【.com快译】近年来,无论是在业务、运营还是流程方面,数字化转型已经让很多组织和公司的效率和灵活性都得到了极大的提升。然而,凡事有利有弊。新的数字技术也会带来各种数据泄露和网络攻击的频繁发生。因此,如果一个组织不定期进行漏洞评估和渗透测试,攻击者就会潜入目标系统,破坏IT基础设施,或者窃取商业机密,而不会引起任何人的注意。由此可见,为了防患于未然,任何组织都需要通过适当的程序或系统尽早发现并响应攻击,并能够及时从攻击中恢复。什么是渗透测试?渗透测试通过各种手动和自动技术模拟对组织内部和外部信息系统的攻击。一些道德黑客或渗透测试人员通常会使用各种测试技术,试图在真正的攻击者或恶意行为者识别和利用已知漏洞或未知缺陷之前“闯入”组织的信息系统。也就是说,安全测试人员的主要目标是主动对被测系统进行分析,找出可能因系统配置不当、基础设施缺陷、不良操??作习惯等原因造成的潜在威胁或漏洞。为什么组织要进行渗透测试?识别整体基础设施(包括各种硬件和软件)中的潜在威胁和弱点,以开发和构建安全可控的系统。确定组织当前安全状况与既定目标之间的差距,并制定有效的解决方案。确保现有的安全系统或控制措施能够有效降低潜在攻击的风险。能够对攻击向量进行分级,并识别和强化易受利用的攻击向量。及时发现当前受控系统中的错误并着手修复。检测并确定被利用漏洞的严重性,并提高您自己对攻击的响应能力。您还可以点击链接-https://securetriad.io/importance-of-security-assessments/了解更多关于为什么组织应该定期进行安全评估和测试的信息。渗透测试的不同阶段渗透测试通常涉及模拟破坏任意数量的应用程序或系统,包括:应用程序协议接口、前端或后端服务器、安全基础设施,以及利用漏洞植入代码或窃取敏感数据等.那么,渗透测试的总体过程通常包括以下五个阶段:1.计划和侦察这个阶段主要包括:定义被测试的范围、优先级和目标。此外,此阶段还描述了关键系统的主要特征以及将要执行的测试类型。另一方面,侦察阶段与情报收集有关。例如:以被动和主动的方式获取目标系统的网络、域名、邮件服务器等相关信息,以更好地了解被测目标的工作原理及其潜在的切入点。2.扫描该阶段主要了解目标系统将如何应对各种自动化入侵企图和攻击行为。渗透测试人员通常采用以下方法:静态分析:在业务系统运行前,检查应用程序的源代码,并与已有的编码规则进行对比,进行代码层面的分析和调试。动态分析:通过实时执行真实数据来测试和评估系统的安全性。此类分析的目标是通过使用自动安全扫描工具扫描应用程序或系统来实时检测错误和漏洞。当然,静态或动态分析后,我们需要对发现的漏洞和bug进行人工验证,排除各种误报。3.获取访问权限或利用前一阶段已经识别出的各种漏洞,此时会被千方百计利用到目标系统中,获取访问权限,进而抓取各种有价值的信息。具体利用方式可谓五花八门,包括:提权、拦截流量、注入恶意代码等。它们在攻击方式上各有侧重,造成的伤害程度也不尽相同。4.保持访问权限这一阶段的主要目标是确保攻击者在获得对应用程序或底层系统的访问权限后,仍然可以保持持续的访问权限。毕竟,只要攻击者能够保持对一个系统的长期访问权限,他们就可以获得对其他相关应用程序的更深更远的访问权限。可以说,渗透测试人员需要发现那些长期驻留在系统中,现阶段还没有通过模仿和检测发现的高级持续性威胁(APT)。5.分析和报告此时,我们需要将测试结果汇总成一份详细的报告。报告主体应能主要反映可被利用的漏洞、易被破坏和访问的敏感数据,以及安全测试人员在被“发现”之前可在系统中驻留的时间长短.渗透测试方法一般来说,采用渗透测试方法主要取决于组织对目标系统的安全检测程度和水平。安全专家或第三方网络安全公司应根据实际需要,根据已有信息类型,协助组织选择和确定匹配的测试方法。黑盒黑盒评估是在提供给渗透测试人员的信息较少的情况下进行的。也就是说,无论是安全顾问还是测试人员,由于对安全受控的系统或基础设施知之甚少,因此需要通过侦察的方式获取目标的详细信息。白盒在白盒评估中,测试人员或安全顾问已经获得了有关基础设施、应用程序、设备和安全受控系统的相关信息和详细文档(如系统架构文档、源代码等)。因此,白盒测试是一种识别和检测内部和外部漏洞的综合评估方法。灰盒在这种类型的评估方法中,测试人员仅获得评估安全受控系统所需的用户级知识和信息。同时,测试人员还应该被授予一些背景知识和对Web应用程序和内部网络基础设施的有限访问权限。物理渗透测试我们还应警惕黑客使用物理手段获取对物理设施的访问权限,无论是作为独立攻击还是作为对现有技术的补充攻击。以下是物理渗透测试的两种常用方法:定位薄弱的安全区域覆盖范围:在这种方法中,黑客识别或搜索易受攻击和易受攻击的区域或系统。通常,大多数数据中心或建筑物都会包括吸烟区、维护设备存放区和一些无人看管的绿色捷径。这些设施的范围可能没有得到安全加强,或者可能位于能见度低且过于隐蔽的区域。搭载:搭载、尾随或窃听是黑客用来密切跟踪有权访问设施区域的员工或维护人员的一些常用方法。社会工程测试这种类型的测试通过构建和验证组织内的人际网络,帮助识别针对组织内部人员的攻击、他们的信任凭证或访问权限。常见的攻击类型有:网络钓鱼:一种通过电子邮件或消息发送恶意或受感染代码以获取敏感个人信息的欺骗方法。借口:借口是一种身份盗用形式,黑客将自己伪装成目标组织的内部人员,以获取对安全基础设施或敏感数据的访问权限。您可以通过链接了解更多关于社会工程的来龙去脉和方法-https://securetriad.io/the-why-and-how-of-social-engineering/。不同类型的渗透测试网络渗透测试是最常见和流行的渗透测试方法。网络渗透测试可以帮助安全测试人员检测和发现网络系统和各种基础设施中的潜在漏洞。网络渗透测试一般分为外部、内部和无线三种。其中:外部网络渗透测试:外部网络渗透测试可以帮助我们探索网络系统对外部威胁的响应能力。此类测试的一种常见方法是通过基于Internet的渗透测试来识别暴露于外部网络但在系统内部的漏洞和弱点。此类测试通常针对网络攻击,例如防火墙配置、防火墙绕过、IPS欺骗和DNS级中毒攻击。为了自动化漏洞扫描的测试过程,安全人员经常使用市场上常见的知名工具(下文会提到)来扫描和检测目标系统中的已知漏洞。当然,他们也会将人工利用技术与自动化工具相结合,针对检测到的漏洞发起模拟攻击,旨在完全接管那些面向互联网的系统。内网渗透测试:此类测试旨在通过??漏洞扫描检测和识别内部系统,发现基础设施中的网络安全弱点,然后利用各种漏洞利用技术查看内部系统的响应行为。内部网络渗透测试从根本上评估对内部系统和组织员工进行未经授权或恶意攻击的可能性。其中包括:潜在的未经授权的访问、个人信息和可信凭据的泄露等等。无线渗透测试:黑客或攻击者通过无线方式渗入目标系统,在威胁内部网络安全的同时,利用获得的权限访问各种敏感信息,从而对系统的正常运行造成不利影响。Web应用程序渗透测试是一个组织的重要组成部分和功能。Web应用程序一旦受到攻击,可能会导致用户数据和商业敏感信息的泄露。因此,Web应用程序的渗透测试检查现有网络中的应用程序是否存在因错误或不安全的开发、薄弱的设计和不当的编程而导致的漏洞或安全风险。您可以通过链接——https://dzone.com/articles/web-application-pen-testing-steps-methods-and-tool了解更多关于Web应用渗透测试的步骤、方法和工具。移动应用渗透测试移动应用渗透测试主要针对Android、Windows、iOS等设备上运行的原生移动应用,或组织自行开发的应用,通过模拟黑客试图采用提权等行为进行运行测试.除了发现和利用移动应用程序中的漏洞外,此类测试还关注移动应用程序和后端系统在通信和传输数据时的安全态势。渗透测试工具目前市面上有全栈自动化工具,可以让你高效的进行各种渗透测试。接下来,我们来讨论一下各个组织经常使用的一些知名工具:KaliLinux显然,KaliLinux是基于Linux操作系统的,包含了大量的工具。它可用于从信息收集到报告生成的整个端到端渗透测试过程。作为一个广泛使用的渗透测试平台,KaliLinux主要关注优化进攻,而不是防御。它不仅是一个开源项目,还提供了各种工具、版本破解器和元数据包的列表。目前,Kali拥有600多种道德黑客工具,包括用于暴力破解密码的特殊工具。其工具还包括:漏洞分析、Web应用程序、信息收集、无线攻击、逆向工程、密码破解、欺骗、嗅探和其他高级可利用工具。作为最常用的自动化开发框架,Metasploit有助于锁定系统、检测漏洞并利用它们。由于Metasploit是一款开源软件,其GUI不仅简单易用,还方便测试人员管理安全评估、检测威胁和缺陷,构建强大的安全可控系统。另外,Metasploit专业版的Metamodule部分也可以用来测试网段,让测试人员知道哪些网段位置可以到达,哪些不可以。作为网络分析工具,Wireshark通过提供离线分析和网络实时捕获选项来捕获和分析目标网络的流量。当用于了解数据包流和TCP/IP问题时,它提供实时数据包和网络活动详细信息。ZEDAttackProxy在功能上可与最流行的BURP代理和扫描工具套件相媲美,而且它是完全免费的。ZAP将自己置于用户浏览器和被测网站之间,创建一个代理,方便测试人员拦截、修改甚至替换流量。因此,它非常适合刚接触渗透测试的开发人员和测试人员。Aircrack作为一款开源软件,主要用于检测Wi-Fi连接场景。AircrackNG是一套工具和软件套件,可以帮助测试人员“攻击”或防御无线网络。其工具包通常包括:检测器、数据包嗅探器、WEP/WPA破解器等组件。Aircrack主要通过拦截、捕获和读取数据包中的模式来入侵无线系统。开膛手约翰(简称JTR)众所周知,密码是信息系统中最脆弱、最容易受到攻击的部分。JTR就是这样一种可用于破解密码的工具。它包括一个可定制的破解程序,可以识别不同的密码哈希值。同时可以利用强大的硬件,通过高效的运算,提高密码破解的效率。您可以参考链接https://dzone.com/articles/popular-penetration-testing-tools以获得更全面的渗透测试工具列表。渗透测试成本和预算一般来说,渗透测试的成本和预算会受到以下五个因素的影响,这五个因素并不是一成不变的:目标:众所周知,我们用它来测试小型组织的物理安全,并检查公用事业电力传输网站的安全态势成本肯定是不同的。我们目标的大小直接决定了渗透测试的投入。例如,当我们从测试单个应用程序升级到测试包括内部和外部网络的整个系统时,随着目标数量的增加和变得越来越复杂,我们的测试成本,包括测试人员的成本,以及需要提供和收集到的信息也将继续增加。范围:范围的划定有助于组织在确定目标的基础上,更合理地估计完成项目所需的时间。毕竟,测试的持续时间与成本成正比。例如,面对大型门户网站和Web应用程序时,我们会比测试简单的用户网站花费更多的时间,涉及的复杂性和范围也会导致预算成本的增加。方法:组织采用的测试方法也会对成本产生影响。一些组织可能会使用自动漏洞扫描来进行基本测试并解决基本安全问题。其他公司可能会选择全栈渗透测试解决方案来全面检测威胁、漏洞及其利用的影响。就成本而言,这种综合方法是可以想象的。技能:与其他行业类似,强大的技术储备往往能在各种网络安全事件的预防和处理中起到至关重要的作用。显然,与那些基础知识或可用资源有限的测试团队相比,组建一支知识背景扎实、实践经验丰富的顾问专家团队,更有利于开展和完成全面的渗透测试,维护系统安全。安全状况不佳,但球队的运营费用也不菲。总结在当今跨区域、协同的全球经济中,我们几乎每天都能看到网络攻击登上新闻头条,许多组织事后常常后悔没有进行及时、全面的渗透测试。因此,面对瞬息万变的网络环境和层出不穷的漏洞和缺陷,组织应该规范渗透测试。毕竟,当攻击者以系统为目标时,他们不会公开传达他们的意图。我们常说渗透测试不是“一锤子买卖”。完成一轮测试后,组织需要根据测试生成的报告进行必要的整改,完成后重新启动新一轮测试,维护目标系统和服务的安全态势,从而给予利益相关者提供对健康运营的信心。原标题:渗透测试你需要知道的一切,作者:CyrilJames
