运壶飘香,甘霖四方

“浅谈渗透测试”

谈到网络安全就不得不谈到渗透测试,如果把饮茶的平台作为目标,渗透测试就如盈满茶汤的紫砂壶,运壶飘香,甘霖四方。整个饮茶的平台被茶汤浸润,渗透到内部。

渗透测试(penetration test),模拟恶意黑客的攻击方法,来评估信息系统安全的一种评估方法。技术方面,在网络安全的红蓝对抗方面更偏向于红队的方式。

红队蓝队对抗练习,源自其军事上的先例。概念很简单:一队安全人员——红队,攻击什么东西;另一队人员——蓝队,守护之。最初,这种操练是军队用来测试部队战备度的,也用于测试敏感地区的物理安全,比如核设施及能源部下属国家实验室和技术中心。90年代,专家开始采用红蓝对抗来测试信息安全系统。

渗透测试本身就是一种运用攻击手段进行渗透测试的方法。

渗透测试一般而言,按照7个步骤进行渗透测试:

  1. 明确需求(pre-engagement)
  2. 信息收集(information-gathering)
  3. 威胁建模(threat-modeling)
  4. 漏洞分析(vulnerability analysis)
  5. 漏洞验证(exploitation)
  6. 深度攻击(post-exploitation)
  7. 文书报告(reporting)

这7个步骤可能乍一看,会感觉有些懵B,我会对这些步骤进行简单地解释说明,尽量不涉及太多代码。

明确需求

渗透测试本身就是一种测试性的工作,市场有需求,然后才会出现这样一个服务型的产品。渗透测试的核心产品就是进行渗透测试,而渗透测试是可以根据客户的需求进行个性化处理的。

明确客户的需求才可以正确并合理地进行渗透测试。

可能有些人有疑问,为什么要根据客户需求来进行渗透测试?

从产品角度来说,如果产品不能满足客户的需求,客户是不会进行资金的交付的。从国家法律角度来说,没有授权的渗透测试是违法的行为,大家都不喜欢蹲在铁窗里和监狱长喝茶聊人生。

明确需求简单来说,就是明确渗透测试工作的相关信息。具体都有些什么信息呢?

一般来说渗透测试工作者需要明确以下信息:

  • 项目范围
  • 测试窗口
  • 联系信息
  • ”免罪“金牌
  • 支付条款

信息收集

信息收集是渗透测试非常关键的一步。信息收集一般来说就是字面意思,收集渗透测试项目的各种信息。信息收集一般来说分为主动信息收集和被动信息收集。

主动信息收集,就是通过接触项目目标进行主动扫描来获取到各种各样的信息。通常会采用nmap工具进行主动信息的收集。

被动信息收集,即公开信息收集,又称开源情报分析。从搜索引擎获取有关项目目标开源的信息内容,一般来说,可以通过被动信息收集获取备案信息,服务信息等各种各样的信息。通常会采用shadow搜索引擎进行被动信息收集。

信息收集,就是收集各种有利于渗透测试的各种信息。

威胁建模

威胁建模就是利用以收集的信息进行资产分析。这一步是紧紧衔接着信息收集的,简单来说,就是对信息收集所收集到的信息进行整合分析。

项目目标一般而言都是企业资产的一部分,现在步入大数据时代,很多企业的重要数据都建立在服务器等项目目标上,项目目标就相当于企业的资产。

因而威胁建模就是利用收集到的信息对项目目标进行问题分析和可能存在的威胁进行评估。

漏洞分析

漏洞分析就是发现目标系统和应用中存在的漏洞。找出项目目标的缺陷,并且通过测试手段对漏洞进行分析和发现。漏洞分析是基于信息收集的一个步骤。可以分析并探测存在的漏洞。

漏洞分析,关键在于找到漏洞。什么是漏洞?可以理解成缺陷,如果把系统或应用比作茶壶,茶壶有壶首,壶口,壶把等。而漏洞就好比,在壶身出现的空隙,而知道这个漏洞的黑客就如同空气中的微生物,可以通过这个空隙自由进出。

漏洞分析,简单来说,就是寻找项目目标存在的缺陷。

漏洞验证

漏洞验证,即对已发现的漏洞使用攻击向量进行攻击。这一步的工作和上一步工作环环相扣。根据上一步所发现的漏洞,通过黑客渗透工具进行验证,或者也可以说是漏洞利用。

用上一步的比喻,漏洞验证就相当于空气中微生物进入到茶壶内部的方式或者说是通道,这个通道可以确保成功进入到内部。如果可以进入到内部,就可以验证漏洞确实存在。如果不能,则反之。

漏洞分析和漏洞验证其实就挺像对一个问题的证明,首先提出一个假设,然后对这个假设进行验证。可以类比孟德尔的演绎推理,假说-实验-结论。

漏洞验证,简单来说就是对发现的漏洞进行二次检查,确保问题真实存在。

深度攻击

深度攻击是基于漏洞验证步骤的进一步渗透探测,应该是深度信息收集,利用漏洞验证步骤进入到内部,来收集更多的信息和更多的资产数据,以及内部可能存在的漏洞。

打个比方,如果把系统想象成很多盒子的包裹结构,每个盒子内部都存储着一部分信息。漏洞验证步骤可以建立通往内部盒子的通道,深度攻击就可以对内部的很多盒子中的信息进行收集和查找,并且可以发现其中的漏洞,进入到更内部的盒子里面进行收集和漏洞寻找。

深度攻击,简单来说,就是更深入的漏洞分析和信息收集。

文书报告

文书报告是对渗透测试的结果进行汇报并给出简单的安全性建议,提交给客户。

文书报告一般来说分成两个部分,执行摘要和技术报告。

执行摘得就是对整个渗透测试项目的高度总结和汇报。

技术报告技术对渗透测试过程中的操作细节进行汇报。

渗透测试就是一种安全性测试,是一种流程化的服务型产品,更是网络安全推进过程中不可或缺的一部分,希望大家从此文都能简单了解到什么是渗透测试。

闲聊到此为止,来喝杯茶可好?

Q.E.D.