軟件安全滲透測試概述課件

1、 軟件安全滲透測試概述第1頁，共15頁。概念滲透測試是由受信任的第三方進(jìn)行的一種評估網(wǎng)絡(luò)安全的活動，它是一個(gè)通過各種手段攻擊企業(yè)網(wǎng)絡(luò)以找出存在于系統(tǒng)中的漏洞，進(jìn)而給出存在于企業(yè)網(wǎng)絡(luò)中的風(fēng)險(xiǎn)的過程。通過模擬現(xiàn)實(shí)的網(wǎng)絡(luò)攻擊，滲透測試證實(shí)了惡意攻擊者有可能獲取或破壞企業(yè)的數(shù)據(jù)資產(chǎn)。8.1.1 滲透測試的概念第2頁，共15頁。黑客（Hacker）黑客這個(gè)術(shù)語的現(xiàn)代意義，起源于1960年的麻省理工學(xué)院技術(shù)模型鐵路俱樂部。這個(gè)俱樂部設(shè)計(jì)比例較大、細(xì)節(jié)逼真的火車模型，而“黑客”被用來稱呼那些發(fā)現(xiàn)了聰明技巧的俱樂部成員。滲透測試人員是一個(gè)有道德的黑客，他被雇傭來尋找公司網(wǎng)絡(luò)的漏洞，以便評估數(shù)據(jù)安全特性。攻入網(wǎng)

2、絡(luò)的道德黑客小組被稱為老虎隊(duì)。老虎隊(duì)是一組程序員或用戶，他們自愿或被雇傭來發(fā)現(xiàn)新開發(fā)的軟件或網(wǎng)絡(luò)系統(tǒng)中的錯(cuò)誤和安全漏洞，或者弄清原有計(jì)算機(jī)網(wǎng)絡(luò)的安全被瓦解的原因。 刪掉后面的“老虎部隊(duì)”的內(nèi)容，與本書無關(guān)，掩蓋摘抄痕跡。8.1.1 滲透測試的概念第3頁，共15頁。滲透測試人員有道德的黑客；雇傭來尋找公司網(wǎng)絡(luò)的漏洞，以便評估數(shù)據(jù)安全特性；一組程序員或用戶；8.1.1 滲透測試的概念第4頁，共15頁。滲透測試類型黑盒測試黑盒測試：滲透者完全處于對系統(tǒng)一無所知的狀態(tài)，通常這類型測試，最初的信息獲取來自于DNS、Web、Email及各種公開對外的服務(wù)器。重新給出“黑盒測試”定義，參考：白盒測試測試者可

3、以通過正常渠道向被測單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)?、員工資料甚至網(wǎng)站或其它程序的代碼片斷，也能夠與單位的其它員工（銷售、程序員、管理者）進(jìn)行面對面的溝通。這類測試的目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作?；液袦y試也稱作隱秘測試。它的“隱蔽”性是對被測單位而言的。通常情況下，接受滲透測試的單位網(wǎng)絡(luò)管理部門會收到通知：在某些時(shí)段進(jìn)行測試。因此能夠監(jiān)測網(wǎng)絡(luò)中出現(xiàn)的變化。8.1.1 滲透測試的概念第5頁，共15頁。滲透測試的對象漏洞：能夠用來破壞安全策略的弱點(diǎn)、設(shè)計(jì)或?qū)崿F(xiàn)錯(cuò)誤。威脅：能夠引起破壞的潛在安全侵害。破壞三方面特性：機(jī)密性、完整性、可用性。8.1.1 滲透測試的概念第6頁，共15頁。滲透測試項(xiàng)目步

4、驟8.1.1 滲透測試的概念第7頁，共15頁。滲透測試階段8.1.2 滲透測試階段劃分第8頁，共15頁。8.2 滲透測試執(zhí)行過程第9頁，共15頁。各階段的具體工作內(nèi)容偵察收集目標(biāo)網(wǎng)絡(luò)信息的最初階段掃描查詢活動系統(tǒng)，從而抓取網(wǎng)絡(luò)共享、用戶及特定應(yīng)用程序信息的過程獲取訪問實(shí)施滲透過程維持訪問測試者將后門程序放入到被利用系統(tǒng)中，以便未來使用擦除證據(jù)刪除日志文件項(xiàng)、擦除進(jìn)入系統(tǒng)痕跡的過程8.2.1 滲透測試各階段的具體工作內(nèi)容第10頁，共15頁。滲透測試執(zhí)行的內(nèi)容時(shí)間選擇為減輕滲透測試對網(wǎng)絡(luò)和主機(jī)的影響，滲透測試時(shí)間盡量安排在業(yè)務(wù)量不大的時(shí)段或晚上。策略選擇為防止?jié)B透測試造成網(wǎng)絡(luò)和主機(jī)的業(yè)務(wù)中斷，在滲

5、透測試中不使用含有拒絕服務(wù)的測試策略。授權(quán)滲透測試的監(jiān)測手段在評估過程中，由于滲透測試的特殊性，用戶可以要求對整體測試流程進(jìn)行監(jiān)控。8.2.2 滲透測試的執(zhí)行第11頁，共15頁。滲透測試執(zhí)行的內(nèi)容（續(xù)）測試方自控由滲透測試方對本次測透測試過程中的三方面數(shù)據(jù)進(jìn)行完整記錄：操作、響應(yīng)、分析，最終形成完整有效的滲透測試報(bào)告提交給用戶。用戶監(jiān)控全程監(jiān)控、擇要監(jiān)控、主機(jī)監(jiān)控、指定攻擊源。保守策略選擇保守策略選擇：對于不能接受任何可能風(fēng)險(xiǎn)的主機(jī)系統(tǒng)，如銀行票據(jù)核查系統(tǒng)，電力調(diào)度系統(tǒng)等，可選擇如下保守策略：復(fù)制一份目標(biāo)環(huán)境，包括硬件平臺，操作系統(tǒng)，數(shù)據(jù)庫管理系統(tǒng)，應(yīng)用軟件等。 對目標(biāo)的副本進(jìn)行滲透測試8.2.2 滲透測試的執(zhí)行第12頁，共15頁。意義及要點(diǎn)一份有價(jià)值的滲透測試報(bào)告，能夠幫助IT管理者迅速定位組織中的薄弱環(huán)節(jié)，用最少的代價(jià)規(guī)避可能遇到的風(fēng)險(xiǎn)。滲透測試報(bào)告重在精確、簡潔。8.2.3 編寫滲透測試報(bào)告第13頁，共15頁。必要性協(xié)助用戶發(fā)現(xiàn)組織中的安全最短板，協(xié)助企業(yè)有效的了解目前降低風(fēng)險(xiǎn)的初始任務(wù)；一份文檔齊全有效的滲透測試報(bào)告有助于組織的IT管理者明目前安全現(xiàn)狀，從而增強(qiáng)安全的認(rèn)知程度，甚至提高組織在安全方面的預(yù)算； 滲