返回首页
当前位置: 主页 > 互联网技术 > 网络安全 >

渗透测试-方法

时间:2020-01-20 18:18来源:电脑教程学习网 www.etwiki.cn 编辑:小山哥

渗透测试是考虑了系统各种问题的技术的组合,并进行测试,分析和给出解决方案。它基于逐步执行渗透测试的结构化程序。

本章介绍渗透测试方法的各个步骤或阶段。

渗透测试方法步骤

以下是渗透测试的七个步骤-

渗透测试方法

规划与准备

规划和准备工作首先要确定渗透测试的目标。

客户和测试人员共同定义目标,以便双方具有相同的目标和理解。渗透测试的共同目标是-

  • 识别漏洞并提高技术系统的安全性。
  • 由外部第三方确认IT安全。
  • 增强组织/人员基础结构的安全性。

侦察

侦察包括对初步信息的分析。很多时候,测试人员除了初步信息外没有太多信息,例如IP地址或IP地址块。测试人员首先分析可用信息,并在需要时从客户端请求更多信息,例如系统描述,网络计划等。此步骤是被动渗透测试的一种。唯一的目的是获得系统的完整和详细的信息。

发现

在此步骤中,渗透测试人员很可能会使用自动化工具来扫描目标资产以发现漏洞。这些工具通常具有自己的数据库,这些数据库提供了最新漏洞的详细信息。但是,测试人员发现

  • 网络发现 -例如发现其他系统,服务器和其他设备。

  • 主机发现 -它确定这些设备上的开放端口。

  • 服务询问 -它询问端口以发现端口上正在运行的实际服务。

分析信息和风险

在此步骤中,测试人员分析和评估在测试步骤之前收集的信息,以动态渗透系统。由于系统数量众多且基础架构规模庞大,因此非常耗时。在分析时,测试人员会考虑以下要素-

  • 渗透测试的定义目标。

  • 对系统的潜在风险。

  • 评估潜在的安全漏洞所需的估计时间,以进行后续的主动渗透测试。

但是,从已识别系统的列表中,测试人员可以选择仅测试那些包含潜在漏洞的系统。

主动入侵尝试

这是必须谨慎执行的最重要步骤。此步骤需要在发现步骤中识别出具有实际风险的潜在漏洞的程度。当需要验证潜在漏洞时,必须执行此步骤。对于那些具有很高完整性要求的系统,在执行关键清理程序之前需要仔细考虑潜在的漏洞和风险。

最终分析

此步骤主要考虑到那时为止已执行的所有步骤(如上所述),以及对以潜在风险形式存在的漏洞进行评估。此外,测试人员建议消除漏洞和风险。最重要的是,测试人员必须确保测试的透明度以及所披露的漏洞。

报告准备

报告准备必须从总体测试程序开始,然后分析漏洞和风险。高风险和严重漏洞必须具有优先级,然后是低级。

但是,在记录最终报告时,需要考虑以下几点-

  • 渗透测试的总体摘要。
  • 每个步骤的详细信息以及笔测试期间收集的信息。
  • 发现的所有漏洞和风险的详细信息。
  • 清洁和固定系统的详细信息。
  • 有关未来安全性的建议。
------分隔线----------------------------
标签(Tag):
------分隔线----------------------------
推荐内容
猜你感兴趣