服務流程之全面的滲透測試服務介紹

網站安全發表於2021-07-20

滲透測試是指安全工程師通過模擬惡意攻擊者的技術做法,對目標網站/系統/主機的安全防護系統進行深入測試,從而發現安全隱患的評估方法。安全工程師在進行滲透測試時,會使用各種安全審計工具來檢測目標系統是否包含已知的各種漏洞。滲透測試完成後,安全工程師會以報告的形式列出系統中存在的安全問題,並對這些安全問題進行評估,最終為使用者提供解決這些安全問題的技術解決方案。滲透測試有助於提高使用者系統的安全性,已成為系統安全評估的重要組成部分,已普遍使用於各行各業。

滲透測試標準由多家安全公司發起,為企業使用者制定了滲透測試的實施標準,主要包括以下七個階段:

服務流程之全面的滲透測試服務介紹

(1)前期互動階段。

在互動初期,最重要的是分析客戶需求,撰寫測試方案,制定測試範圍,明確測試目標。這個階段是滲透測試的準備期,決定了滲透測試的總體趨勢。

二是情報收集階段。

安全工程師進入情報收集階段後,可以利用網路踩點、掃描探測、被動監控、服務查點等技術手段,嘗試獲取目標網站的拓撲結構、系統配置、防禦措施等安全資訊。

服務流程之全面的滲透測試服務介紹

(3)威脅建模階段。

進入威脅建模階段後,安全工程師工程師在情報收集階段獲得的各種資訊,深入挖掘目標系統的潛在漏洞。安全工程師將根據這些漏洞的型別和特點,進一步制定最有效的攻擊做法來攻擊目標系統。

(4)漏洞分析階段。

在漏洞分析階段,安全工程師會綜合分析各種漏洞,然後確定滲透攻擊的最終方案。這個階段起著承上啟下的作用,很大程度上決定了這次滲透測試的成敗,需要安全工程師最多的時間。

(5)滲透攻擊階段。

滲透攻擊是滲透測試中最關鍵的環節。在這一環節中,安全工程師將利用目標系統的安全漏洞入侵目標系統,並獲得目標系統的控制權。對於一些典型的安全漏洞,一般可以使用釋出的滲透程式碼進行攻擊。但大多數情況下,安全工程師需要自己開發滲透程式碼來攻擊目標系統。

服務流程之全面的滲透測試服務介紹

(6)後滲透攻擊階段。

在後滲透攻擊階段,我們將專注於特定的目標系統,尋找這些系統中的核心裝置和關鍵資訊。安全工程師在進行後滲透攻擊時,需要投入更多的時間來確定各種系統的用途以及它們扮演的角色。這個階段是攻擊的升級,對目標系統的破壞會更有針對性,其危害程度會進一步增加。

(7)報告階段。

在滲透報告中,應告知客戶目標系統的漏洞、安全工程師對目標系統的攻擊以及這些漏洞的影響。最後,我們必須站在防禦者的角度,幫助客戶分析安全防禦體系中的薄弱環節,併為客戶提供升級方案。如果你也想對自己的網站或企業的網站以及APP或其他系統進行全面的滲透測試服務的話,可以向網站安全公司或滲透測試公司尋求服務。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2782281/,如需轉載,請註明出處,否則將追究法律責任。

相關文章