safedog渗透测试服务白皮书.pdf

1、渗透测试服务白皮书目录1.渗透测试服务是什么.32.为何需要渗透测试服务？.33.渗透测试服务会有什么收益？.34.渗透测试与漏洞扫描有何差异？.45.自动测试与人工测试有何差异？.56.渗透测试有无相关规范？.67.渗透测试执行流程是怎样的？.78.渗透测试的内容有那些？.89.如何避免渗透测试的风险.1010.其他渗透测试常见问答.111.渗透测试服务是什么渗透测试服务是什么渗透测试服务(Penetration Test,PT)是委托信任的第三方专业安全公司，从黑客的角度出发，模拟攻击者的思考方式对企业进行各种入侵攻击测试。渗透测试执行期间，网络安全专家会以黑客的思维尝试入侵该企业的网站、

2、网络系统、存储设备等软硬件，找出各种潜在的漏洞，以验证企业的设备与资料是否可被破坏或窃取，同时也评估信息系统与硬件的全盘系统架构，确认其安全性是否有待加强。渗透测试结束后，专家会列出详细的攻击手法与步骤，提供完整的修补建议并协助企业修补漏洞，让企业能尽速降低遭受入侵的风险。漏洞经过企业修补完毕后，安全团队会再次确认是否可使用其他手法绕过防护，以确保企业不会因为同样的问题遭受损失。2.为何需要渗透测试服务？为何需要渗透测试服务？黑客攻击就像生活中的病毒，随时随地都有可能接触到并且遭受感染。而渗透测试如同健康检查，若企业能定时执行深层的安全体检，面对各种攻击时即可提高存活的机率。若企业、网站有机密

3、资料外泄、用户资料外泄等担忧，或是开发完毕的新系统需要上线，又或者开发中的系统需要做局部安全测试，都适合渗透测试进行安全检测。在面对网络上的众多黑客之前，先行做好防御措施，才能保证系统的每个环节都经得起黑客的挑战，进而巩固客户对企业的信赖。3.渗透测试服务会有什么收益？渗透测试服务会有什么收益？通过渗透测试，客户获得的收益有：1、客户可以从攻击角度了解系统是否会存在一些隐性的安全漏洞和风险点；2、从客户收益的角度来说，特别是在进行安全项目之前进行渗透测试，可以对信息系统的安全性得到较深的感性认知，有助于后续的安全建设；3、在进行了渗透测试后，可以用于验证经过安全保护后的网络是否真实的达到了预定

4、安全目标、遵循了安全策略。4.渗透测试与漏洞扫描有何差异？渗透测试与漏洞扫描有何差异？渗透测试需由经验丰富的安全专家手动进行，测试过程中专家会利用不同的漏洞进行组合式攻击，验证是否有任何方式一种方式可突破当前系统的防御。渗透测试为求仔细，通常需要费时多天才能完成，因此耗费的人力成本较高。漏洞扫描可由自动化扫描软件在较短的时间内执行完毕，因此时间与金钱成本相对较低。但是漏洞扫描仅能检测既有的漏洞，无法及时检测出最新的安全漏洞并给予修补建议，同时对于漏洞的误判率也较高。目前渗透测试为求完整，通常已将漏洞扫描包含在内。详细的关系图与比较表如下所示：渗透测试 Penetration Test漏洞扫描

5、Vulnerability Assessment执行方式专业技术顾问手动进行执行方式自动化工具门槛高，测试者需要经验与专业知识门槛低，工具安装完毕即可执行流量低门槛低，工具安装完毕即可执行误判率低，专家可验证该漏洞的利用方式与价值误报率高，工具无法确认该漏洞是否可被利用创造力高，专家可能在检测过程中找到无人发现的新漏洞创造力低，有低价的商业工具或免费工具报告内容报告內容专家会列出详细攻击手法，并提供定制化的专业修补建议仅陈列漏洞报表，通常不包含修补建议成本高，通常金额是弱点扫描的数倍成本低，有低价的商业工具或免费工具5.自动测试与人工测试有何差异？自动测试与人工测试有何差异？自动测试与人工测试

6、的差异主要有下列几项：即时性即时性自动测试的检测规则需要定期更新，若软件尚未更新或已过期，就无法检测出最新的漏洞。在安全专家的人工测试之下，则不会有此状况发生。准确率准确率自动测试的结果通常有为数不少的误报，因此需要有安全专家验证渗透测试报告的内容。虽然某些渗透测试软件的检测准确率有一定水准，但通常其价格也较贵。而人工渗透测试所找出来的弱点都是 100%确定可利用的，不会有误报的状况。检测深度检测深度自动测试仅能依照既有规则对 IT 系统进行检测，无法将检测到的漏洞加以组合利用。而具备黑客思维的安全专家，则可利用多个漏洞进行组合式攻击，往往会发现能造成重大危害的潜在漏洞。商业逻辑判断商业逻辑判

7、断程序无法判断逻辑漏洞。以下图内容为例，企业在商城出售价格为 4488 的一部手机（如图 1），然而攻击者可能会通过修改数据包的方法把控制价格的参数赋值为 1 元。如果能修改成功改（如图 2），则可能会对企业造成金钱上的损失。这类型的逻辑漏洞，只能靠人工的方式找出，而无法用自动化渗透测试工具扫描。图 1：商城出售价格为 4488 的手机图 2：黑客篡改价格参数 就可以使用一元来付订单6.渗透测试有无相关规范？渗透测试有无相关规范？检测的服务项目会包括网络扫描、漏洞扫描、渗透测试三大层面，并且遵循下列国际标准：OWASP(Open WebApplication Security Project)

8、网站应用程式安全测试清单第三版https:/www.owasp.org/images/5/56/OWASP_Testing_Guide_v3.pdfOSSTMM(Open Source Security Testing Methodology Manual)开源安全测试方法指南第三版http:/www.isecom.org/research/osstmm.htmlNIST SP 800-115(National Institute of Standards and Technology-SpecialPublication 800-115)美国国家标准与技术研究院-系统安全测试与评估指南htt

9、p:/csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf7.渗透测试执行流程是怎样的？渗透测试执行流程是怎样的？图 3：渗透测试流程图确认项目需求确认项目需求1、启动项目起始会议，了解客户需求2、确认作业方式与执行规范3、签署合约取得合法渗透授权信息搜集与分析规划信息搜集与分析规划1、搜集该目标之公开信息2、分析与规划渗透方式（包含 OWASP 与 OSSTMM 等国际规范）3、准备对应之渗透测试工具与设备执行渗透测试执行渗透测试1、测试信息泄漏测试是否有敏感资料或系统信息泄漏2、漏洞测试扫描该目标已知漏洞3、建立渗透途径根据已搜

10、集信息尝试各项渗透方式4、安全漏洞渗透操作系统安全漏洞渗透应用软件安全漏洞渗透网站逻辑漏洞渗透密码破解5、权限提升尝试攻击与扩张权限针对特定漏洞攻击试图取得系統更高权限开发定制化滲透工具攻击特定漏洞渗透內网其他主机（需取得客戶授权）6、渗透测试报告评估各漏洞潜在危险、危害程度编写各漏洞修复方式提交测试结果报告提供客戶漏洞修复过程中的顾问咨询拟定定期执行安全检查计划7、简报与文件交付针对项目结果进行简报并交付相关文件8.渗透测试的内容有那些？渗透测试的内容有那些？网络层渗透测试网络层渗透测试网络设备渗透测试：针对客户网络系统中采用的各种防火墙、入侵检测系统、网络设备进行渗透测试。网络安全策略有效

11、性测试：针对客户对于网络系统中采取的各种安全防护策略的有效性进行检测。系统层渗透测试系统层渗透测试操作系统渗透：主要针对客户网络系统中主机操作系统进行渗透，如对WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI 等操作系统本身进行渗透测试。数据库系统渗透：针对客户网络系统中数据库系统进行渗透，如采用的MS-SQL、ORACLE、MYSQL、INFORMIX、SYBASE、DB2 等数据库应用系统进行渗透测试。应用层渗透测试应用层渗透测试针对客户面向用户提供的各种应用进行渗透测试，如 ASP、CGI、JSP、PHP等组成的 WWW 应用、邮件系统、FTP 服务系统、远程维护管理等

12、。服务项目服务内容检测项远程渗透网络层面渗透网络协议漏洞分析缓存区溢出（DNS53）结构安全边界完整性检查访问控制入侵防范网络设备防护操作系统、数据库系统渗透端口安全测试操作系统溢出漏洞身份鉴别拒绝服务本地安全验证绕过测试数据库功能滥用应用系统渗透信息收集端口测试权限提升旁注溢出测试跨站攻击SQL 注入Web 应用测试敏感信息泄露中间件脆弱性测试第三方软件误配置挂马文件检测漏洞代码利用认证机制分析内网渗透测试系统补丁默认配置薄弱口令访问控制网段隔离9.如何避免渗透测试的风险如何避免渗透测试的风险系统备份和恢复系统备份和恢复为了防止在测试过程中出现导致系统无法使用的一场情况，应该对所有测试系统实

13、施之前做一次完整的备份，以便在系统在测试过程中发生灾难后及时恢复。在测试过程中，如果发生由于测试导致的系统无法使用，应该及时中止测试，对系统进行恢复操作，并与客户和相关开发人员进行情况分析。在找到原因之后，根据分析结果调整测试方式。系统检测系统检测在测试过程中，客户可以要求通过参与测试的方式对渗透测试进行监控。（可能提高渗透测试的成本）客户参与测试的方式有以下：全程监控：和测试人员一起参与整个测试过程，并对所有测试目标进行操作记录和数据记录，全程检测需要记录大量数据，可能会影响测试速度。部分监控：只监控对部分关键设备或者主机的系统状态，不与测试人员参与测试。备份测试对于不能出现任何中断的系统（

14、例如银行系统等），应该采用备份测试方式，即复制一套测试系统，包括网络环境、主机系统、应用系统、数据库等，对复制的系统进行渗透测试。10.其他渗透测试常见问答其他渗透测试常见问答渗透测试有什么前期准备吗？渗透测试有什么前期准备吗？我司与委托者会沟通测试执行时间，基本上以上班时间为准，以便发现重大漏洞时可请企业开发人员及时修补。同时也会告知测试来源 IP，以便企业分辨测试来源是否合法，避免同时遭到入侵攻击而未发觉。渗透测试需要多久的时间？渗透测试需要多久的时间？根据不同系统的规模大小而订，通常单一网站完成初测报告需要一个星期时间，加上后期企业修补到复测，整个项目周期可能需要一个月的时间。渗透测试包

15、含社会工程学与渗透测试包含社会工程学与 DDoS 吗？吗？为避免影响企业正常营运，除非客户特别要求，否则渗透测试不会包含社会工程学与 DDoS。渗透测试过程中会不会影响我的其他主机？渗透测试过程中会不会影响我的其他主机？若无取得合法授权，我司不会对授权目标之外的主机进行检测。渗透测试所取得的信息是否容易外泄？渗透测试所取得的信息是否容易外泄？我司安全专家皆具备高度企业伦理与职业道德，不会将测试资料传递给第三方。测试过程中的资料传输也会以高强度的密码加密传输，以确保资料的安全性。在渗透项目合同中特别注明有保密条款，一旦发生项目信息泄露并对客户造成损失，我司会承担相应法律责任，通过法律来作为保证客

16、户项目信息安全的后盾。渗透测试执行完毕后就可以高枕无忧？渗透测试执行完毕后就可以高枕无忧？黑客攻击手法层出不穷，即使网站不进行任何更动，也难以保证未来不会被新的攻击方式入侵。并且一般商务网站也不可能永远不开发新功能，因此仍建议每年定期执行渗透测试。渗透测试该多久执行一次？渗透测试该多久执行一次？银监会规定银行等金融体系系统必须一年执行两次渗透测试，而一般的企业网站或网路服务则建议每年至少执行一次渗透测试。可以委托测试其他企业的网站吗？可以委托测试其他企业的网站吗？渗透测试会触及企业的敏感信息，必须取得合法的授权后才能进行测试，因此仅能接受该网站的拥有者或所属企业委托测试。执行渗透测试的厂商需要特定资格吗？执行渗透测试的厂商需要特定资格吗？目前并无相关法规，但购买渗透测试服务前最好确认厂商是否真的有能力可提供高品质的服务，例如厂商是否曾揭露大型软件、网络服务的漏洞等，以避免厂商仅拥有软件。