子(Gray Box)隐秘测试是对被测单位而言的， 通常情况下， 接受渗透测试的单位网络管理部门会收到 通知： 在某些时段

3、进行测试。 因此能够监测网络中出现的变化。 但隐秘测试则被测单位也仅 有极少数人知晓测试的存在，因此能够有效地检验单位中的信息安全事件监控、 响应、 恢复 做得是否到位。目标主机操作系统渗透对Windows、Linux等操作系统本身进行渗透测试。各项安从解决DNS、Web、Email及各种公开对外的服数据库系统渗透对MS-SQL Oracle、MySQL等数据库应用系统进行渗透测试。应用系统渗透对渗透目标提供的各种应用，如ASP JSP、PHP等组成的应用进行渗透测试。网络设备渗透对各种防火墙、入侵检测系统、网络设备进行渗透测试。渗透测试的手段内网测试内网测试指的是渗透测试人员由内部网络发起测

4、试， 这类测试能够模拟企业内部违规操 作者的行为。最主要的“优势”是绕过了防火墙的保护。 内部主要可能采用的渗透方式： 远 程缓冲区溢出，口令猜测， 以及B/S或C/S应用程序测试 （如果涉及C/S程序测试，需要提 前准备相关客户端软件供测试使用） 。外网测试外网测试指的是渗透测试人员完全处于外部网络（例如拨号、ADSL或外部光纤），模拟对内部状态一无所知的外部攻击者的行为。 包括对网络设备的远程攻击， 口令管理安全性测 试，防火墙规则试探、规避，Web及其它开放应用服务的安全性测试。不同网段/Vlan之间的渗透这种渗透方式是从某内/外部网段，尝试对另一网段/Vlan进行渗透。这类测试通常可

5、能用到的技术包括：对网络设备的远程攻击；对防火墙的远程攻击或规则探测、规避尝试。信息的收集和分析伴随着每一个渗透测试步骤，每一个步骤又有三个组成部分：操作、响应和结果分析。端口扫描通过对目标地址的TCP/UDP端 口扫描，确定其所开放的服务的数量和类型，这是所有渗透测试的基础。 通过端口扫描， 可以基本确定一个系统的基本信息， 结合安全工程师的经验 可以确定其可能存在，以及被利用的安全弱点，为进行深层次的渗透提供依据。远程溢出这是当前出现的频率最高、 威胁最严重， 同时又是最容易实现的一种渗透方法， 一个具 有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。对于防火墙内

6、的系统同样存在这样的风险，只要对跨接防火墙内外的一台主机攻击成 功，那么通过这台主机对防火墙内的主机进行攻击就易如反掌。口令猜测口令猜测也是一种出现概率很高的风险， 几乎不需要任何攻击工具， 力攻击程序和一个比较完善的字典，就可以猜测口令。对一个系统账号的猜测通常包括两个方面： 首先是对用户名的猜测， 测。本地溢出所谓本地溢出是指在拥有了一个普通用户的账号之后， 通过一段特殊的指令代码获得管 理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户密码。 也就是说由于导致 本地溢出的一个关键条件是设置不当的密码策略。多年的实践证明， 在经过前期的口令猜测阶段获取的普通账号登录系统之后， 施本

7、地溢出攻击，就能获取不进行主动安全防御的系统的控制管理权限。脚本及应用测试Web脚本及应用测试专门针对Web及数据库服务器进行。 根据最新的技术统计， 脚本安 全弱点为当前Web系统，尤其是存在动态内容的Web系统比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限， 重则将有可能取得系统的控制权限。 因 此对于含有动态页面的Web数据库等系统，Web脚本及应用测试将是必不可少的一个环节。 在Web脚本及应用测试中，可能需要检查的部份包括：检查应用系统架构，防止用户绕过系统直接修改数据库；检查身份认证模块，用以防止非法用户绕过身份认证；检查数据库接口模块，用以防止用户获取

8、系统权限；检查文件接口模块，防止用户获取系统文件；检查其他安全威胁； 无线测试中国的无线网络还处于建设时期， 但是由于无线网络的部署简易， 率已经很高了。 通过对无线网络的测试， 可以判断企业局域网安全性， 的渗透测试环节。除了上述的测试手段外， 还有一些可能会在渗透测试过程中使用的技术， 程学、拒绝服务攻击，以及中间人攻击。利用一个简单的暴其次是对密码的猜对系统实在一些大城市的普及已经成为越来越重要包括： 社交工渗透测试的流程渗透测试的实施whoiswhoisf f P P咆 nekraflnekraflnrnapnrnap 華口 扫& I I； sisi囲刪316316二-0 0

9、网 IgIgI I；耘弓僭 -baidu杜合工程学L L 口奇 M M0101 击阶& i i曲曲 WebPnuyWebPnuyL L应用或击J J 工 fl- - - SPIKESPIKE PrciMPrciM撰写渗透测试报告渗透测试报告是提交给用户的最终成果，渗透测试报告将渗透过程中发现的问题和采用的方法进行说明，即漏洞的危害-漏洞的利用-获取权限-权限的提升等。报告的 最后将给出漏洞的加固建议。渗透测试的必要性渗透测试利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验 对网络中的核心服务器及重要的网络设备，包括服务器、网络设备、防火墙等进行非破坏性质的模拟黑客攻

10、击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用 户。渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率和漏报率， 并且不能发现高层次、复杂、并且相互关联的安全问题；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高 （渗透测试报告的价值直接依赖于测试者的专业技能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。渗透测试策略时间选择为减轻渗透测试对网络和主机的影响， 渗透测试时间尽量安排在业务量不大的时段或晚 上。理攻击I I仙策略选择为防止渗透测试造成网络和主机的业务中断， 在渗透测试中不使用含有拒绝服务的测试 策略。授权渗透测试的监测手段在评估过程中， 由于渗透测试的特殊性， 用户可以要求对整体测试流程进行监控 (可能 提高渗透测试的成本) 。测试方自控由渗透测试方对本次测透测试过程中的三方面数据进行完整记录：操作、响应、分析， 最终形成完整有效的渗透测试报告提交给用户。用户监控用户监控有四种形式，其一全程监控：采用类似Ethereal的嗅探软件进行全程抓包嗅 探；其二择要监控： 对扫描过程不进行录制， 仅仅在安全工程师分析数据后，准备发起渗透 前才开启软件进行嗅探；其三主机监控：仅监控受测主机的存活状态，避免意