返回
风险评估中的渗透测试

风险评估中的渗透测试

ID:42933675

大小:90.50 KB

页数:5页

时间:2019-09-23

风险评估中的渗透测试_第1页
风险评估中的渗透测试_第2页
风险评估中的渗透测试_第3页
风险评估中的渗透测试_第4页
风险评估中的渗透测试_第5页
资源描述:

《风险评估中的渗透测试》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、风险评估中的渗透测试本次要总结的是关于风险评估项目中的渗透测试,可能提到渗透测试,大家就会想到黑客入侵,而渗透测试和黑客入侵的最大区别在于渗透测试是经过客户授权的,采用可控制、非破坏性质的方法和手段发现目标服务器和网络设备中存在的弱点。渗透测试只是风险评估项目中i部分,一个完整的评估项目应包括管理评估和技术评估两方面,而管理类评估主要从管理制度、人员的访谈、问卷调查等几方面展开,技术类评估采用的主要手段是工具扫描、人工评估、应用评估、渗透测试、网络架构评估等。渗透测试只是技术评估的-个部分,它和工具扫描互相补充,因为大家都知道工具扫描有很高的效率和速度,但是因为软件的局限

2、性,在实际的扫描中会存在一定的漏报和误报的问题,不能发现高层次、复杂性的安全问题,这吋就需要渗透测试作为补充。一个完整的渗透测试流程应包括范围的确定、制定方案、具体的实施、撰写报告几部分构成,具体如下图:01卜面将从以上几个方面谈谈个人对渗透测试的理解一、确定渗透测试范围在我们进行渗透测试之前,首先要知道我们渗透的冃标是什么?这个冃标即是客户给出的渗透测试的范围,明确了渗透测试的范围,下面我们耍做的是制定渗透测试方案。二、制定渗透测试方案渗透测试方案是对渗透测试工作的说明,即向用户展示你在渗透测试过程可能会采取的测试手段以及工具的说明等。下面给出一份渗透测试方案的整体框架

3、:1、FI标2、范围3、渗透测试的必要性4、渗透测试的可行性5、系统备份和恢复措施6、风险规避目标:阐述本次渗透测试的冃标是什么?即通过渗透测试我们能帮助用户发现哪些问题?譬如发现服务器和网络设备中存在的弱点和威胁等。范围:说明渗透测试的范圉,渗透测试都会有范圉的限定,即用户会给定范圉,对能是一个应用系统或者一个IP地址其至整个内网,这便是渗透测试的范禺。渗透测试原则上是不允许对授权范围外的主机和网络设备进行渗透的。渗透测试的必要性:主要说明为什么要做渗透测试?渗透测试能帮助解决哪些问题等。滲透测试的可行性:因为一般客户对渗透测试不是很了解,通常会将渗透测试和黑客入侵归于

4、同一类,因此我们在渗透测试方案中要向用户说明什么是渗透测试?渗透测试的流程和采取的方法与手段是什么?以及渗透测试可能会采用的工具有哪些?譬如:♦AppScan扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。♦AcunetixWebVulnerabilityScanner网络漏洞扫描工具,通过网络爬虫测试你的网站安全,检测流行的攻击方式等,它会自动检查您的网页程序漏洞,例如SQL注入、跨网站脚本和验证页面弱密码破解。♦Weblnspect用于网络应用程序扫描工具。♦thc-orakelOracle测试工具系统备份和恢复措施:虽然渗透测试采用的是可控制、非破

5、坏性质方法,但在实际的渗透测试过程屮可能会发生不可预知的风险,所以在渗透测试前要提醍用户进行渗透测试前要进行系统的备份。防止在出现问题时,可以及时的恢复。风险规避:主要对渗透测试屮可能发生的风险进行说明,并针对这些风险我们将采取哪些手段进行有效的控制。譬如渗透测试的扫描不采用带有拒绝服务的策略、滲透测试安排在业务低峰期进行等。值得提醒的是在滲透测试过程中,如果发现被评估系统发生服务停止或者服务器宕机的现象,应立即停止测试,并联系客户的管理人员进行原因的分析,在查明原因后方可继续进行测试。三、渗透测试的实施滲透测试的具体实施,即模拟黑客攻击的手段,对被评估系统进行滲透。一般

6、渗透测试采取的步骤如下图:whoispmg<1思收HtracerouteetcraftnmapM口扫总superscan$iNessus勧U示)google社合Xtt学SOU£入WebProxy吋工「SP.KEProxy实诊(WebgoaOW洛但木马to对于以上的渗透测试过程,大家都很熟悉了,因为这些都是经常使用的一些方法,采取的手段无非是以上几种。但需要说明的是在内网渗透中,最大的安全隐患是弱口令的的问题。我们在渗透内网时,应在渗透过程中,根据用户的密码规律制定字典,因为内网的管理员一般都会管理多台机器,在我们通过弱口令等方式进入一台服务器时,应通过抓取HASH、破

7、解SAM等方式來收集当前服务器上的密码,密码应包括但不限于以下几个方面:1、系统管理密码2、FTP密码3、应用系统密码(通常在配置文件对以查看到)4、远程管理工具的密码,如PcAnywher.Radmin.VNC等将这些密码做成字典,然后对目标机器进行扫描,一般都会得到一定的信息。另外一个值得注意的是截图的问题,因为在渗透测试结束后,我们要根据渗透测试的结果撰写渗透测试报告,在报告中要使用图片来展现我们的渗透结果。在截图时,也有一定的技巧。因为渗透测试报告和我们平时看到的黑客入侵的文章不一样,区别在于面向的读者是不一样的,渗透

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。