滲透測試執行標準
責編:admin |2015-01-16 13:59:481、前期交互階段
前期交互階段通常是由你與客戶組織進行討論,來確定滲透測試的范圍與目標。
2、情報搜集階段
情報搜集階段對目標進行一系列踩點,包括:使用社交媒體網絡Google Hacking技術目標系統踩點等等,從而獲知它的行為模式、運行機理。
3、威脅建模階段
威脅建模主要使用你在情報搜集階段所獲取的信息,來標識出目標系統上可能存在的安全漏洞與弱點。
4、漏洞分析階段
漏洞分析階段主要是從前面幾個環節獲取的信息,并從中分析和理解哪些攻擊途徑會是可行的。
5、滲透攻擊階段
滲透攻擊主要是針對目標系統實施已經經過了深入研究和測試的滲透攻擊,并不是進行大量漫無目的的滲透測試。
6、后滲透攻擊階段
后滲透攻擊階段從你已經攻陷了客戶組織的一些系統或取得域管理員權限之后開始,將以特定業務系統為目標,標識出關鍵的基礎設施,并尋找客戶組織最具價值和嘗試進行安全保護的信息和資產,并需要演示出能夠對客戶組織造成最重要業務影響的攻擊途徑。
7、報告階段
報告時滲透測試過程中最為重要的因素,你將使用報告文檔來交流你在滲透測試過程中做了哪些,如何做的,以及最為重要的——客戶組織如何修復你所發現的安全漏洞與弱點。
小結:
在進行任何實驗、執行一次滲透測試時,請確信你擁有一個細心的、可實施的技術流程,而且還應該是可以重復的。作為一名滲透測試者,你需要確保不斷地修煉情報搜集與漏洞分析技能,并盡可能達到精通的水平,這些技能在滲透測試過程中將是你面對各種攻擊場景時的力量之源。
下一篇:關于P2DR模型的看法