最新滲透測試方法流程工具大全

1、滲透測試定義滲透測試，是為了證明網(wǎng)絡(luò)防御按照預(yù)期計(jì)劃正常運(yùn)行而提供的一種機(jī)制。滲透測試 (penetration test)并沒有一個(gè)標(biāo)準(zhǔn)的定義，國外一些安全組織達(dá)成共識(shí)的通用說法是：滲透測試是通過模擬惡意黑客的攻擊方法，來評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。這個(gè)過程包括對系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析，這個(gè)分析是從一個(gè)攻擊者可能存在的位置來進(jìn)行的，并且從這個(gè)位置有條件主動(dòng)利用安全漏洞。換句話來說，滲透測試是指滲透人員在不同的位置（比如從內(nèi)網(wǎng)、從外網(wǎng)等位置）利用各種手段對某個(gè)特定網(wǎng)絡(luò)進(jìn)行測試，以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，然后輸出滲透測試報(bào)告，并提交給網(wǎng)絡(luò)所有者。網(wǎng)絡(luò)所有者根據(jù)滲

2、透人員提供的滲透測試報(bào)告，可以清晰知曉系統(tǒng)中存在的安全隱患和問題。我們認(rèn)為滲透測試還具有的兩個(gè)顯著特點(diǎn)是：滲透測試是一個(gè)漸進(jìn)的并且逐步深入的過程。滲透測試是選擇不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊方法進(jìn)行的測試。專業(yè)服務(wù)滲透測試有時(shí)是作為外部審查的一部分而進(jìn)行的。這種測試需要探查系統(tǒng)，以發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡(luò)服務(wù)，并檢查這些網(wǎng)絡(luò)服務(wù)有無漏洞。你可以用漏洞掃描器完成這些任務(wù)，但往往專業(yè)人士用的是不同的工具，而且他們比較熟悉這類替代性工具。滲透測試的作用一方面在于，解釋所用工具在探查過程中所得到的結(jié)果。只要手頭有漏洞掃描器，誰都可以利用這種工具探查防火墻或者是網(wǎng)絡(luò)的某些部分。但很少有人能全面地了解漏洞掃描

3、器得到的結(jié)果，更別提另外進(jìn)行測試，并證實(shí)漏洞掃描器所得報(bào)告的準(zhǔn)確性了。執(zhí)行原因打一個(gè)比方來解釋滲透測試的必要性。假設(shè)你要修建一座金庫，并且你按照建設(shè)規(guī)范將金庫建好了。此時(shí)是否就可以將金庫立即投入使用呢？肯定不是！因?yàn)檫€不清楚整個(gè)金庫系統(tǒng)的安全性如何，是否能夠確保存放在金庫的貴重東西萬無一失。那么此時(shí)該如何做？可以請一些行業(yè)中安全方面的專家對這個(gè)金庫進(jìn)行全面檢測和評(píng)估，比如檢查金庫門是否容易被破壞，檢查金庫的報(bào)警系統(tǒng)是否在異常出現(xiàn)的時(shí)候及時(shí)報(bào)警，檢查所有的門、窗、通道等重點(diǎn)易突破的部位是否牢不可破，檢查金庫的管理安全制度、視頻安防監(jiān)控系統(tǒng)、出入口控制等等。甚至?xí)垖Ｈ四M入侵金庫，驗(yàn)證金庫的實(shí)際

4、安全性，期望發(fā)現(xiàn)存在的問題。 這個(gè)過程就好比是對金庫的滲透測試。這里金庫就像是我們的信息系統(tǒng)，各種測試、檢查、模擬入侵就是滲透測試。也許你可能還是有疑問：我定期更新安全策略和程序，時(shí)時(shí)給系統(tǒng)打補(bǔ)丁，并采用了安全軟件，以確保所有補(bǔ)丁都已打上，還需要滲透測試嗎？需要！這些措施就好像是金庫建設(shè)時(shí)的金庫建設(shè)規(guī)范要求，你按照要求來建設(shè)并不表示可以高枕無憂。而請專業(yè)滲透測試人員（一般來自外部的專業(yè)安全服務(wù)公司）進(jìn)行審查或滲透測試就好像是金庫建設(shè)后的安全檢測、評(píng)估和模擬入侵演習(xí)，來獨(dú)立地檢查你的網(wǎng)絡(luò)安全策略和安全狀態(tài)是否達(dá)到了期望。滲透測試能夠通過識(shí)別安全問題來幫助了解當(dāng)前的安全狀況。到位的滲透測試可以證明

5、你的防御確實(shí)有效，或者查出問題，幫助你阻擋可能潛在的攻擊。提前發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞，并進(jìn)行必要的修補(bǔ)，就像是未雨綢繆；而被其他人發(fā)現(xiàn)漏洞并利用漏洞攻擊系統(tǒng)，發(fā)生安全事故后的補(bǔ)救，就像是亡羊補(bǔ)牢。很明顯未雨綢繆勝過亡羊補(bǔ)牢。滲透測試能夠通過識(shí)別安全問題來幫助一個(gè)單位理解當(dāng)前的安全狀況。這使促使許多單位開發(fā)操作規(guī)劃來減少攻擊或誤用的威脅。撰寫良好的滲透測試結(jié)果可以幫助管理人員建立可靠的商業(yè)案例，以便證明所增加的安全性預(yù)算或者將安全性問題傳達(dá)到高級(jí)管理層。安全性不是某時(shí)刻的解決方案，而是需要嚴(yán)格評(píng)估的一個(gè)過程。安全性措施需要進(jìn)行定期檢查，才能發(fā)現(xiàn)新的威脅。滲透測試和公正的安全性分析可以使許多單位重視他們

6、最需要的內(nèi)部安全資源。此外，獨(dú)立的安全審計(jì)也正迅速成為獲得網(wǎng)絡(luò)安全保險(xiǎn)的一個(gè)要求。現(xiàn)在符合規(guī)范和法律要求也是執(zhí)行業(yè)務(wù)的一個(gè)必要條件，滲透測試工具可以幫助許多單位滿足這些規(guī)范要求。啟動(dòng)一個(gè)企業(yè)電子化項(xiàng)目的核心目標(biāo)之一，是實(shí)現(xiàn)與戰(zhàn)略伙伴、提供商、客戶和其他電子化相關(guān)人員的緊密協(xié)作。要實(shí)現(xiàn)這個(gè)目標(biāo)，許多單位有時(shí)會(huì)允許合作伙伴、提供商、B2B 交易中心、客戶和其他相關(guān)人員使用可信連接方式來訪問他們的網(wǎng)絡(luò)。一個(gè)良好執(zhí)行的滲透測試和安全性審計(jì)可以幫助許多單位發(fā)現(xiàn)這個(gè)復(fù)雜結(jié)構(gòu)中的最脆弱鏈路，并保證所有連接的實(shí)體都擁有標(biāo)準(zhǔn)的安全性基線。當(dāng)擁有安全性實(shí)踐和基礎(chǔ)架構(gòu)，滲透測試會(huì)對商業(yè)措施之間的反饋實(shí)施重要的驗(yàn)證，

7、同時(shí)提供了一個(gè)以最小風(fēng)險(xiǎn)而成功實(shí)現(xiàn)的安全性框架。測試技巧為了從滲透測試上獲得最大價(jià)值，應(yīng)該向測試組織提供盡可能詳細(xì)的信息。這些組織同時(shí)會(huì)簽署保密協(xié)議，這樣，你就可以更放心地共享策略、程序及有關(guān)網(wǎng)絡(luò)的其它關(guān)鍵信息。還要確定的是，哪些系統(tǒng)需要測試。雖然你不想漏掉可能會(huì)受到攻擊的某個(gè)系統(tǒng)，但可能仍想分階段把滲透測試外包出去，以便每個(gè)階段專注于網(wǎng)絡(luò)的不同部分。你還應(yīng)該制訂測試準(zhǔn)則，譬如說：滲透測試人員可以探查漏洞并進(jìn)行測試，但不得利用，因?yàn)檫@可能會(huì)危及到你想要保護(hù)的系統(tǒng)。此外，你還要提供合適的測試途徑。如果你想測試在非軍事區(qū)（DMZ）里面的系統(tǒng)，最好的測試地方就是在同一個(gè)網(wǎng)段內(nèi)測試。讓滲透測試人員在防

8、火墻外面進(jìn)行測試聽起來似乎更實(shí)際，但內(nèi)部測試可以大大提高發(fā)現(xiàn)防火墻原本隱藏的服務(wù)器安全漏洞的可能性。因?yàn)?，一旦防火墻設(shè)置出現(xiàn)變動(dòng)，就有可能暴露這些漏洞，或者有人可能通過漏洞，利用一臺(tái)DMZ服務(wù)器攻擊其它服務(wù)器。還記得尼姆達(dá)病毒嗎？它就是首次攻擊得逞后、利用一臺(tái)Web服務(wù)器發(fā)動(dòng)其它攻擊的。以外部需要訪問的Web或應(yīng)用服務(wù)器為例，你應(yīng)該考慮與滲透測試人員共享這些應(yīng)用的源代碼，如果測試涉及這些腳本或程序的話。沒有源代碼，很難測試ASP或CGI腳本，事先認(rèn)定攻擊者根本不會(huì)看到源代碼是不明智的。Web服務(wù)器軟件里面的漏洞往往會(huì)把腳本和應(yīng)用暴露在遠(yuǎn)程攻擊者面前。如果能夠獲得應(yīng)用的源代碼，則可以提高測試該應(yīng)

9、用的效率。畢竟，你出錢是為了讓滲透測試人員查找漏洞，而不是浪費(fèi)他們的時(shí)間。安全審查滲透測試旨在證明，網(wǎng)絡(luò)防御機(jī)制的運(yùn)行與你認(rèn)為的一樣良好。往往系統(tǒng)和網(wǎng)絡(luò)管理員視審查人員或滲透人員為敵人，但實(shí)際上他們卻是朋友。到位的滲透測試可以證明你的防御確實(shí)有效，或者查出問題，幫助你阻擋未來攻擊。出錢請自己知道的人來發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞，總比讓自己不知道的人發(fā)現(xiàn)漏洞好得多。滲透測試可以用來向第三方，譬如投資方或者你的管理人員提供網(wǎng)絡(luò)安全狀況方面的具體證據(jù)。事實(shí)上，你知道網(wǎng)絡(luò)中存在的漏洞可能已有一段時(shí)日，但無法說服管理人員分配必要資源以補(bǔ)救漏洞。光靠自己，網(wǎng)絡(luò)或安全管理員的意見往往不會(huì)被董事會(huì)采納。如果外面的顧問贊

10、同你的評(píng)估，或許會(huì)有奇跡出現(xiàn)。有關(guān)滲透測試的合同或工作說明應(yīng)該包括你從所得報(bào)告中想要獲得的各個(gè)方面。如果你請人進(jìn)行有限的測試，得到的只是計(jì)算機(jī)生成的報(bào)告。而滲透測試的真正價(jià)值在于由報(bào)告所衍生出的分析。進(jìn)行測試的一方會(huì)詳細(xì)介紹發(fā)現(xiàn)結(jié)果，并說明其重要性。在有的地方，測試人員還會(huì)提議采取何種補(bǔ)救方法，譬如更新服務(wù)器、禁用網(wǎng)絡(luò)服務(wù)、改變防火墻規(guī)則等等。發(fā)展如今，大多數(shù)攻擊進(jìn)行的是最基本的漏洞掃描，如果攻擊得逞，目標(biāo)就岌岌可危。如果攻擊者企圖對你站點(diǎn)進(jìn)行漏洞掃描，他就會(huì)獲得大量的防火墻日志消息，而監(jiān)控網(wǎng)絡(luò)的任何入侵檢測系統(tǒng)（IDS）也會(huì)開始發(fā)送有關(guān)當(dāng)前攻擊的警報(bào)。如果你還沒有試過，不妨利用漏洞掃描器結(jié)合

11、IDS對網(wǎng)絡(luò)來一番試驗(yàn)。別忘了首先獲得對方的許可，因?yàn)?，運(yùn)行漏洞掃描器會(huì)使IDS引發(fā)警報(bào)。滲透測試也許是你的網(wǎng)絡(luò)防御工具箱當(dāng)中的重要武器之一。應(yīng)該視之為各種安全審查的一部分，但要確保審查人員勝任這項(xiàng)工作。滲透測試分類實(shí)際上滲透測試并沒有嚴(yán)格的分類方式，即使在軟件開發(fā)生命周期中，也包含了滲透測試的環(huán)節(jié)，但根據(jù)實(shí)際應(yīng)用，普遍認(rèn)同的幾種分類方法如下：方法分類 1、黑箱測試黑箱測試又被稱為所謂的“Zero-Knowledge Testing”，滲透者完全處于對系統(tǒng)一無所知的狀態(tài)，通常這類型測試，最初的信息獲取來自于DNS、Web、Email及各種公開對外的服務(wù)器。2、白盒測試白盒測試與黑箱測試恰恰相反

12、，測試者可以通過正常渠道向被測單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)?、員工資料甚至網(wǎng)站或其它程序的代碼片斷，也能夠與單位的其它員工（銷售、程序員、管理者）進(jìn)行面對面的溝通。這類測試的目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作。3、隱秘測試隱秘測試是對被測單位而言的，通常情況下，接受滲透測試的單位網(wǎng)絡(luò)管理部門會(huì)收到通知：在某些時(shí)段進(jìn)行測試。因此能夠監(jiān)測網(wǎng)絡(luò)中出現(xiàn)的變化。但隱秘測試則被測單位也僅有極少數(shù)人知曉測試的存在，因此能夠有效地檢驗(yàn)單位中的信息安全事件監(jiān)控、響應(yīng)、恢復(fù)做得是否到位。目標(biāo)分類1、主機(jī)操作系統(tǒng)滲透對Windows、Solaris、AIX、Linux、SCO、SGI等操作系統(tǒng)本身進(jìn)行滲透測試。2、數(shù)

13、據(jù)庫系統(tǒng)滲透對MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等數(shù)據(jù)庫應(yīng)用系統(tǒng)進(jìn)行滲透測試。3、應(yīng)用系統(tǒng)滲透對滲透目標(biāo)提供的各種應(yīng)用，如ASP、CGI、JSP、PHP等組成的WWW應(yīng)用進(jìn)行滲透測試。4、網(wǎng)絡(luò)設(shè)備滲透對各種防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測試。高級(jí)滲透測試服務(wù)流程相比于普通測試服務(wù)，具有什么優(yōu)勢？相關(guān)鏈接: 最新最好的八款滲透測試工具如果說你的資產(chǎn)有可能被國內(nèi)外的攻擊者盯上并沒有把你嚇得半死，那就不必讀這篇文章。如果你與我們大家一樣也要面對現(xiàn)實(shí)，那么通過一名真正的專業(yè)人士在滲透測試方面給出的一些靠譜的預(yù)防性建議，試著采取一些挽救措

14、施。我們采訪了滲透測試工具設(shè)計(jì)師/編程員/愛好者Evan Saez，他是紐約數(shù)字取證和網(wǎng)絡(luò)安全情報(bào)公司LIFARS的網(wǎng)絡(luò)威脅情報(bào)分析師，請他談一談最新最好的滲透測試工具，以及如何使用這類工具。市面上現(xiàn)有的滲透測試工具本文介紹的滲透測試工具包括：Metasploit、Nessus安全漏洞掃描器、Nmap、Burp Suite、OWASP ZAP、SQLmap、Kali Linux和Jawfish(Evan Saez是Jawfish項(xiàng)目的開發(fā)者之一)。這些工具為保護(hù)貴企業(yè)安全起到了關(guān)鍵作用，因?yàn)檫@些也正是攻擊者使用的同一種工具。要是你沒找到自己的漏洞并及時(shí)堵上，攻擊者就會(huì)鉆空子。Metasploi

15、t是一種框架，擁有龐大的編程員愛好者群體，廣大編程員添加了自定義模塊，測試工具可以測試眾多操作系統(tǒng)和應(yīng)用程序中存在的安全漏洞。人們在GitHub和Bitbucket上發(fā)布這些自定義模塊。與GitHub一樣，Bitbucket也是面向編程項(xiàng)目的在線軟件庫。Saez說：“Metasploit是最流行的滲透測試工具?！毕嚓P(guān)鏈接：Nessus安全漏洞掃描器是一款備受歡迎的、基于特征的工具，可用于查找安全漏洞。Saez說：“Nessus只能將掃描結(jié)果與收錄有已知安全漏洞特征的數(shù)據(jù)庫進(jìn)行比對?！毕嚓P(guān)鏈接：Nmap絡(luò)掃描器讓滲透測試人員能夠確定企業(yè)在其網(wǎng)絡(luò)上擁有的計(jì)算機(jī)、服務(wù)器和硬件的類型。這些機(jī)器可以通過

16、這些外部探測來查明，這本身就是個(gè)安全漏洞。攻擊者利用這些信息為攻擊奠定基礎(chǔ)。相關(guān)鏈接：Burp Suite是另一款備受歡迎的Web應(yīng)用程序滲透測試工具。據(jù)Burp Suite Web安全工具廠商PortSwigger聲稱，它可以標(biāo)繪并分析Web應(yīng)用程序，查找并利用安全漏洞。相關(guān)鏈接：OWASP ZAP(Zed攻擊代理)是來自非營利性組織OWASP(開放Web應(yīng)用程序安全項(xiàng)目)的Web應(yīng)用程序滲透測試工具。ZAP提供了自動(dòng)和手動(dòng)的Web應(yīng)用程序掃描功能，以便服務(wù)于毫無經(jīng)驗(yàn)和經(jīng)驗(yàn)豐富的專業(yè)滲透測試人員。 ZAP是一款如今放在GitHub上的開源工具。相關(guān)鏈接：http

17、s://index.php/OWASP_Zed_Attack_Proxy_ProjectSQLmap可自動(dòng)查找SQL注入攻擊漏洞。然后，它會(huì)利用那些安全漏洞，全面控制數(shù)據(jù)庫和底層服務(wù)器。相關(guān)鏈接：Kali Linux是一款一體化工具，包含一套專用的預(yù)安裝測試(以及安全和取證分析)工具。Saez說：“它擁有的工具面向?qū)Π踩粺o所知的人。”相關(guān)鏈接：Jawfish是一款使用遺傳算法的滲透測試工具，不像大多數(shù)工具基于特征。Saez說：“遺傳算法會(huì)根據(jù)搜索結(jié)果來尋找目標(biāo)。”基于搜索標(biāo)準(zhǔn)，隨著Jawfish逐

18、漸靠近它所尋找的目標(biāo)，這里是安全漏洞，它就能找到結(jié)果。Jawfish不需要特征數(shù)據(jù)庫。相關(guān)鏈接：https:/jawfish.io如何使用滲透測試工具?Metasploit、Nessus安全漏洞掃描器、Nmap、Burp Suite、OWASP ZAP、SQLmap、Kali Linux和Jawfish各有各的用途。大多數(shù)企業(yè)需要多款工具。Metasploit既提供了Ruby接口，又提供了CLI，那樣你的滲透測試人員可以選擇其中一種，這取決于你想要完成什么任務(wù)。Saez說：“Ruby接口比較適用于測試非常大的網(wǎng)絡(luò)，因?yàn)樵贑LI中運(yùn)行命令對這種測試任務(wù)而言太過枯燥乏味。”Nessus安全漏洞掃描

19、器可以檢查計(jì)算機(jī)和防火墻，尋找敞開的端口、是否安裝了可能存在漏洞的軟件。大型技術(shù)解決方案提供商ICF International公司的首席技術(shù)專家Garrett Payer說：“就滲透測試而言，這款工具用處不大，因?yàn)樗粔蚓珳?zhǔn)，通過前門進(jìn)入，與操作系統(tǒng)進(jìn)行通信才能確定安全漏洞。這款工具通常用于合規(guī)工作，完全用來確定補(bǔ)丁是不是最新版本?！盢map可以用來搜索主機(jī)、敞開的端口、軟件版本、操作系統(tǒng)、硬件版本及安全漏洞，通常標(biāo)繪網(wǎng)絡(luò)的攻擊面。它在滲透測試的每個(gè)階段都很有用，只要你有一組新的主機(jī)、端口及其他資源需要識(shí)別，比如進(jìn)入一個(gè)新的網(wǎng)段時(shí)。Payer說：“這款工具擁有腳本功能，適用于枚舉用戶訪問?！?/p>

20、Burp Suite可與你的Web瀏覽器結(jié)合使用，標(biāo)繪Web應(yīng)用程序。Burp Suite里面的工具可發(fā)現(xiàn)應(yīng)用程序功能和安全漏洞，然后發(fā)動(dòng)特定的攻擊。Burp Suite可以自動(dòng)執(zhí)行重復(fù)性功能，同時(shí)在滲透測試人員需要控制個(gè)別選項(xiàng)以便測試的地方為用戶保留了選擇。Payer說：“這一款功能非常豐富的工具可使用代理，探究分析跨站腳本及其他安全漏洞;它提供了一定的透明度，讓人們清楚網(wǎng)站實(shí)際上將什么數(shù)據(jù)發(fā)送給服務(wù)器。”O(jiān)WASP ZAP可執(zhí)行眾多掃描和測試，包括端口掃描、蠻力掃描和模糊測試，以便識(shí)別不安全的代碼。滲透測試人員使用界面直觀的GUI，這種GUI類似微軟應(yīng)用程序或某些Web設(shè)計(jì)工具(比如Arachnophilia)的GUI。一旦你在網(wǎng)站上瀏覽并執(zhí)