行业动态

软件测试之渗透测试知识(一)

软件测试之渗透测试知识(一)

  近年来,无论是在业务上、运营中、还是在流程上,数字化转型已经让许多组织和公司能够在可扩展性、生产效率、以及灵活性方面得到了大幅提升。不过,凡事都有利弊。新的数字化技术也会带来各种数据泄露、以及网络攻击事件的频发。因此,如果一个组织不定期进行漏洞评估与渗透测试的话,攻击者会在神不知鬼不觉的情况下,偷偷潜入目标系统,或是破坏IT基础设施,或者窃取商业秘密。可见,为了防范于未然,任何组织都需要通过适当的程序或系统,尽早地检测与响应攻击,并能够及时地从攻击中恢复。

  什么是渗透测试?

  渗透测试是通过各种手动和自动的技术,来模拟对组织内、外部信息系统的攻击。一些道德黑客、或渗透测试者,通常会通过采用各种测试技术,试图在真实攻击者、或恶意行为者之前,“闯入”组织的信息系统,识别并利用已知的漏洞或未知的缺陷。也就是说,安全测试人员的主要目标是,对待测系统进行主动分析,以识别可能因为系统配置不当、基础设施缺陷、以及不良的操作习惯,所导致的任何潜在威胁或漏洞。

软件测试之渗透测试知识

  组织为什么要进行渗透测试?

  识别整体基础设施(包括各种硬件和软件)中的潜在威胁和弱点,以便开发和构建一个安全可控的系统。

  发现组织当前的安全态势与既定目标之间的差距,进而制定出行之有效的解决方案。

  确保现有的安全系统或控制措施,能够有效地降低潜在攻击所带来的风险。

  能够对攻击向量进行分级,并识别和加固易受利用的攻击途径。

  及时发现当前受控系统中存在的错误,并着手修复它们。

  检测并确定弱点被利用后的严重程度,并提高自身应对攻击的响应能力。

  渗透测试的不同阶段

  渗透测试往往会涉及到模拟破坏任意数量的应用程序或系统,其中包括:应用程序的协议接口、前端或后端服务器、安全基础设施、以及利用漏洞植入代码或窃取敏感数据等。那么,渗透测试的整体过程通常包括如下五个阶段:

  1、计划和侦察

  此阶段主要包括:定义待测试的范围、优先级和目标。同时,此阶段还会说明关键系统的主要特征,以及即将执行的测试类型。

  而侦察阶段则与情报的收集有关。例如:以被动和主动的方式,获取与目标系统相关的网络、域名、以及邮件服务器等信息,以便更好地了解待测目标的工作原理,及其潜在的切入口。

  2、扫描

  该阶段主要涉及到了解目标系统将如何响应各种自动化的入侵尝试、以及攻击行为。渗透测试人员通常会使用如下方法:

  静态分析:在服务系统运行之前,检查应用程序的源代码,通过将其与既有的编码规则进行比较,进而对其进行代码级的分析与调试。

  动态分析:通过实时执行真实数据,对系统的安全性进行测试和评估。此类分析的目标是,通过采用自动化的安全扫描工具,对应用程序或系统执行扫描,进而实时发现各种错误与漏洞。

  当然,在静态或动态分析之后,我们需要通过手动验证已发现的漏洞和错误,以消除各种误报。

  3、获得访问或利用的权限

  那些在前面阶段已被识别出的各种漏洞,将会在此时被想方设法地利用到目标系统上,以获取访问权限,进而攫取各种有价值的信息。具体的利用方式可谓五花八门,其中包括:提升权限、拦截流量、以及注入恶意代码等。它们在攻击方式上各有侧重点,所造成的损害程度也不尽相同。

  4、保持访问

  此阶段的主要目标是:确保攻击在获得对应用程序、或底层系统的访问权限后,仍然可以保持持续的访问状态。毕竟,只要攻击者能够维持对系统长期有效的访问权限,他们就能够更深、更远地接触到其他相关应用。可以说,渗透测试人员需要在本阶段通过模仿和检测,发现那些长期驻留在系统中、且尚未被检测到的高级持续威胁(advanced persistent threats,APT)。

  5、分析和报告

  至此,我们需要将测试结果编译成详细的报告。而报告的主体应当主要能够反应出可以被利用的漏洞、易于被破坏和访问的敏感数据、以及安全测试人员在被“发现”之前,可以在系统中驻留的时长。
  以上是关于软件测试的知识,由多测师亲自撰写! https://www.duoceshi.com/

新闻资讯

联系我们

联系人:何女士

手机:13825291265

电话:0755-21072941

邮箱:hr@duoceshi.com

地址: 广东省深圳市龙华区龙华街道清湖和平路62号优鼎企创园D栋201室,202室

用手机扫描二维码关闭
二维码