PENnmapburpweb appAPIinfraauthorized probeswritten scope

渗透测试

12 最小阅读量安全

渗透测试(简称笔测试)是对组织系统进行的授权模拟攻击,以在对手之前发现漏洞。该学科已经从聪明的个人闯入网络发展成为具有方法论框架、认证和监管认可的结构化行业。了解真正的笔测试是什么样子可以澄清它的价值和局限性。

完整的文章正文以英文提供如下。

渗透测试是尝试破坏组织系统以识别安全漏洞的授权做法。渗透测试人员根据书面协议进行操作,该协议规定了允许的内容、禁止的内容以及随后的报告类型。在大多数司法管辖区,未经授权的测试(即使意图良好)也是计算机欺诈式的犯罪活动。

笔测试的阶段

  1. Scoping. 定义范围内的内容(特定网络、应用程序、时间窗口)、范围之外的内容(生产关键系统、第三方数据)、允许使用哪些技术(社会工程是/否、DoS 是/否)。以书面形式记录。
  2. 侦察。 信息收集。 OSINT、网络映射、端口扫描、服务识别。
  3. 漏洞识别。 扫描已知漏洞,检查自定义应用程序逻辑,识别错误配置。
  4. Exploitation。 尝试证明可以利用漏洞。不仅仅是“这可能很糟糕”,而是“这正是攻击者会做的事情。”
  5. Post-exploitation. 一旦获得初始访问权限,就探索攻击者可以做什么 - 横向移动、数据访问、权限升级。达到测试目标时停止。
  6. 报告。 详细的结果,包括重现步骤、严重性评级、补救建议。
  7. 重新测试。 在组织有时间解决结果后修复工作的验证。

常见测试类别

  • 外部渗透测试。 从公共互联网攻击组织。局外人可以看到、扫描、利用什么?
  • 内部渗透测试。 假设初始立足点(受感染的员工笔记本电脑、恶意内部人员)。攻击者可以从那里获得什么?
  • Web应用程序测试。专注于特定应用程序 - SQL注入、XSS、业务逻辑缺陷、身份验证弱点。
  • 移动应用程序测试。逆向工程APK/IPA、运行时操纵、API利用。
  • API渗透test. 关注 API 层 — 授权缺陷、数据暴露、速率限制绕过。
  • Cloud 配置评估。 AWS/Azure/GCP 特定的错误配置 — 暴露的 S3 存储桶、过于宽松的 IAM、公共 Lambda。
  • 无线评估。 Wi-Fi 安全测试。
  • 物理渗透测试。 试图获得物理访问 - 尾随、撬锁、接待处的社会工程。
  • 社会工程评估。 网络钓鱼活动、网络钓鱼、试图操纵员工。

黑盒与灰盒与白盒box

  • 黑盒。 测试人员只知道外部攻击者会做什么。现实但缓慢。
  • 灰框。 提供的信息有限(帐户凭据、网络图)。实践中最常见。
  • 白盒。 完全访问权限,包括源代码、架构文档、管理凭据。最彻底;发现自动化工具和外部测试可能遗漏的问题。

方法框架

  • OWASP Web安全测试指南。 Web应用程序测试的综合框架。
  • NIST SP 800-115. 美国政府安全技术指南测试.
  • OSSTMM. 开源安全测试方法手册.
  • PTES. 渗透测试执行标准.
  • MITRE ATT&CK. 本身不是一种方法,而是一种方法战术-技术-程序框架在红队行动中大量使用。

交易工具

  • 侦察: nmap、Masscan、Shodan、theHarvester、 Recon-ng
  • 网络测试: Burp Suite(行业标准)、OWASP ZAP、sqlmap
  • 开发框架: Metasploit、Cobalt Strike(红队标准)、Empire、 Sliver
  • 无线: Aircrack-ng、Wifite、hcxdumptool
  • 密码攻击: Hashcat、John the Ripper
  • 操作系统: Kali Linux是捆绑许多工具的标准发行版

Pen 测试与漏洞扫描

经常混淆;重要不同:

  • 漏洞扫描 — 列出已知问题的自动化工具。价格便宜,速度快,可以每周运行一次。错过业务逻辑缺陷、连锁漏洞、社会工程向量。
  • 渗透测试 - 具有创造性方法的人类测试员。昂贵、耗时、扫描仪无法发现问题。通常每年或半年一次。

成熟的安全计划同时使用自动扫描进行持续覆盖,定期进行深度渗透测试。

认证

  • OSCP(攻击性安全认证专家) - 实用标准。针对易受攻击的实验室进行 24 小时实践考试。
  • OSCE3 — 高级 Web 应用程序、漏洞利用开发、Offective Security 的无线认证。
  • GPEN、GWAPT、GXPN — SANS GIAC 认证。
  • CEH (认证道德黑客) — 入门级证书,比 OSCP 更具理论性。
  • PNPT(实用网络渗透测试仪) — TCM Security 的动手考试。

OSCP 是信誉良好的笔测试最常需要的证书

法律和道德层面

P未经书面授权的Pen测试在大多数司法管辖区都是犯罪行为——美国CFAA、英国计算机滥用法以及其他地方的类似法律。即使获得授权,范围蔓延也可能导致法律问题。书面授权(有时称为“出狱免费信”)是测试人员的法律保护。

信誉良好的笔测试公司为事件购买保险,对遇到的任何敏感数据遵循严格的数据处理政策,并且在遇到实际持续入侵或敏感个人数据时有明确的升级路径。

组织应该期望什么

通常是笔测试报告包括:

  • 非技术领导力的执行摘要
  • 具有 CVSS 分数的严重性排名结果
  • 每个结果的详细重现步骤
  • 屏幕截图和概念验证证据
  • 具体补救措施建议
  • 有关安全态势的汇总观察结果

调查结果应该是可行的。 “组件 Y 中存在漏洞 X,这里是它被利用的方式,这里是修复它的方法”——而不是“你的安全性很差。”

常见问题

我们应该多久进行一次笔测试?
常见节奏:每年一次,用于一般情况,在重大变更(新应用程序、架构检修)之后,以及根据合规性要求(PCI-DSS 要求对持卡人环境进行年度渗透测试)。
渗透测试与红队——有什么区别?
渗透测试的目的是在定义的目标中找到尽可能多的漏洞。红队参与端到端模拟特定的现实世界攻击(初始访问、横向移动、渗透),以测试检测和响应能力。红队更宽、更长,而且往往更隐蔽。请参阅我们的 <a href="/learning/red-team-blue-team">red 团队文章 </a>。
小公司值得渗透测试吗?
取决于什么是利害攸关的。处理客户数据、接受付款或在受监管行业中运营的中小型企业受益。没有用户数据的纯宣传册网站的价值较低。费用从狭义范围的几千到综合范围的数万不等。
渗透测试能找到所有漏洞吗?
不。他们发现人类利用他们使用的工具分配的时间可以发现什么。限时测试会遗漏一些东西;足够彻底的测试成本太高,无法频繁运行。与连续扫描和错误赏金相结合,实现分层覆盖。
笔测试人员需要破坏东西吗?
有时。展示影响力通常需要实际利用。信誉良好的测试人员会在破坏性操作之前进行沟通,尽可能使用分段,并记录所有内容。范围文件应预先指定破坏性行为限制。
渗透测试解释:渗透测试人员实际做什么