一個(gè)完整的滲透測(cè)試步驟
1. 預(yù)交互階段滲透測(cè)試中一個(gè)容易被忽略的步驟就是預(yù)交互階段或者叫概覽階段。在這個(gè)階段,滲透測(cè)試人員會(huì)考慮到測(cè)試的邏輯,測(cè)試的期望,法律影響,客戶想要達(dá)到的目標(biāo)。在預(yù)交互階段,滲透測(cè)試人員應(yīng)該從他的公司方面充分了解到測(cè)試的范圍、測(cè)試的注意點(diǎn)、或者測(cè)試是是白盒、黑盒還是灰盒測(cè)試。這些都是在這個(gè)階段要明確的內(nèi)容。
2. 偵察和情報(bào)收集偵察和情報(bào)收集是滲透測(cè)試中很重要的一步。滲透測(cè)試員收集關(guān)于目標(biāo)盡可能多的情報(bào)和潛在的攻擊目標(biāo)。滲透測(cè)試可能有用目標(biāo)的不同程度的信息,并且需要按照測(cè)試的類(lèi)型甄別漏洞和潛在的切入點(diǎn)。通常情報(bào)收集技術(shù)包括:搜索引擎技術(shù)whois查詢社會(huì)工程學(xué)互聯(lián)網(wǎng)指紋 - 郵件、地址、用戶名、社交網(wǎng)絡(luò)網(wǎng)絡(luò)足跡 - ping掃描、端口掃描、反向DNS、數(shù)據(jù)包嗅探垃圾搜尋尾隨滲透測(cè)試員根據(jù)一個(gè)詳盡的清單來(lái)尋找目標(biāo)的切入點(diǎn)和漏洞。開(kāi)源情報(bào)(OSINT)提供詳細(xì)的搜索信息的方法。
3. 威脅建模和漏洞分析在威脅建模和漏洞分析階段,測(cè)試者確定目標(biāo)并枚舉攻擊向量。情報(bào)收集階段收集到的任何信息都可能在滲透測(cè)試中被用來(lái)作為攻擊方法。對(duì)于滲透測(cè)試人員來(lái)說(shuō)有用的信息包括:?jiǎn)T工數(shù)據(jù)客戶數(shù)據(jù)技術(shù)數(shù)據(jù)內(nèi)部威脅外部威脅滲透測(cè)試員經(jīng)常使用漏洞掃描器來(lái)完成漏洞的發(fā)現(xiàn)和清點(diǎn),然后滲透測(cè)試員會(huì)驗(yàn)證漏洞是否可被利用。漏洞清單在滲透測(cè)試結(jié)束后會(huì)分享給客戶。
4. 漏洞利用利用所發(fā)現(xiàn)的可能的漏洞和切入點(diǎn),滲透測(cè)試員會(huì)測(cè)試它們是否可被利用。白帽黑客的目標(biāo)是測(cè)試怎樣可以規(guī)避檢測(cè)地入侵你的網(wǎng)絡(luò),發(fā)現(xiàn)有價(jià)值的內(nèi)容。如果事先商量好測(cè)試范圍,那么滲透測(cè)試員就不會(huì)觸碰紅線。例如,比如你們商量好不測(cè)試云服務(wù),或者不使用零日漏洞等。常見(jiàn)的漏洞利用包括:WEB應(yīng)用程序攻擊網(wǎng)絡(luò)攻擊基于內(nèi)存的攻擊WiFi攻擊零日攻擊物理攻擊社會(huì)工程學(xué)攻擊在報(bào)告階段,白帽黑客也會(huì)記錄漏洞利用的過(guò)程、使用的技術(shù)策略,解釋利用漏洞將會(huì)造成的影響。后滲透階段漏洞利用階段完成之后,主要目標(biāo)就是整理攻擊過(guò)程使用的方法。滲透測(cè)試人員應(yīng)該有能力確定受影響系統(tǒng)和相關(guān)數(shù)據(jù)的價(jià)值。一些滲透測(cè)試員可能不能評(píng)估受影響系統(tǒng)和相關(guān)數(shù)據(jù)的價(jià)值,或者不能在特定環(huán)境中提供漏洞的修復(fù)建議。對(duì)于這些測(cè)試人員,它們可以查看其他人專(zhuān)業(yè)人員的測(cè)試報(bào)告,學(xué)習(xí)人家的評(píng)估方法和修復(fù)建議。滲透測(cè)試是建議完成之后,測(cè)試人員應(yīng)該清理環(huán)境,將之前在測(cè)試階段修改的配置復(fù)原,并協(xié)助客戶完成漏洞修復(fù)。通常復(fù)原配置包括:清除向測(cè)試機(jī)器上傳的可執(zhí)行文件、腳本和臨時(shí)文件將設(shè)置中的參數(shù)復(fù)原清除在環(huán)境中種植的木馬清除測(cè)試中創(chuàng)建的賬戶報(bào)告階段通常一份完整的滲透測(cè)試報(bào)告應(yīng)該包括封面、內(nèi)容提要、漏洞總結(jié)、測(cè)試團(tuán)隊(duì)信息、工具列表、工作范圍、報(bào)告主體(漏洞名稱(chēng)、漏洞位置、漏洞等級(jí)、漏洞影響、復(fù)現(xiàn)過(guò)程、加固建議)、交付報(bào)告也被看做是滲透測(cè)試的一個(gè)重要的方面,一方面它是滲透測(cè)試的成果,另一方面在寫(xiě)報(bào)告時(shí)也是對(duì)滲透過(guò)程的復(fù)盤(pán)。