渗透测试服务是在获得客户的授权下,模拟黑客的攻击方法对目标的信息系统进行的非破坏性质攻击测试,模拟侵入系统获取权限、披露系统安全隐患,并将入侵过程和细节进行汇总研究,编写成测试报告,及时提醒客户完善安全策略,协助客户进行安全加固,从而降低安全风险的专项安全检测服务。
渗透测试服务是一种主动性针对信息系统进行的安全检测服务,类似于军队里的“实战演习”或日常生活中的“消防演习”,是一种专业主动的检测信息系统安全的方法,能够直观的让管理者知道面临的安全问题;此外,渗透测试可以弥补其他评估手段存在不足,能发现系统存在更高层次、更复杂、更隐蔽的安全问题。
渗透测试服务针对的目标信息系统如下:
比特豹渗透测试内容,主要包括信息收集、配置管理类、认证类、会话类、授权类、数据验证类、系统应用漏洞等。
| 服务内容 | 内容描述 |
|---|---|
| 信息收集 |
信息收集是渗透入侵前的基础,通过对网络信息收集分析,可以相应地、有针对性地制定模拟黑客入侵攻击的计划,以提高入侵的成功率、减小暴露或被发现的几率。 |
| 端口扫描 |
通过对目标地址的 TCP/UDP 端口扫描,确定其开放的服务数量和类型。并且结合测试人员的经验检测其可能存在,以及被利用的安全弱点,为进行深层次的渗透测试提供依据。 |
| 口令爆破 |
针对客户系统、应用程序、数据库等存在的用户名、密码系统默认的、口令长度过短或口令过简单等弱口令隐患,进行暴力破解及猜测,从而直接进行网站非法接管。 |
| 失效的访问控制 |
通过身份验证的用户,可以访问其他用户的相关信息,没有实施恰当的访问权限。测试人员可以利用这个漏洞去查看未授权的功能和数据。 |
| 安全配置错误 |
由于运维人员的不当配置 ( 默认配置,临时配置,开源云存储,http 标头配置,以及包含敏感信息的详细错误 ),导致攻击者可以利用这些配置获取到更高的权限,安全配置错误可以发生在各个层面,包含平台、web 服务器、应用服务器、数据库、架构和代码。 |
| XSS跨站脚本攻击 |
跨站脚本攻击是最普遍的 web 应用安全漏洞,甚至在某些安全平台都存在 xss漏洞。xss 会执行攻击者在浏览器中执行的脚本,并劫持用户会话,破坏网站或用户重定向到恶意站点,使用 xss 还可以执行拒绝服务攻击。 |
| 不安全的反序列化 |
不安全的反序列化可以导致远程代码执行、重放攻击、注入攻击或特权升级攻击。常见的 S2,Weblogin 反序列 RCE 攻击。 |
| CSRF跨站请求伪造 |
利用目标用户的合法身份,以目标用户的名义执行某些非法操作。如非法转账,盗号等。 |
| SQL注入测试 |
SQL 注入是指攻击者通过注入恶意的 SQL 命令 , 破坏 SQL 查询语句的结构 , 从而达到执行恶意 SQL 语句的目的。SQL 注入攻击是对数据库直接操作,可获得网站的数据库数据,破解网站服务器的后台管理密码。 |
| 文件上传操作测试 |
利用网站的上传功能存在的上传漏洞 , 利用该漏洞上传木马从而在网站上获取Webshell 并进而控制网站的攻击测试。 |
| 业务逻辑漏洞 |
业务越权漏洞是比较常见的漏洞类型,还有支付逻辑的安全逻辑问题。逻辑漏洞是所有漏洞扫描工具无法扫描的,必须手工测试。 |
| Nday漏洞测试 |
利用各种公开的漏洞对目标实施 nday 攻击。 |
| 其它攻击测试技术 |
社会工程学(测试人员安全、人员的安全意识等),物理安全测试、ARP 欺骗测试等技术手段。 |
渗透测试服务是通过远程(外网)或本地(内网)利用目标应用系统等安全弱点和漏洞,模拟真正黑客的入侵攻击方法,以人工浸透为主,扫描工具为辅,在保证整个渗透测试过程都在可以控制和调整的范围之内尽可能地获取目标信息系统的管理权限及敏感信息。渗透测试服务的基本流程如右图所示:
其中在渗透测试实施过程中主要步骤由信息收集、弱点分析、获取权限、权限提升组成:
