文档介绍:: .
渗透测试(PenetrationTest
1概念
渗透测试是通过模拟恶意黑客的攻击方法,来评估和建议。
* AcunetixWebVulnerabilityScanner网络***工具,通过网络爬虫测试你的网站安全,检测流行的攻击方式等,它会自动检查您的网页程序漏洞,例如SQL注入、跨网站脚本和验证页面弱***。
* Weblnspect用于网络应用程序扫描工具。
* thc-orakelOracle测试工具
系统备份和恢复措施:虽然渗透测试采用的是可控制、非破坏性质方法,但在
实际的渗透测试过程中可能会发生不可预知的风险,所以在渗透测试前要提醒用
户进行渗透测试前要进行系统的备份。防止在出现问题时,可以及时的恢复。
风险规避:主要对渗透测试中可能发生的风险进行说明,并针对这些风险我们将采取哪些手段进行有效的控制。譬如渗透测试的扫描不采用带有拒绝服务的策略、渗透测试安排在业务低峰期进行等。值得提醒的是在渗透测试过程中,如果发现被评估系统发生服务停止或者服务器宕机的现象,应立即停止测试,并联系客户
的管理人员进行原因的分析,在查明原因后方可继续进行测试。
7渗透测试报告
渗透测试报告是提交给用户的最终成果,渗透测试报告应将你渗透过程中采
用的方法和手段进行说明,即漏洞的发现-->漏洞的利用-->获取权限-->
权限的提升等。报告的最后应给出漏洞的加固建议,值得注意的是加固建议的可操作性。譬如SQL注入,对于懂得SQL注入的人来说,你和他说过滤相关敏感函数、进行输入输出验证等,他就会明白,而对于用户来说,应该更详细,最好能详细到每一步的操作步骤。关于渗透测试报告,根据自己的经验总结如下几点:1、渗透测试报告应考虑报告阅读者的技术层次,报告应力求通俗易懂,但又不
能过多的透露详细的技术细节。前面已经提过,渗透测试报告不是***教程,我们只需将发现漏洞的过程以及漏洞的危害阐述清楚即可,而不是将
每一步使用了哪些方法甚至命令都详细的罗列出来。
2、报告应注重用户关心的方面。很多用户关心的是数据的安全,而对于系统的隐患并不会有太多的关注。譬如一个财务系统,获取了财务数据远比获取系统权限来得有说服力。
3、渗透测试报告应体现你的工作成果。这里的成果并不是你获取了哪些数据或者系统权限,而是本次渗透测试你到底做了哪些工作?因为渗透测试是靠运气和技术的,并不是每次渗透都能获得结果。在我们没有获得任何结果的情况下,我们怎样撰写报告?我们不可能只写一句话“本次渗透测试没有发现任何问题!",这会让用户有种被欺骗的感觉!他们会认为自己花的钱没有体现出价值。所以我们必须要在渗透测试报告中说明我们尝试了哪些方法和手段?譬如使用了SQL注入、跨站、Sniffer等方法,但是没有发现问题,最后定论用户的系统是安全的。这样会让用户觉得自己花钱来请你做渗透测试是值得的,毕竟你做这么多的工作。这一点是比较重要的,因为在实际的
评估项目中,渗透没有结果的情况,是经常发生的,渗透测试人员应学会在渗透没有获得任何结果的情况下,撰写渗透测试报告。
安全加固,是参考渗透与评估结果,对存在安全风险的被评估系统,通过一系