什么是渗透测试?
渗透测试,通常称为“pentesting”、“pen测试”、“网络渗透测试”或“安全测试”,是一种攻击您自己或您客户的IT系统的做法,与黑客识别安全漏洞的方式相同。笔式测试试图控制系统并获取数据。进行渗透测试的人员称为渗透测试人员或笔式测试人员。在本文的其余部分,我们将其称为笔式测试或笔式测试en测试。
为什么是笔试?
笔测试有几个原因,包括:
合规
根据您所在行业的不同,笔式测试可能是一项操作要求。医疗保健和金融等行业通常要求笔试作为其监管的一部分。一个例子是PCI DSS合规性,需要定期进行pen测试。
检查您的网络安全协议
你们可能已经有安全协议了。这可能包括防火墙、加密和员工在发生违规时应遵循的协议。进行笔测试将使您能够识别部署解决方案中的任何弱点,并微调任何内部政策。
模拟网络攻击
笔测试旨在检测安全性中的漏洞。模拟对自己的攻击是一个很好的方法,可以确保你为攻击做好准备,并了解自己暴露在何处。
笔测试步骤
每个笔测试可能有不同的步骤,但笔测试通常有以下内容:
设置范围
它用于设置笔测试的范围,这样您就知道您正在寻找哪些漏洞以及这些漏洞是如何被测试的。设定范围时,问自己以下问题:“对我的公司来说,什么数据是最重要的?”这可能包括社会安全号码、信用卡数据和健康信息。一旦识别出来,测试笔就可以尝试访问这些数据。
侦察
测试笔的人会尽可能多地了解目标公司和被审计的系统。这在线上和线下都发生。公开的公司和员工信息可以给笔测试者提供有价值的信息。笔测试员也会跟随员工进入安全的空间,看看他们能获得多少权限。
发现
笔测试人员将对有问题的IP范围进行端口或漏洞扫描,以了解更多有关环境的信息。扫描网络将返回服务器和设备以及它们之间的关系。有了这些信息,测试笔的人就可以制定攻击计划。
剥削
运行发现扫描后,笔测试仪可以决定哪些漏洞才能剥离以获取访问权限。他们将在操作系统或应用程序级别尝试开发。
暴力强迫
蛮力攻击测试所有系统的弱密码以获得访问权限。攻击试图使用所有可能的用户名和密码组合来获取访问权限。笔测试人员的目标是获得用户名和密码组合,使他们能够访问系统,并从那里他们可以通过网络移动并尝试特权升级。
社会工程
社会工程通过网络钓鱼电子邮件、恶意U盘、电话对话和其他方法利用人们获取信息和系统。人类目标是大多数安全系统中最不安全的部分。笔测试仪将尝试让电子邮件收件人点击链接或下载恶意文件,以便从计算机窃取信息。
控制
笔测试仪的主要目标是访问目标机器上的数据(如密码、密码哈希、屏幕截图、文件),安装键盘记录器,并接管屏幕控制。这通常会为更多的剥削、暴力强迫或社会工程打开新的大门。
主
在控制目标机器之后,笔测试者将尝试访问不同的网段。笔测试者将使用一个受损的服务器跳转到连接到服务器的网络的其他部分。从一个网络转到另一个网络可以让笔测试人员避开防火墙和其他检测系统。
代理主
代理枢轴在受损主机上创建网关,并允许从该主机发起攻击。受损主机成为SOCKS或套接字安全代理。SOCKS允许由程序或协议生成的任何类型的通信。代理数据透视仅限于代理支持的TCP和UDP端口。
VPN枢轴
VPN枢轴创建一个从受损主机返回攻击者的加密层隧道。VPN枢轴允许攻击者访问受损主机能够看到的所有网络和设备。使用VPN pivot,笔测试人员可以运行扫描,查看受损主机连接的任何内容,并深入系统。
收集证据
笔测试仪将收集收集屏幕截图,密码哈希和文件等证据,以证明他们获得访问权限。收集证据是与攻击者分开的笔测试仪。笔测试仪将收集证据,以证明系统可以妥协到报告中。
报告
一支笔的测试人员将创建一份报告,描述他们是如何入侵网络以及他们获取的信息。
修复
在笔测试之后,此步骤解决了使笔测试人员能够进入网络的问题。这通常不是由笔测试人员完成的,而是由IT部门的其他资源完成的。
笔测试的类型
笔测试可以分为两类:
决定测试什么
在范围笔测试的一部分,笔测试人员和客户将决定什么系统应该被测试。通常是下列一项或多项:
网络基础设施
这是最常见的笔测试。这也被称为网络服务测试或内部网络或外部网络笔测试。网络基础设施测试寻找公司网络基础设施中的漏洞。通常测试的一些系统包括:
- 防火墙
- DNS攻击
- 遗留系统
- 拦截网络流量
Web应用程序
Web应用程序测试包括在服务器端和客户端测试应用程序。这些测试是详细和密集的。由于企业严重依赖网络应用程序,这可能会占用大部分时间。
无线的
无线包括测试一家公司的所有无线设备。笔测试寻找不安全的设备和无线协议寻找入口点。
应用程序用户
社会工程是最著名的攻击类型之一。这可能涉及钓鱼电子邮件或使用物理项目(如USB)让员工在其设备和网络上加载恶意代码。
客户端
客户端查找本地漏洞。这可以包括Adobe Photoshop、Microsoft Word和Firefox等应用程序。在连接到公司网络的计算机上使用的任何软件通常都是测试的一部分。
测试笔的能力和知识
对系统和源代码的访问量将确定笔测试仪在开始参与之前的信息。这会影响笔测试的长度以及发现的内容。
黑盒测试
在黑盒测试中,笔测试人员没有关于被测试系统的信息。这个测试模拟了一般黑客会做的事情。笔测试者将收集信息,并尝试利用收集到的信息开发系统。这很像外部黑客攻击。
白盒试验
在白盒测试中,笔测试员可以完全访问任何必要的系统。他们可以查看源代码、体系结构和网络信息。有了这些知识,笔测试人员可以评估内部和外部的漏洞。
灰盒测试
在灰盒测试中,笔测试仪通常被授予与管理员用户相同的系统访问权限级别。他们还了解系统的工作方式。这种攻击可以模拟攻击者在访问具有更高权限的凭据时可能造成的伤害。