滲透測(cè)試-方案

滲透測(cè)試1.概述1.1實(shí)施目的信息安全越來越成為保障企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行的重要元素。以對(duì)公司的應(yīng)用系統(tǒng)及內(nèi)網(wǎng)進(jìn)行安全測(cè)試，以便于發(fā)現(xiàn)潛在的漏洞，提供整改報(bào)告，同時(shí)可以檢查公司的安全監(jiān)控及安全防護(hù)能力。2．遠(yuǎn)程滲透測(cè)試介紹2.1?滲透測(cè)試原理?滲透測(cè)試過程主要依據(jù)滲透測(cè)試人員已經(jīng)掌握的安全漏洞信息，模擬黑客的真實(shí)攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試。2.2?滲透測(cè)試流程?方案制定?并且將實(shí)施范圍、方法、時(shí)間、人員等具體的方案與XXX進(jìn)行交流，并得到XXX的認(rèn)同。?信息收集?這包括：操作系統(tǒng)類型指紋收集；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析；端口掃描和目標(biāo)系統(tǒng)提供的服務(wù)識(shí)別等?？梢圆捎靡恍┥虡I(yè)安全評(píng)估系統(tǒng)（如：ISS、極光等）；免費(fèi)的檢測(cè)工具（NESSUS、Nmap等）進(jìn)行收集。?測(cè)試實(shí)施?在規(guī)避防火墻、入侵檢測(cè)、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進(jìn)行：操作系統(tǒng)可檢測(cè)到的漏洞測(cè)試、應(yīng)用系統(tǒng)檢測(cè)到的漏洞測(cè)試（如：Web應(yīng)用），此階段如果成功的話，可能獲得普通權(quán)限。?滲透測(cè)試人員可能用到的測(cè)試手段有：掃描分析、溢出測(cè)試、口令爆破、社會(huì)工程學(xué)、客戶端攻擊、中間人攻擊等，用于測(cè)試人員順利完成工程。在獲取到普通權(quán)限后，嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對(duì)系統(tǒng)的完全控制權(quán)。一旦成功控制一臺(tái)或多臺(tái)服務(wù)器后，測(cè)試人員將利用這些被控制的服務(wù)器作為跳板，繞過防火墻或其他安全設(shè)備的防護(hù)，從而對(duì)內(nèi)網(wǎng)其他服務(wù)器和客戶端進(jìn)行進(jìn)一步的滲透。此過程將循環(huán)進(jìn)行，直到測(cè)試完成。最后由滲透測(cè)試人員清除中間數(shù)據(jù)。?報(bào)告輸出?滲透測(cè)試人員根據(jù)測(cè)試的過程結(jié)果編寫直觀的滲透測(cè)試服務(wù)報(bào)告。內(nèi)容包括：具體的操作步驟描述；響應(yīng)分析以及最后的安全修復(fù)建議。?安全復(fù)查?滲透測(cè)試完成后，滲透測(cè)試人員協(xié)助技術(shù)創(chuàng)新群對(duì)已發(fā)現(xiàn)的安全隱患進(jìn)行修復(fù)。修復(fù)完成后，滲透測(cè)試工程師對(duì)修復(fù)的成果再次進(jìn)行遠(yuǎn)程測(cè)試復(fù)查，對(duì)修復(fù)的結(jié)果進(jìn)行檢驗(yàn)，確保修復(fù)結(jié)果的有效性。??下圖是更為詳細(xì)的步驟拆分示意圖：開始開始《滲透測(cè)試初稿》確定滲透測(cè)試范圍(域名/IP/其他信息)《滲透測(cè)試初稿》確定滲透測(cè)試范圍(域名/IP/其他信息)研究/修改滲透測(cè)試方案（數(shù)據(jù)備份與風(fēng)險(xiǎn)規(guī)避）研究/修改滲透測(cè)試方案（數(shù)據(jù)備份與風(fēng)險(xiǎn)規(guī)避）準(zhǔn)備階段N準(zhǔn)備階段N是否通過是否通過YY《滲透測(cè)試方案》《滲透測(cè)試方案》滲透測(cè)試報(bào)備滲透測(cè)試報(bào)備信息采集信息采集應(yīng)用層網(wǎng)絡(luò)層系統(tǒng)層應(yīng)用層網(wǎng)絡(luò)層系統(tǒng)層應(yīng)用平臺(tái)信息域名信息端口掃描應(yīng)用平臺(tái)信息域名信息端口掃描版本信息網(wǎng)絡(luò)架構(gòu)信息補(bǔ)丁掃描版本信息網(wǎng)絡(luò)架構(gòu)信息補(bǔ)丁掃描Google信息Google信息應(yīng)用漏洞滲透網(wǎng)絡(luò)漏洞滲透系統(tǒng)漏洞滲透漏洞基礎(chǔ)庫應(yīng)用漏洞滲透網(wǎng)絡(luò)漏洞滲透系統(tǒng)漏洞滲透漏洞基礎(chǔ)庫NN存在漏洞存在漏洞YY獲取訪問權(quán)限獲取訪問權(quán)限提升控制權(quán)限提升控制權(quán)限滲透階段滲透階段擴(kuò)充資源遠(yuǎn)程控制信息截取擴(kuò)充資源遠(yuǎn)程控制信息截取保存數(shù)據(jù)保存數(shù)據(jù)《信息采集記錄》《信息采集記錄》《滲透測(cè)試記錄》原始數(shù)據(jù)提交《滲透測(cè)試報(bào)告》提交《滲透測(cè)試報(bào)告》NN是否加固是否加固YY加固跟蹤配合技術(shù)創(chuàng)新群加固加固階段加固跟蹤配合技術(shù)創(chuàng)新群加固加固階段完成加固N(yùn)完成加固N(yùn)提交《滲透復(fù)查報(bào)告》結(jié)束Y提交《滲透復(fù)查報(bào)告》結(jié)束Y2.3?滲透測(cè)試的風(fēng)險(xiǎn)規(guī)避?在滲透測(cè)試過程中，雖然會(huì)盡量避免做影響正常業(yè)務(wù)運(yùn)行的操作，也會(huì)實(shí)施風(fēng)險(xiǎn)規(guī)避的計(jì)策，但是由于測(cè)試過程變化多端，滲透測(cè)試服務(wù)仍然有可能對(duì)網(wǎng)絡(luò)、系統(tǒng)運(yùn)行造成一定不同程度的影響，嚴(yán)重的后果是可能造成服務(wù)停止，甚至是宕機(jī)。比如滲透人員實(shí)施系統(tǒng)權(quán)限提升操作時(shí)，突遇系統(tǒng)停電，再次重啟時(shí)可能會(huì)出現(xiàn)系統(tǒng)無法啟動(dòng)的故障等。?因此，在滲透測(cè)試前與開發(fā)和運(yùn)維詳細(xì)討論滲透方案，并采取如下多條策略來規(guī)避滲透測(cè)試帶來的風(fēng)險(xiǎn)：（1）先從測(cè)試環(huán)境開始測(cè)試，通過測(cè)試環(huán)境發(fā)現(xiàn)生產(chǎn)環(huán)境的問題。測(cè)試環(huán)境發(fā)生問題不會(huì)影響到業(yè)務(wù)。（2）時(shí)間策略：?為減輕滲透測(cè)試造成的壓力和預(yù)備風(fēng)險(xiǎn)排除時(shí)間，一般的安排測(cè)試時(shí)間在業(yè)務(wù)量不高的時(shí)間段。?（3）測(cè)試策略：?為了防范測(cè)試導(dǎo)致業(yè)務(wù)的中斷，可以不做一些拒絕服務(wù)類的測(cè)試。非常重要的系統(tǒng)不建議做深入的測(cè)試，避免意外崩潰而造成不可挽回的損失；具體測(cè)試過程中，最終結(jié)果可以由測(cè)試人員做推測(cè)，而不實(shí)施危險(xiǎn)的操作步驟加以驗(yàn)證等。?（4）備份策略：?為防范滲透過程中的異常問題，測(cè)試的目標(biāo)系統(tǒng)需要事先做一個(gè)完整的數(shù)據(jù)備份，以便在問題發(fā)生后能及時(shí)恢復(fù)工作。?對(duì)于核心業(yè)務(wù)系統(tǒng)等不可接受可能風(fēng)險(xiǎn)的系統(tǒng)的測(cè)試，可以采取對(duì)目標(biāo)副本進(jìn)行滲透的方式加以實(shí)施。這樣就需要完整的復(fù)制目標(biāo)系統(tǒng)的環(huán)境：硬件平臺(tái)、操作系統(tǒng)、應(yīng)用服務(wù)、程序軟件、業(yè)務(wù)訪問等；然后對(duì)該副本再進(jìn)行滲透測(cè)試。?（5）應(yīng)急策略：?測(cè)試過程中，如果目標(biāo)系統(tǒng)出現(xiàn)無響應(yīng)、中斷或者崩潰等情況，應(yīng)立即中止?jié)B透測(cè)試，并配合開發(fā)和運(yùn)維進(jìn)行修復(fù)處理等。在確認(rèn)問題、修復(fù)系統(tǒng)、防范此故障再重演后，經(jīng)系統(tǒng)負(fù)責(zé)人同意才能繼續(xù)進(jìn)行其余的測(cè)試。（6）溝通策略：?測(cè)試過程中，確定測(cè)試人員和開發(fā)和運(yùn)維人員的聯(lián)系方式，便于及時(shí)溝通并解決工程中的難點(diǎn)。?2.4?滲透測(cè)試的收益?滲透測(cè)試是站在實(shí)戰(zhàn)角度對(duì)目標(biāo)系統(tǒng)進(jìn)行的安全評(píng)估，可以讓公司的相關(guān)人員直觀的了解到自己網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用中隱含的漏洞和危害發(fā)生時(shí)可能導(dǎo)致的損失。?通過我們的滲透測(cè)試，可以獲得如下增益：??安全缺陷：?從黑客的角度發(fā)現(xiàn)公司安全體系中的漏洞（隱含缺陷），協(xié)助公司明確目前降低風(fēng)險(xiǎn)的措施，為下一步的安全策略調(diào)整指明了方向。?測(cè)試報(bào)告：?能幫助公司以實(shí)際案例的形式來說明目前安全現(xiàn)狀，從而增加公司對(duì)信息安全的認(rèn)知度，提升公司人員的風(fēng)險(xiǎn)危機(jī)意識(shí)，從而實(shí)現(xiàn)內(nèi)部安全等級(jí)的整體提升。?交互式滲透測(cè)試：?滲透測(cè)試人員在約定的范圍、時(shí)間內(nèi)實(shí)施測(cè)試，而公司的其他人員可以與此同時(shí)進(jìn)行相關(guān)的檢測(cè)監(jiān)控工作，測(cè)試自己能不能發(fā)現(xiàn)正在進(jìn)行的滲透測(cè)試過程，從中真實(shí)的評(píng)估自己的檢測(cè)預(yù)警能力。?2.5?滲透工具介紹?滲透測(cè)試人員模擬黑客入侵攻擊的過程中使用的是操作系統(tǒng)自帶網(wǎng)絡(luò)應(yīng)用、管理和診斷工具、黑客可以在網(wǎng)絡(luò)上免費(fèi)下載的掃描器、遠(yuǎn)程入侵代碼和本地提升權(quán)限代碼以及自主開發(fā)的安全掃描工具。?這些工具經(jīng)過全球數(shù)以萬計(jì)的程序員、網(wǎng)絡(luò)管理員、安全專家以及黑客的測(cè)試和實(shí)際應(yīng)用，在技術(shù)上已經(jīng)非常成熟，實(shí)現(xiàn)了網(wǎng)絡(luò)檢查和安全測(cè)試的高度可控性，能夠根據(jù)使用者的實(shí)際要求進(jìn)行有針對(duì)性的測(cè)試。但是安全工具本身也是一把雙刃劍，為了做到萬無一失，將針對(duì)系統(tǒng)可能出現(xiàn)的不穩(wěn)定現(xiàn)象提出相應(yīng)對(duì)策，以確保服務(wù)器和網(wǎng)絡(luò)設(shè)備在進(jìn)行滲透測(cè)試的過程中保持在可信狀態(tài)。?2.5.1?系統(tǒng)自帶工具?以下列出了主要應(yīng)用到的系統(tǒng)自帶網(wǎng)絡(luò)應(yīng)用、管理和診斷工具，滲透測(cè)試工程師將用到但不限于只使用以下系統(tǒng)命令進(jìn)行滲透測(cè)試。工具名稱風(fēng)險(xiǎn)等級(jí)獲取途徑主要用途存在風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)控制方法Ping無系統(tǒng)自帶獲取主機(jī)信息無無Telnet無系統(tǒng)自帶傳輸文件無無ftp無系統(tǒng)自帶獲取網(wǎng)絡(luò)信息無無Tracert無系統(tǒng)自帶建立連接無無netuse無系統(tǒng)自帶查看系統(tǒng)用戶無無echo無系統(tǒng)自帶文件輸出無無nslookup無系統(tǒng)自帶獲取主機(jī)信息無無Edge無系統(tǒng)自帶獲取web信息無無2.5.2?自由軟件和滲透測(cè)試工具?以下列出了滲透測(cè)試中常用到的網(wǎng)絡(luò)掃描工具、網(wǎng)絡(luò)管理軟件等工具，這些工具都是網(wǎng)絡(luò)上的免費(fèi)軟件。某某滲透測(cè)試工程師將可能利用到但是不限于利用以下工具。遠(yuǎn)程溢出代碼和本地溢出代碼需要根據(jù)具體系統(tǒng)的版本和漏洞情況來選擇，由于種類繁雜并且沒有代表性，在這里不會(huì)一一列出。工具名稱風(fēng)險(xiǎn)等級(jí)獲取途徑主要用途存在風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)控制方法Nmap無獲取主機(jī)開發(fā)的服務(wù)、端口信息無無Nessus低對(duì)主機(jī)進(jìn)行漏洞掃描可能造成網(wǎng)絡(luò)資源占用如果主機(jī)負(fù)載過高，停止掃描Retina低對(duì)主機(jī)進(jìn)行漏洞掃描可能造成網(wǎng)絡(luò)資源占用如果主機(jī)負(fù)載過高，停止掃描nc無端口連接工具無無Chrome無下載安裝獲得web信息無無Burpsuit無下載安裝攻擊web應(yīng)用集成平臺(tái)無無Wireshark無下載安裝用于抓取流量無無3．項(xiàng)目實(shí)施計(jì)劃?根據(jù)項(xiàng)目服務(wù)目標(biāo)和項(xiàng)目服務(wù)內(nèi)容，可將整個(gè)項(xiàng)目包括項(xiàng)目溝通、方案制定、信息收集、測(cè)試實(shí)施、報(bào)告輸出和安全復(fù)查，項(xiàng)目實(shí)施計(jì)劃表如下：項(xiàng)目階段實(shí)施內(nèi)容啟動(dòng)階段項(xiàng)目啟動(dòng)協(xié)調(diào)會(huì)實(shí)施階段方案制定根據(jù)信息系統(tǒng)實(shí)際情況制定詳細(xì)測(cè)試方案、測(cè)試方法以及測(cè)試工具的準(zhǔn)備。信息收集利用公開域查詢、掃描、嗅探以及社會(huì)工程學(xué)等手段收集信息系統(tǒng)大量信息，從中提取有用信息；或者運(yùn)維組提供資產(chǎn)信息。測(cè)試實(shí)施對(duì)前期收集的敏感或者漏洞信息進(jìn)行利用，控制部分服務(wù)器；然后利用被控制的服務(wù)器作為跳板，繞過安全設(shè)備的限制，對(duì)內(nèi)網(wǎng)進(jìn)行滲透。報(bào)告輸出對(duì)前期的工作和測(cè)試成果進(jìn)行匯總，并制定安全修復(fù)建議，最后編寫相應(yīng)報(bào)告。安全復(fù)查修復(fù)完成后對(duì)修復(fù)結(jié)果進(jìn)行復(fù)查，檢測(cè)修復(fù)效果，并完成復(fù)查報(bào)告。驗(yàn)收階段項(xiàng)目驗(yàn)收?qǐng)?bào)告會(huì)3.1?方案制定?滲透工程師根據(jù)信息系統(tǒng)的規(guī)模和實(shí)際業(yè)務(wù)情況制定詳細(xì)的滲透測(cè)試方案，包括測(cè)試方法的選擇、測(cè)試工具的準(zhǔn)備已經(jīng)分析測(cè)試過程中可能帶來的風(fēng)險(xiǎn)分析和相應(yīng)的風(fēng)險(xiǎn)規(guī)避方法。3.2?信息收集?在信息收集階段的測(cè)試方法、測(cè)試內(nèi)容以及可能存在的風(fēng)險(xiǎn)情況如下表所示：測(cè)試方法測(cè)試內(nèi)容風(fēng)險(xiǎn)等級(jí)存在風(fēng)險(xiǎn)風(fēng)險(xiǎn)控制方法公開域信息收集通過whois、nslookup、baidu、google等方法搜索公司信息系統(tǒng)的公開域信息。無無無掃描對(duì)公司信息系統(tǒng)暴露在互聯(lián)網(wǎng)的網(wǎng)絡(luò)、系統(tǒng)、主機(jī)和應(yīng)用程序進(jìn)行遠(yuǎn)程漏洞掃描，并對(duì)掃描結(jié)果進(jìn)行分析。低特別是對(duì)應(yīng)用程序的掃描會(huì)使用海量的測(cè)試用例進(jìn)行測(cè)試，可能消耗服務(wù)器一定性能。終止掃描社會(huì)工程學(xué)利用社會(huì)工程學(xué)原理獲取信息系統(tǒng)敏感信息無無無3.3?測(cè)試實(shí)施?測(cè)試實(shí)施階段主要分為兩個(gè)階段。在第一階段，滲透測(cè)試人員根據(jù)前期收集的信息對(duì)公司直接暴露在互聯(lián)網(wǎng)系統(tǒng)進(jìn)行測(cè)試，利用目前前沿的入侵技術(shù)控制部分目標(biāo)系統(tǒng)。第一階段完成后，滲透測(cè)試人員與開發(fā)和運(yùn)維相關(guān)人員進(jìn)行溝通。第一階段的測(cè)試對(duì)象和測(cè)試方法以及可能出現(xiàn)的風(fēng)險(xiǎn)情況如下表：測(cè)試對(duì)象測(cè)試方案風(fēng)險(xiǎn)等級(jí)存在風(fēng)險(xiǎn)風(fēng)險(xiǎn)控制方法網(wǎng)絡(luò)設(shè)備口令破解、嗅探中口令破解可能會(huì)消耗服務(wù)器性能停止破解遠(yuǎn)程溢出類高可能出現(xiàn)未知錯(cuò)誤而宕機(jī)重啟設(shè)備協(xié)議攻擊，如路由欺騙、二層攻擊等高可能導(dǎo)致路由錯(cuò)誤，導(dǎo)致正常路由不可達(dá)重啟設(shè)備無線網(wǎng)絡(luò)攻擊中口令破解可能會(huì)消耗服務(wù)器性能停止破解VPN攻擊中口令破解可能會(huì)消耗服務(wù)器性能停止破解WEB統(tǒng)層漏洞，如口令破解、嗅探、遠(yuǎn)程溢出以及已知木馬后門探測(cè)和利用等中口令破解可能會(huì)消耗服務(wù)器性能停止破解WEB系統(tǒng)認(rèn)證授權(quán)類，包括暴力攻擊、認(rèn)證不充分、會(huì)話定置、會(huì)話期限不充分、憑證/會(huì)話預(yù)測(cè)和授權(quán)不充分等中口令破解可能會(huì)消耗服務(wù)器性能停止破解WEB系統(tǒng)命令執(zhí)行類，包括LDAP注入、SSI注入、SQL注入、Xpath注入、操作系統(tǒng)命令、格式字符串攻擊和緩沖區(qū)溢出等高注入類測(cè)試可能導(dǎo)致頁面或數(shù)據(jù)篡改測(cè)試時(shí)實(shí)時(shí)溝通，對(duì)于可能出現(xiàn)篡改時(shí)事先做好數(shù)據(jù)備份，并制定數(shù)據(jù)恢復(fù)方案WEB系統(tǒng)邏輯攻擊類，包括功能濫用和拒絕服務(wù)等高拒絕服務(wù)可能導(dǎo)致服務(wù)器反應(yīng)緩慢停止測(cè)試WEB系統(tǒng)客戶端攻擊類，包括跨站點(diǎn)腳本編制和內(nèi)容電子欺騙等??高對(duì)服務(wù)器無影響無WEB系統(tǒng)信息泄露類，包括可預(yù)測(cè)資源定位、路徑遍歷、目錄索引和信息泄露等中???無無APPAPP脫殼低無無經(jīng)過第一階段的測(cè)試，如果控制部分服務(wù)器后則進(jìn)入第二階段的測(cè)試；如果第一階段測(cè)試的目標(biāo)服務(wù)器處于較安全的狀態(tài)，測(cè)試人員未能控制部分部分服務(wù)器，則選取一臺(tái)外網(wǎng)服務(wù)器，假設(shè)已被控制，再進(jìn)入第二階段測(cè)試。?第二階段的測(cè)試對(duì)象和測(cè)試方法以及可能出現(xiàn)的風(fēng)險(xiǎn)情況如下表：測(cè)試對(duì)象測(cè)試方案風(fēng)險(xiǎn)等級(jí)存在風(fēng)險(xiǎn)風(fēng)險(xiǎn)控制方法內(nèi)網(wǎng)服務(wù)器口令破解、嗅探中口令破解可能會(huì)消耗服務(wù)器性能；網(wǎng)絡(luò)嗅探可能出現(xiàn)短暫斷網(wǎng)現(xiàn)象?停止破解或者停止嗅探遠(yuǎn)程溢出類高可能出現(xiàn)未知錯(cuò)誤而宕機(jī)重啟服務(wù)器內(nèi)網(wǎng)客戶端口令破解、嗅探中口令破解可能會(huì)影響網(wǎng)絡(luò)性能；網(wǎng)絡(luò)嗅探可能出現(xiàn)短暫斷網(wǎng)現(xiàn)象停止破解或者停止嗅探遠(yuǎn)程溢出類高可能出現(xiàn)未知錯(cuò)誤而宕機(jī)重啟客戶端3.4?報(bào)告