在滲透測試的整個過程中,需要提前制定一個測試方案,各種因素都會影響最終的測試結(jié)論和結(jié)果。滲透測試的目標(biāo)是最大限度地找出系統(tǒng)的漏洞,時間短,覆蓋全面,說服力強(qiáng)。所以在方案的設(shè)計中,通過比較突出哪些方法更快更有效,滲透攻擊需要點到為止,不破壞系統(tǒng),也需要有針對性和速度。因此,提出了一個模塊化的測試方案。單獨(dú)的方法測試后,設(shè)計自動滲透測試系統(tǒng),然后實現(xiàn)和測試,得出結(jié)果。通過方法比較,可以獲得網(wǎng)站在建設(shè)和維護(hù)中的一些經(jīng)驗。
因為WEB系統(tǒng)和網(wǎng)站本身都有一定的局限性,所以整個方案的目標(biāo)就是找出更多的漏洞,配以一定的滲透攻擊,對網(wǎng)站系統(tǒng)進(jìn)行評分,使網(wǎng)站維護(hù)人員能夠直觀地感覺到問題,有針對性地解決。整個過程可分為六個部分:測試前準(zhǔn)備、信息收集、漏洞掃描、系統(tǒng)滲透攻擊、安全評估和報告。需要注意的是,有些方法可能會導(dǎo)致網(wǎng)站信息泄露和系統(tǒng)整體損壞,所以在滲透測試過程中需要謹(jǐn)慎使用,如木馬感染、社會工程收集信息、惡意代碼攻擊等,如果想要對自己單位或企業(yè)的網(wǎng)站或自己的網(wǎng)站以及APP進(jìn)行滲透測試服務(wù)進(jìn)行手工安全測試漏洞的話可以向網(wǎng)站安全公司或滲透測試公司尋求幫助,國內(nèi)像SINE安全,鷹盾安全,綠盟,大樹安全,都是做安全滲透測試的。
保護(hù)要求:目前安全攻擊技術(shù)多,方法更新快,安全評價周期必須縮短,保證全網(wǎng)安全防護(hù)和攻擊防護(hù)。
隔離要求:許多安全攻擊逐漸從外部網(wǎng)絡(luò)滲透到內(nèi)部網(wǎng)絡(luò)。雖然許多企業(yè)和單位已經(jīng)在物理線路上隔離了內(nèi)部和外部網(wǎng)絡(luò),但當(dāng)涉及商業(yè)活動和外部信息交流時,一些隔斷將被取消,而不是使用特殊的機(jī)器訪問。
驗證要求:網(wǎng)絡(luò)安全是一個多方面的問題,不僅涉及攻擊和保護(hù),還涉及授權(quán)、權(quán)限、保密協(xié)議等內(nèi)部問題。不同的登錄用戶有不同的身份驗證,可以在一定程度上降低滲透到內(nèi)部網(wǎng)絡(luò)的風(fēng)險。
系統(tǒng)入侵檢測要求:目前的系統(tǒng)和平臺基本都有防火墻,但我們在不斷的研究和測試中也發(fā)現(xiàn),雖然防火墻穩(wěn)定,可以立即緊張訪問,但畢竟是靜態(tài)的,網(wǎng)絡(luò)攻擊是動態(tài)的,方法有很多,所以必須配備入侵檢測方法和安全評估方法。
漏洞威脅要求:由于網(wǎng)站系統(tǒng)和平臺都是人工編碼設(shè)計的,所以在設(shè)計中代碼的書寫和邏輯規(guī)范往往會出錯,大部分都是在實現(xiàn)功能的前提下忽略了代碼的簡潔性和嚴(yán)謹(jǐn)性,導(dǎo)致攻擊漏洞。不定期的漏洞掃描和安全評估可以有效應(yīng)對這一點,發(fā)現(xiàn)代碼設(shè)計、系統(tǒng)設(shè)計的不完善和修復(fù)可以有效防止網(wǎng)絡(luò)攻擊。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!