|
在客户授权范围内,安全工程师对客户应用WEB应用和网络系统的深层挖掘检测应用系统是否存在可被利用的漏洞,多角度进行检测发现应用系统存在的问题。 |
|
|
|
|
|
|
|
渗透测试分以下两种方式 |
|
|
|
外部渗透测试 |
|
通过Internet发起,对客户的Web站点,Mail服务器等可以通过Internet访问的主机和设备进行渗透。外部渗透测试可以测试当前网络防火墙及其他安全措施对站点的防护能力,及时发现对外防御措施存在的漏洞或缺陷。 |
|
|
|
|
|
|
|
内部渗透测试 |
|
从客户企业内部网络发起,对客户的各种应用系统和网络设备进行渗透。内部渗透测试模拟黑客来自企业内部或者黑客已经控制个别内部主机的情况,可以测试客户对内部机密信息的保护能力及内部网络系统的防护能力。 |
|
|
|
|
|
|
|
|
渗透测试过程主要依据安全专家已经掌握的安全漏洞信息,模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。所有的渗透测试行为将在客户的书面明确授权和监督下进行。 |
|
|
|
测试流程 |
|
方案制定 |
安全服务实施团队获取到企业的书面授权许可后,才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与企业进行交流,并得到企业的认同。
测试实施之前,安全服务实施团队会做到让客户对渗透测试过程和风险的知晓,使随后的正式测试流程都在客户的控制下。 |
|
|
|
|
|
|
|
信息收集 |
|
操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。 |
|
|
|
|
|
|
|
测试实施 |
|
操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web应用), 此阶段如果成功的话,可能获得普通权限。渗透测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击等,期间可能用到各种扫描工具,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。一旦成功控制一台或多台服务器后,测试人员将利用这些被控制的服务器作为跳板,绕过防火墙或其他安全设备的防护,从而对内网其他服务器和客户端进行进一步的渗透。此过程将循环进行,直到测试完成。 |
|
|
|
|
|
|
|
报告输出 |
|
渗透测试报告是提交给用户的最终成果,渗透测试报告将渗透过程中发现的问题进行说明。渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告,内容主要包括问题描述及修复建议。 |
|
|
|
|
|
|
|
安全复查 |
|
渗透测试完成后,协助企业对已发现的安全隐患进行修复。修复完成后,渗透测试工程师对修复的成果再次进行远程测试复查,对修复的结果进行检验,确保修复结果的有效性。 |
|
|
|
|
|
|
|
|
|
|
风险规避 |
|
在渗透测试过程中,虽然我们会尽量避免做影响正常业务运行的操作,也会实施风险规避的计策,但是由于测试过程变化多端,渗透测试服务仍然有可能对网络、系统运行造成一定不同程度的影响,严重的后果是可能造成服务停止,甚至是宕机。比如渗透人员实施系统权限提升操作时,突遇系统停电,再次重启时可能会出现系统无法启动的故障等。因此,我们会在渗透测试前与客户详细讨论渗透方案,并采取多条策略来规避渗透测试带来的风险。 |
|
|
|
|
|
|
|
最后我们将提供渗透测试报告,,最终报告中将阐述各项评估结果,并根据IT和网络安全国际标准对优点/缺点进行对比。我们会对识别的弱点进行评估,同时提出相应的建议和补救措施,并根据相关风险等级进行排序。向客户口头汇报评估结果时,双方将对最终报告进行讨论。报告将对已开展的安全审计或渗透测试工作做一个全面透彻的总结。此外,报告还将详细阐述评估结果,并基于此展开相应论述并提出建议,以便进一步完善安全管理措施。 |
