新聞分類(lèi)
News list等保測評之滲透測試流程
時(shí)間:2023-8-14 13:39:34 閱讀:763 來(lái)源:太原等保測評
太原等保測評之滲透測試保護以下流程階段:
-
情報的搜集階段:情報是指目標網(wǎng)絡(luò ),服務(wù)器,應用程序等的所有信息,如果是黑盒測試,信息搜集階段是最重要的一個(gè)階段,一般通過(guò)被動(dòng)掃描或主動(dòng)掃描兩種技術(shù)。
-
威脅建模階段:如果把滲透測試看做一場(chǎng)對抗賽,那么威脅建模就相當于指定策略。
-
漏洞分析階段:漏洞分析階段是從目標網(wǎng)絡(luò )中發(fā)現漏洞的過(guò)程。這個(gè)階段我們會(huì )根據之前搜集的目標網(wǎng)絡(luò )的操作系統,開(kāi)放端口及服務(wù)程序等信息,查找和分析目標網(wǎng)絡(luò )中的漏洞。這個(gè)階段如果全靠人手工進(jìn)行,那么會(huì )非常累。不過(guò) Kali Linux 2 提供了大量的網(wǎng)絡(luò )和應用漏洞評估工具。不光是網(wǎng)絡(luò )的漏洞,還要考慮人的因素長(cháng)時(shí)間研究目標人員的心理,以便對其實(shí)施欺騙,從而達到滲透目標。
-
漏洞利用階段:找到目標網(wǎng)絡(luò )的漏洞后,就可以對其進(jìn)行測試了。在漏洞利用階段我們關(guān)注的重點(diǎn)是,如果繞過(guò)網(wǎng)絡(luò )的安全機制來(lái)控制目標網(wǎng)絡(luò )或訪(fǎng)問(wèn)目標資源。如果我們在漏洞分析階段順利完成任務(wù),那么我們就可以在此階段準確,順利的進(jìn)行。漏洞利用階段的滲透測試應該有精確的范圍。這個(gè)階段我們主要的目標就是獲取我們之前評估的重要的資產(chǎn)。進(jìn)行滲透測試時(shí)還需要考慮成功的概率和對目標網(wǎng)絡(luò )造成的最大破壞。
-
后滲透攻擊階段:后滲透攻擊階段和漏洞利用階段連接十分密切,作為滲透測試人員,必須盡可能地將目標網(wǎng)絡(luò )滲透后可能產(chǎn)生的結果模擬出來(lái)。
-
報告階段:報告階段是滲透測試最后一個(gè)階段。要簡(jiǎn)單,直接且盡量避免大量專(zhuān)業(yè)術(shù)語(yǔ)向客戶(hù)匯報測試目標網(wǎng)絡(luò )出現的問(wèn)題,以及可能產(chǎn)生的風(fēng)險。這份報告應該包括目標網(wǎng)絡(luò )最重要的威脅,使用滲透數據產(chǎn)生的表格和圖標,以及對目標網(wǎng)絡(luò )存在問(wèn)題的修復方案,當前安全機制的改進(jìn)建議等。
- 2024-6-27二級信息系統適用于地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內部一般的信息系統
- 2023-4-18等保合規如何提高企業(yè)網(wǎng)絡(luò )安全運維效率?
- 2023-1-14金融行業(yè)運營(yíng)商開(kāi)展等保測評工作的重要原因有哪些
- 2023-1-14保測評需要測哪些內容:等保測評十個(gè)大項
- 2022-7-8信息網(wǎng)絡(luò )安全初次備案流程 定級報告模版參考
- 2022-7-5西融聯(lián)動(dòng)商用密碼應用安全性評估
- 2022-7-5什么是密評?密評的依據是什么?
- 2022-6-24醫療行業(yè)等級保護費用組成