贝为科技渗透测试
一、渗透测试概念
渗透测试是一种测试 web 应用程序、网络或计算机系统的方法,用于识别可能被利用的安全漏洞。 主要目标是防止未经授权的访问、更改或利用系统。渗透测试旨在针对已知的漏洞或跨应用程序发生的 常见模式,不仅发现软件缺陷,还发现网络配置中的弱点。
1、贝为科技渗透测试服务(Penetration Test, PT)是贝为科技专业的安全团队来完成,安全团队从黑客 的角度出发,模拟攻击者的思考方式对企业进行各种入侵攻击测试。
2、渗透测试执行期间,贝为科技网络安全专家会以黑客的思维尝试入侵该企业的网站、网络系统、存储设备等软硬件,找出各种潜在的漏洞,以验证企业的设备与资料是否可被破坏或窃取,同时也评估信息系统与硬件的全盘系统架构,确认其安全性是否有待加强。
3、渗透测试结束后,贝为科技网络安全专家专家会列出详细的攻击手法与步骤,提供完整的修补建议并协助企业修补漏洞,让企业能尽速降低遭受入侵的风险。漏洞经过企业修补完毕后,安全团队会再次确认是否可使用其他手法绕过防护,以确保企业不会因为同样的问题遭受损失。
二、渗透测试必要性
黑客攻击就像生活中的病毒,随时都有可能接触到并且遭受感染。而渗透测试如同健康检查,若企业能定时执行深层的安全健检,面对各种攻击时即可提高存活的机率。
若您的企业、网站有机密外洩、个资泄露等疑虑,或是开发完毕的新系统需要上线,又或者开发中的系统需要做局部安全测试,都适合导入渗透测试进行安全检测。
在面对网路上的众多骇客之前,先行做好防御措施,才能保证系统的每个环节都经得起骇客的挑战,进而巩固客户对企业的信赖。渗透测试将先于黑客发现您的系统安全隐患,提前部署好安全防御措施,保证系统的每个环节在未来都能经得起黑客挑战,进一步巩固客户对企业及平台的信赖。以下情况都务必要涉及到渗透测试服务:
1、企业、网站有机密资料外泄、用户资料外泄等担忧;
2、开发完毕的新系统需要上线;
3、开发过程中系统需要做整体性安全测试;
4、业务系统存在交易业务漏洞。
通过高级渗透测试,企业客户可以从攻击角度了解系统是否会存在隐性漏洞和安全风险,特别是在进行安全项目之前进行渗透测试,可以对信息系统的安全性得到较深的感性认知,有助于后续的进一步健全安全建设体系;渗透测试完毕后,也可以帮助用户更好的验证经过安全保护后的网络是否真实的达到了预定安全目标、遵循了安全策略、符合安全合规的要求。
三、渗透测试流程
3.1确认项目需求
1、启动项目起始会议,了解客户需求
2、确认作业方式与执行规范
3、签署合约取得合法渗透授权客户书面授权委托,并同意实施方案是进行渗透测试的必要条件。应该做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。这也是专业渗透测试服务与黑客攻击入侵的本质不同。
3.2 信息搜集与分析规划
1、搜集信息
信息收集是每一步渗透攻击的前提,通过信息收集可以有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试对系统正常运行造成的不利影响。
信息收集的方法包括 Ping Sweep、DNS Sweep、DNS zone transfer、操作系统指纹判别、应 用判别、账号扫描、配置判别等。信息收集常用的工具包括商业网络安全漏洞扫描软件,免费安全检测 工具。操作系统内置的许多功能也可以作为信息收集的有效工具。
2、熟悉产品
根据产品说明书或者其他方式熟悉产品以及业务场景分类
3、分析业务数据流
根据每个业务场景画出数据流图和由数据流图得出的每个业务场景的关键信息资产。
4、威胁建模
根据业务数据流以及相关的信息资产结合业界优秀的安全危险建模模型 STRIDE 进行安全威胁建模。
5、规划渗透方式
根据业务流分析、关键资产分析和安全威胁建模步骤梳理出重点渗透测试场景,制定出渗透测试方案(包含 OWASP 与 OSSTMM 等国际规范)。
6、准备对应的渗透测试工具与设备
根据业务渗透测试所需准备各种测试工具与设备。
3.3 执行渗透测试
1、测试信息泄漏
测试是否有敏感资料或系统信息泄漏。
2、漏洞测试
对业务目标已知漏洞进行扫描。
3、建立渗透途径
根据已搜集信息尝试各项渗透方式。
4、安全漏洞渗透
操作系统安全漏洞渗透;应用软件安全漏洞渗透;网站漏洞渗透;密码破解。
5、权限提升
尝试攻击与扩张权限;针对特定漏洞攻击;试图取得系統更高权限; 开发定制化滲透工具攻击特 定漏洞;渗透內网其他主机(需取得客戶授权)。
3.4 生成渗透测试报告
渗透测试之后,测试者将会提供一份渗透测试报告。
评估各漏洞潜在危险、危害程度;编写各漏 洞修复方式;提交测试结果报告;提供客戶漏洞修复过程中的顾问咨询;拟定定期执行安全检查计划。
报告将会十分详细的说明渗透测试过程中的得到的数据和信息,并且将会详细的纪录整个渗透测试的全部操作。
四、渗透测试内容
4.1 执行标准
此次检测的服务项目将严格遵循下列国际标准:
1、OWASP
全称:Open Web Application Security Project
中文:网站应用程式安全测试清单(第四版)
网址:https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf
2、OSSTMM
全称:Open Source Security Testing Methodology Manual)
中文:开源安全测试方法指南(第三版)
网址:http://www.isecom.org/research/osstmm.html
3、NISTSP800-115
全称:National InstituteofStandards andTechnology –Special Publication800-115
中文:美国国家标准与技术研究院 -系统安全测试与评估指南
网址:http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
4.2 渗透测试范围
渗透测试需由经验丰富的安全专家手动实施,测试过程中专家团队将利用不同的漏洞进行组合式攻 击,验证是否有任何一种方式可突破当前系统的防御。渗透测试流程严谨仔细,项目从对接实施到结束为期 10 天到一个月,且投入人员成本较高。执行期间对安全漏洞渗透尤为全面,其中包括操作系统安全漏洞渗透、应用软件安全漏洞渗透、网站逻辑漏洞渗透、密码破解等。
贝为科技渗透测试服务由贝为科技专业的安全服务团队根据用户实际环境的需求进行专业化的测试;渗 透测试的服务范围包括以下几个方面:
1、网络层安全测试
网络层安全测试主要目标是发现网络拓扑结构中存在的安全缺陷,主要包括以下几个方面:
1)网络拓扑结构的安全性:网络拓扑结构是否合理,是否配置了相应的安全防御措施;
2)网络入口的安全性:扫描发现系统所有的网络入口、对外的服务入口以及对外开放的端口服务,并验证这些网络入口是否存在被入侵渗透的缺陷(很多系统都是由于分站点系统入口存在缺陷导致整个系统被入侵);
3)网络设备安全性测试:针对客户网络系统中采用的各种防火墙、入侵检测系统、网络设备是否存在配置上的缺陷进行安全测试。
4)网络安全策略有效性测试:针对客户对于网络系统中采取的各种安全防护策略有效性进行检测。
2、应用系统渗透测试
应用系统安全性渗透测试是整个渗透测试服务过程中最为重要的一个环节(80%以上系统被入侵都是由于应用系统存在漏洞导致)。我们会对用户业务系统对外提供服务的应用系统做全面性的渗透测试服务,包括核心网站系统、数据库应用、邮件服务器、FTP 等对外提供服务的应用系统进行渗透测试;
1)数据库系统渗透(支持 Mysql、SQLSERVER、ORACLE、MONGDB、 HADOOP 等结构化和非结构化数据)
A、高危
数据库系统溢出漏洞;身份鉴别(包含弱口令);拒绝服务;本地安全验证绕过;
B、中危
端口安全测试; 数据库功能滥用;
2)应用系统渗透
A、高危
权限提升;旁注; 溢出; SQL 注入; 应用系统权限混乱;中间件脆弱性测试;挂马文件检测;漏洞代码利用
B、中危
端口安全测试;跨站攻击;敏感信息泄露;
3)内网渗透测试
A、高危
系统补丁;默认配置;弱口令;访问控制;网段隔离
3、业务逻辑漏洞测试
业务系统中业务逻辑漏洞是对整个业务安全影响非常大的安全问题,包括对交易环节、资金环节、 用户敏感信息环节都会产生重大的安全问题。贝为科技渗透测试服务通过对众多用户服务案例中,总结了 以下专门针对业务逻辑漏洞测试项目:
1)应用系统业务逻辑漏洞渗透测试
A、高危
订单交易环节安全性(是否存在越权利用等漏洞);资金转账环节安全性;用户信息安全性(是否存在明文等容易泄露的信息);权限管理(包括纵向权限和水平权限是否存在缺陷);
B、中危
注册流程功能安全性(是否存在被恶意注册的风险);短信认证功能安全性(注册短信是否会被恶意利用)找回密码功能安全性(找回密码功能是否存在被恶意利用);加密强度(包括密码等信息的加密方式和强度,是否存在容易被破解和撞库缺陷)
2)互联网金融行业业务安全测试体系
A、账户安全
账户注册安全;账户凭证安全;账户信息安全;账户登录安全;账户监控机制;
B、业务安全
业务数据篡改;业务信息保密性;业务接口安全性;业务流程;业务交互安全性;业务行为监控。
C、交易安全
交易流程测试;交易频率缺陷;交易数据篡改; 交易信息泄漏;交易实效性; 交易稳定性; 交易逻辑漏洞; 交易行为监控与响应。
D、其他安全
验证码;短信;邮件;数据链路安全性;恶意数据;平台稳定性
五、渗透测试方法
5.1 黑盒与白盒测试
黑盒测试,原意是把程序看作一个不能打开的黑盒子,在完全不考虑程序内部结构和内部特性的情况下,通过测试来检测每个功能是否都能正常使用。在渗透测试中,黑盒测试则是指测试人员在仅 获得目标的 IP 地址或域名信息的情况下,对目标系统发起模拟入侵的尝试。
白盒测试,原意是在清楚程序内部结构和内部特性的情况下,通过测试来检测每个程序块的安全特性。在渗透测试中,白盒测试则是指测试人员需要清楚程序结构,对目标系统发起模拟入侵的尝试。
5.2 手动与自动测试
自动测试是利用自动化测试工具对目标实施的一种安全测试,实践中,自动测试往往不能较好的全面检测出各个方面的漏洞,手动测试作为自动测试的一种补充,是网站安全体检过程中必不可少的一个重要部分。
一般手动测试主要涵盖以下几个方面:
1、对自动测试结果的验证
自动化检测工具难免存在误报,因此,手动测试过程中需要筛选自动化检测结果中的误报,同时还要对正确告警的结果进行验证和再利用,以确认其危险程度与自动扫描结果一致
2、个性化页面信息的人工甄别
多数自动化测试工具,其检测条件都是以页面返回页面中的关键字或 HTTP 状态值作为判断条件,而某些经过精心构造的个性化页面,其返回内容可能无法完全由自动化工具进行判断,因此,针对这样的站点就需由人工进行手动测试。由此可见,手动测试会在深度与广度两方面弥补自动化测试的不足,是保障网站安全体检质量的一个重要手段,也是渗透测试的精髓所在。
5.3 内部与外部测试
内部测试是指,测试人员在用户现场直接介入到用户内部网络,对目标系统发起模拟入侵的测试行为。内部测试主要针对以下情况:
1、需绕过边界防护设备
被测试的目标系统置于边界防护设备之后,且边界防护设备的有效性和安全性不包含在测试要求中的情况下,可通过接入到网络内部来实现对目标系统的直接、无防护的访问,这样可有效减少在绕过防护设备时所耗费的时间和成本开销。
2、模拟内部入侵行为
某些IT系统其设计的目的便在于服务于内部用户,而常规安全威胁中,来自企业内部的威胁并不少于外部的威胁,因此为验证内部威胁可能对内部 IT 系统造成的伤害,内部的渗透测试也是常见的渗透测试服务的一种方式。相对内部测试而已,外部测试则是指用户直接从互联网对测试目标系统进行访问和各类安全测试,这种测试用于验证来自互联网的威胁。
3、外部测试
外部测试是指测试人员模拟外部人员,在不清楚网站内部结构的情况下,直接使用外部IP对目标系统发起模拟入侵的测试行为。相对内部测试而言,这种测试用于验证来自互联网的威胁。
六、其他渗透测试常见问答
1、渗透测试有什么前置作业吗?
贝为科技与客户会沟通测试执行时间,基本上以上班时间为准,以便发现重大漏洞时可请企业开发人员及时修补。同时也会告知测试来源 IP,以便企业分辨测试来源是否合法,避免同时遭到入侵攻击而 未发觉。
2、渗透测试需要多久的时间?
根据不同系统的规模大小而订,通常单一网站从初测、修补到检测,通常需要10 天到一个月的时间。
3、渗透测试包含社交工程与DDoS吗?
为避免影响企业正常营运,除非客户特别要求,否则贝为科技的渗透测试不会包含社交工程与DDoS。
4、渗透测试过程中会不会影响我的其他主机?
若无取得合法授权,贝为科技不会对授权目标之外的主机进行检测。
5、渗透测试所取得之资讯是否容易外泄?
贝为科技安全专家皆具备高度企业伦理与道德,不会将测试资讯以任何资讯传递给第三方。测试过程中之资料传递也会以高强度的密码加密传输,以确保资料的安全性。
6、渗透测试执行完毕后就可以高枕无忧?
黑客攻击手法层出不穷,即使网站不进行任何更动,也难以保证未来不会被新的攻击方式入侵。并且一般商务网站也不可能永远不开发新功能,因此仍建议每年定期执行渗透测试。
7、渗透测试该多久执行一次?
网站一般一年执行两次渗透测试,而一般的企业网站或网络服务则建议每年至少执行一次渗透测试。
8、可以委托贝为科技测试其他企业的网站吗?
渗透测试会触及企业的敏感资讯,必须取得合法的授权后才能进行测试,因此仅能接受该网站的拥有者或所属企业委托测试。
9、执行渗透测试的厂商需要特定资格吗?
前并无相关法规,但购买渗透测试服务前最好确认厂商是否真的有能力可提供高品质的服务,例如厂商是否曾揭露大型软体、网路服务的漏洞、厂商是否曾在各大研讨会发表资安技术等。
七、渗透测试与漏洞扫描有何差异
渗透测试需由经验丰富的资安专家手动进行,测试过程中专家会利用不同的弱点进行组合式攻击,验证是否有任何方式可突破当前网站的防御。渗透测试为求仔细,通常需要费时多天才能完成,因此耗费的人力成本较高。
漏洞扫描可由自动化扫描软体在较短的时间内执行完毕,因此时间与金钱成本相对较低。但是漏洞扫描仅能检测既有的漏洞,无法及时检测出最新的漏洞并给予修补建议,同时对于弱点的误判率也较高。目前渗透测试为求完整,通常已将漏洞扫描包含在内。
具体区别见下表:
| 阶段 | 工作明细 | 高级渗透测试 | 专业渗透测试 | 漏洞扫描 |
| 信息收集 | 网站工具扫描 | ü | ü | ü |
| 信息收集 | ü | ü | ü | |
| 客户前端交流 | ü | ü | ╳ | |
| 社会工程学探查 | ü | ü | ╳ | |
| 保密承诺 | 客户信息保密 | ü | ü | ü |
| 扫描初步分析 | OWASP TOP10 | ü | ü | ü |
| WASC Web 威胁 | ü | ü | ü | |
| 漏洞扫描报告分析 | ü | ü | ü | |
| 服务器信息分析 | ü | ü | ü | |
| 业务动态感知 | ü | ╳ | ╳ | |
| 人工验证 | 漏洞分析 | ü | ü | ü |
| 漏洞交互分析 | ü | ü | ╳ | |
| 账号、路径分析 | ü | ╳ | ╳ | |
| 业务逻辑、功能分析 | ü | ╳ | ╳ | |
| 提权 | 获取后台账号权限 | ü | ü | ╳ |
| 漏洞深度挖掘 | 资产风险分析 | ü | ╳ | ╳ |
| 授权绕过漏洞分析 | ü | ╳ | ╳ | |
| 截获和修改金额漏洞分析 | ü | ╳ | ╳ | |
| 规避交易限制分析 | ü | ╳ | ╳ | |
| 请求重放漏洞测试 | ü | ╳ | ╳ | |
| 欺骗密码找回漏洞测试 | ü | ╳ | ╳ | |
| 顺序执行缺陷漏洞分析 | ü | ╳ | ╳ | |
| 后台资料下载 | ü | ╳ | ╳ | |
| 网站挂马查杀 | ü | ╳ | ╳ | |
| 报告生产&答疑 | 报告制作 | ü | ü | ü |
| 人工答疑 | ü | ü | ü | |
| 交付周期 | 2 周至 4 周 | 1 周左右 | 3 个工作日内 |
