目标信息系统的安全主要包含攻击型安全和防御性安全,而渗透测试属于攻击型安全,在得到目标信息系统负责人允许得情况下(合法的情况下),尝试挫败目标信息系统安全防御机制,从而发现系统安全弱点,再进行修复,其从攻击者的角度思考,测量安全防护有效性,证明安全问题的存在,而非破坏。
渗透测试执行标准:
①前期交互阶段,正常交互,再根据目标信息系统选择渗透方式(现场还是远程)。
②情报收集阶段,收集目标信息系统信息(联系人、URL、IP地址、端口、目标系统信息)。
③威胁建模阶段,根据目标系统以及之前情报收集建立一个具体渗透方法。
④漏洞分析阶段,进行漏洞收集并分析(可利用漏扫进行扫描收集),可能存在哪些可利用漏洞。
⑤渗透攻击阶段,根据分析结果进行漏洞验证(可使用工具、POC以及手工等方式效验)。
⑥后渗透测试阶段,(维持访问,通过渗透靶机获取其他设备信息)。
⑦渗透测试报告,根据以上漏洞结果,进行报告整理。
网友评论