网站设计技术公司,做计算机项目的网站,做毕设的网站万,建立网站时要采用一定的链接结构文章目录 渗透测试方法论1. 渗透测试种类黑盒测试白盒测试脆弱性评估 2. 安全测试方法论2.1 OWASP TOP 102.3 CWE2.4 CVE 3. 渗透测试流程3.1 通用渗透测试框架3.1.1 范围界定3.1.2 信息搜集3.1.3 目标识别3.1.4 服务枚举3.1.5 漏洞映射3.1.6 社会工程学3.1.7 漏洞利用3.1.8 权… 文章目录 渗透测试方法论1. 渗透测试种类黑盒测试白盒测试脆弱性评估 2. 安全测试方法论2.1 OWASP TOP 102.3 CWE2.4 CVE 3. 渗透测试流程3.1 通用渗透测试框架3.1.1 范围界定3.1.2 信息搜集3.1.3 目标识别3.1.4 服务枚举3.1.5 漏洞映射3.1.6 社会工程学3.1.7 漏洞利用3.1.8 权限提升3.1.9 访问维护3.1.10 文档报告 3.2 渗透测试执行标准3.2.1 七个阶段3.2.2 主要特点优势 3.3 简化渗透测试流程3.4 黑客攻击流程 渗透测试方法论
攻击与防御攻击典型代表就是黑客入侵非法的和渗透测试合法的等工作。防御的典型代表等级保护、安全基线检查与加固、安全设备等。
渗透测试(penetration testing,pentest)是模拟黑客攻击实施安全评估即审计的具体手段。方法论是在制定、实施信息安全审计方案时需要遵循的规则、惯例和过程。人们在评估网络、应用、系统或三者组合的安全状况时不断摸索各种务实的理念和成熟的做法并总结了一套理论-渗透测试方法论。
关键词
安全弱点安全风险安全漏洞
渗透测试与红队Red Team不同 红队是攻击队伍想尽一切办法入侵目标系统。 渗透测试是尽可能的披露目标系统的安全弱点、风险、漏洞等任何安全问题都不要放过。 渗透测试的目的是为安全加固漏洞修复做准备 1. 渗透测试种类 黑盒测试、白盒测试和脆弱性评估 黑盒测试
不清楚内部单位技术构造摸拟黑客攻击的过程漏洞评级 高危中危低危信息级别
白盒测试
获取被测单位全部资料或者有限资料代码审计Fortify SCA工具可以与应用的研发生命周期相结合(Security Development Lifecycle,SDL)
脆弱性评估
脆弱性评估通过分析企业资产面临安全威胁的情况和程度评估内部和外部的的安全控制的安全性。这种技术上的信息系统评估不仅揭露现有防范措施里存在的风险而且要提出多重备选的补救策略并将这些策略进行比较。内部的脆弱性评估可保证内部系统的安全性而外部的脆弱性评估则是验证边界防护perimeter defenses的有效性。无论进行内部脆弱性评估还是进行外部脆弱性评估评估人员都会采用各种攻击模式来严格测试网络资产的安全性从而验证信息系统处理安全威胁的能力进而确定应对措施的有效性。不同类型的脆弱性评估需要的测试流程、测试工具和自动化测试技术也不相同。这可以通过一体化的安全弱点管控vulnerability management平台来实现。现在的安全弱点管理平台带有可自动更新的漏洞数据库能够测试不同类型的网络设备而且不会影响配置管理和变更管理的完整性。 脆弱性评估和渗透测试两者最大的区别就是渗透测试不仅要识别目标的弱点它还涉及在目标系统上进行漏洞利用、权限提升和访问维护。换句话说脆弱性评估虽然可以充分发现系统里的缺陷但是不会考虑去衡量这些缺陷对系统造成的危害。另外相比脆弱性评估渗透测试更倾向于入侵会刻意使用各种技术手段利用安全漏洞所以渗透测试可能对生产环境带来实际的破坏性影响。而脆弱性评估以非入侵的方式定性、定量得识别已知安全弱点。 关键点
黑盒测试安全弱点、风险、漏洞的发现漏洞利用后渗透脆弱性评估安全弱点、风险、漏洞的发现脆弱性评估的方法包括漏同扫描手工挖掘。
2. 安全测试方法论
开放式Web应用程序安全项目(Opeh Web Application Security Project,OWASP)
Web安全测试指南OWASP WebGoatOWASP TOP10国外2021 OWASP TOP 10 — OWASP-CHINA
2.1 OWASP TOP 10 1、失效的访问控制
用户越权2、加密机制失效
一个应用程序使用自动化的数据加密系统加密存储中数据库中的信用卡号。但是这些数据在检索时会自动解密这就使得SQL注入漏洞以明文形式获得信用卡号。在账号登录时密码以密文的形式存储防止管理员在数据维护的时候无意间造成密码泄露3、注入
SQL注入4、不安全的设计
业务逻辑漏洞
比如说windows系统忘记密码的时候设置了安全问题只要安全问题答对了就进入了系统
如果安全问题设置的都是关于家人问题可以通过社工利用 得到安全问题答案5、安全配置错误
密码的四分之三原则大小写字母数字特殊符号四个占三个。6、自身缺陷和过失的组件
phpstudy后门漏洞7、身份识别和身份验证错误
密码爆破
自动化威胁 或 撞库攻击撞库拿着QQ密码去登录苹果ID8、软件和数据完整性故障
Java中使用外部类
不安全的反序列化9、安全日志和监控故障
系统日志问题10、服务端请求伪造
SSRF2.3 CWE
通用缺陷列表(Common Weakness Enumeration,CWE)
漏洞类别的编号
[CWE-78: Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)](CWE-78: Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’))
CWE-89: Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)
CWE-352: Cross-Site Request Forgery (CSRF)
2.4 CVE
通用漏洞与披露(Common Vulnerabilities and Exposures,CVE)
国外的官网
尝试确定以下漏洞发生的组件名称、版本以及漏洞类型
CVE-2020-14882 Oracle WebLogic Server版本10.3.6.012.1.3.012.2.1.312.2.1.414.1.1.0。weblogic未授权远程命令执行漏洞CVE-2020-9484Apache Tomcat: 10.0.0-M1 to 10.0.0-M4 Apache Tomcat: 9.0.0.M1 to 9.0.34 Apache Tomcat: 8.5.0 to 8.5.54 Apache Tomcat: 7.0.0 to 7.0.103 Tomcat Session(CVE-2020-9484)反序列化漏洞CVE-2020-1938Apache Tomcat 9.x 9.0.31Apache Tomcat 8.x 8.5.51Apache Tomcat 7.x 7.0.100Apache Tomcat 6.x任意文件读取漏洞CVE-2017-11882Microsoft Office 2007 Service Pack 3、Microsoft Office 2010 Service Pack 2、Microsoft Office 2013 Service Pack 1 和 Office 2016 Microsoft允许攻击者通过未能正确处理内存中的对象也称为“Microsoft Office 内存损坏漏洞”在当前用户的上下文中运行任意代码。3. 渗透测试流程
3.1 通用渗透测试框架
从技术管理的角度来看遵循正规的测试框架对安全测试极为重要。通用渗透测试框架涵盖了典型的审计测试工作和渗透测试工作会涉及到的各个阶段。
无论是进行白盒测试还是黑盒测试选择和使用测试步骤都是测试人员的责任。在测试开始前测试人员需要根据目标系统的实际环境和已掌握的相关目标系统的情况再指定最佳的测试策略。
相关阶段如下
范围界定
信息收集
目标识别
服务枚举
漏洞映射
社会工程学
漏洞利用
权限提升
访问维护
文档报告3.1.1 范围界定
在开始技术性安全评估之间务必要观察、研究目标环境的被测范围。同时还要了解这个范围牵扯多少个单位是单个单位还是多个单位会参与到安全评估的工作中来在范围界定阶段需要考虑的典型因素如下
确定目标取得授权应当采取何种测试方法有哪些在测试过程中需要满足的条件哪些因素可能会限制测试执行的过程需要多久才能完成测试此次测试应当达成什么样的任务目标是否是复测
3.1.2 信息搜集
外围信息收集非接触式信息收集。
在划定了测试范围之后就需要进入信息收集阶段。在这个阶段渗透人员需要使用各种公开资源尽可能地
获取测试目标的相关信息。他们搜集信息的互联网渠道主要有
论坛公告板新闻组媒体文章博客社交网络github其他商业或非商业性的网站。
此外他们也可以借助各种搜索引擎中获取相关数据如谷歌、雅虎、MSN必应、百度等。收集的信息主要包括
DNS服务器路由关系whois数据库电子邮件地址电话号码个人信息用户账户
收集的信息越多渗透测试成功的概率越高。
3.1.3 目标识别
这个阶段的主要任务是识别目标的网络状态、操作系统和网络架构。该阶段工作旨在完整地展现目标网络里各种联网设备或技术的完整关系以帮助测试人员在接下来的工作里枚举目标网络的各种服务。
扫IP。哪些设备在线如何去访问
3.1.4 服务枚举
这一阶段会根据前面各个阶段的成果进一步找出目标系统中所有开放的端口。一旦找到了所有开放的端口就可以通过这些端口来列出目标系统上运行的服务。主机上开放的端口都有相应的服务程序对这些信息进行深度分析之后可进一步发掘目标网络基础设施中可能存在的漏洞。
扫端口。开放的端口。运行的服务。
技术架构
Web容器
开发语言以及框架
前后端分离3.1.5 漏洞映射
可以根据已经发现的开放端口和服务程序查找、分析目标系统中存在的漏洞。如果能够采用自动和手动这两种不同的测试方法结合起来审计人员对目标系统的认知就会更为清晰、透彻并能够仔细地检查任何已知和未知的漏洞。
扫漏洞。漏洞挖掘手工工具。FUZZ测试。
3.1.6 社会工程学
如果目标网络没有直接的入口欺骗的艺术将起到抛砖引玉的重要作用。对目标组织中的人员进行定向攻击很有可能帮助我们找到渗透目标系统的入口。例如诱使用户运行安装存在后门的恶意程序就可能为审计
人员的渗透工作形成突破。社会工程学渗透分为多种不同实现形式。
伪装成网络管理员通过电话要求用户提供自己的账户信息发送钓鱼邮件来劫持用户的银行账户诱使某人出现在某个地点。
在社会工程学中达成同一既定目标的实现方式应有尽有。需要注意的是在对目标实施欺骗以达成渗透目标之前多数情况下需要长时间研究目标人员的心理。另外在开展这个阶段的工作之前您需要研究国内的法律是否有关于社会工程学的相关条款。
3.1.7 漏洞利用
在仔细检查和发现目标系统中的漏洞之后就可以使用已有的漏洞利用程序对目标系统进行渗透。审计人员可以把客户端漏洞利用程序和社会工程学进行结合进而控制目标系统。这个阶段的主要任务是访问目标系统。这个流程可以分为三步涉及攻击前、攻击、攻击后的相关行动。
3.1.8 权限提升
获取目标系统的痉制权是渗透成功的标识。接下来工程师就可以根据其所拥有的访问权限在被测系统中自由发挥。审计人员也可以使用适用于目标系统的本地漏洞来提升自己的权限。只要他们能够在目标系统上运行提权漏洞利用程序就可以获得主机的超级用户权限或者系统级权限。工程师还可以以该主机为跳板进一步攻击局域网络。根据之前渗透范围的界定授权审计人员接下来会开展的攻击可能是受限制的也可能是不受限制。然后他们很有可能个以各种方式获得与控制系统有关的更多信息。具体的说他们可能是用嗅探手段截获网络数据包破解各种服务的密码在局域网络中使用网络欺骗手段。所以说提升权限的最终目的是获得目标系统的最高访问权限。
3.1.9 访问维护
多数情况下审计人员需要在一段时间内维护他们对目标系统的访问权限。例如在演示越权访问目标系统的时候安装后门将节省重新渗透目标系统所耗费的大量时间。这种情况下访问维护将节约获取目标系统访问权限所需要的时间、花费和资源。审计人员可以通过一些秘密的通信隧道在既定时间内维持对目标的访问权限。这些隧道往往基于特定协议、代理或者点对点方法的后门程序。这种对系统的访问方法可以清楚地展示入侵人员在目标系统实施攻击时隐藏行踪的具体方法
埋藏后门。隧道技术。
3.1.10 文档报告
在渗透测试的最后一个环节里审计人员要记录、报告并现场演示那些已经识别、验证和利用了的安全漏洞。在被测单位的管理和技术团队会检查渗透时使用的方法并会根据这些文档修补所有存在的安全漏洞。所以从道德角度来看文档报告的工作十分重要。为了帮助管理人员和技术人员共同理解、分析当前T基础架构中的薄弱环节可能需要给不同的部门撰写不同措辞的书面报告。
3.2 渗透测试执行标准
The Penetration Testing Execution Standard
渗透测试执行标准包含两个部分PTES方法论PTES技术指南。
这个标准有渗透测试7个阶段的标准组成可以在任意环境中进行富有成果的渗透测试。
3.2.1 七个阶段
事前互动情报搜集威胁建模漏洞分析漏洞利用深度利用书面报告
3.2.2 主要特点优势
它是非常全面的渗透测试框架涵盖了渗透测试的技术方面和其他重要方面如范围蔓延(scope creep)、报告以及渗透测试人员保护自身的方法。
它介绍了多数测试任务的具体方法可指导您准确测试目标系统的安全状态。
它汇聚了多名日行一“渗”的渗透测试专家的丰富经验。
它包含了最常用的以及很罕见的相关技术。
它浅显易懂您可根据测试工作的需要对相应测试步骤进行调整。
3.3 简化渗透测试流程
简化的渗透测试流程是在进行渗透测试过程中经常使用的流程 3.4 黑客攻击流程
黑客攻击一般过程
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DTT1Ie2b-1692715045191)(./1%E3%80%81%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E6%96%B9%E6%B3%95%E8%AE%BA.assets/f2d9f32af695c1f479c755c1aaabdfb.png)]
C2攻击过程 cc 攻击dos攻击拒绝服务攻击的一种模拟正常用户的流程 c2攻击Command and Control 命令和控制远程控制
