一种全新的安全防护思路之渗透测试

一、《通天神偷》

小白：最近疯狂迷恋黑客题材电影。

大东：又看啥了？

小白：《通天神偷》，讲述的是一群代号SNEAKERS的“合法黑客”的故事。

《通天神偷》剧照

大东：具体说说呢。

小白：SNEAKERS是精通电脑的工业间谍，银行、政府机关等重要机构出钱请他们“黑”自己的电脑系统。比肖普是这伙人的头目，沉默、低调、有一段不太见得光的过去，是典型的黑客。某日，一个政府机构找上门，要求比肖普的人在网上盗取一个电脑软件，拥有它便可以开启全球所有的秘密电脑资源。

大东：他接受了？

小白：拒绝是不可能的，因为它掌握了比肖普一干人等过去所有的秘密。真正的幕后大坏蛋是国际头号科技罪犯Cosmo，他伙同政府内的腐败分子将比肖普一群人“逼上绝路”……

大东：利用高超的电脑技术与恶势力展开斗争，拯救世界和平呀。

二、渗透测试必要性

小白：我其实不太懂银行、政府机关等重要机构请黑客“黑”他们的电脑系统是一种什么操作。

大东：哈哈，这其实是渗透测试，为了检验系统的安全性。

小白：什么是渗透测试？

大东：渗透测试是资深安全专家在客户授权委托的情况下，完全模拟黑客可能使用的攻击技术和漏洞挖掘技术，对在线目标系统做全方位的渗透攻击测试，提前发现系统潜在的各种高危漏洞和安全威胁。

小白：原来如此，渗透测试是一种全新的安全防护思路，将安全防护从被动转换成了主动。

大东：没错。任何形式的攻防对抗，最重要的一条就是掌握主动权。借助渗透测试，可以先于黑客发现系统安全隐患，提前部署好安全防御措施，保证系统的每个环节在未来都能经得起黑客挑战，进一步巩固客户对企业及平台的信赖。

小白：可见渗透测试还是很有必要的。

大东：这是当然的。通过渗透测试，企业用户可以从攻击角度了解系统是否存在隐性漏洞和安全风险，特别是在进行安全项目之前进行的渗透测试，可以对信息系统的安全性得到深刻的感性认知，有助于进一步健全安全建设体系。

小白：什么类型的安全风险需要进行渗透测试？

大东：当存在下面这些风险时，渗透测试显得尤为必要：1、企业及网站存在机密资料外泄、用户资料外泄的担忧；2、用户开发完毕的新系统平台需要上线；3、开发过程中系统需要进行局部安全测试；4、业务系统存在交易业务逻辑问题（如金融类系统）。

小白：明白了。

三、渗透测试流程

小白：渗透测试一般流程是什么呢？

大东：渗透测试的流程为：1.明确目标；2.信息收集；3.漏洞探测（手动&自动）；4.漏洞验证；5.信息分析；6.利用漏洞，获取数据；7.信息整理；8.形成报告。

渗透测试的一般流程

小白：这么多步骤，好复杂的样子。

大东：那就给你一一介绍一下吧。

小白：好呀。

大东：第一步明确目标是为了：1.确定范围：测试目标的范围、ip、域名、内外网。2.确定规则：比如能渗透到什么程度，能否修改上传，能否提权等。3.确定需求：web应用的漏洞（新上线程序），业务逻辑漏洞（针对业务的），人员权限管理漏洞（针对人员、权限）等等。

小白：就是根据需求和自己技术能力来确定能不能做，能做多少呗？

大东：对。信息收集阶段需要尽量多的收集关于目标web应用的各种信息，比如：脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面，用到的框架等。方式：主动扫描、开放搜索。开放搜索：利用搜索引擎获得后台、未授权页面、敏感url。

小白：漏洞探索就是使用相应的漏洞检测，找出可以利用的漏洞吧。

大东：聪明呀小白。

小白：嘿嘿。

大东：漏洞验证即将漏洞探索中发现的有可能可以成功利用的全部漏洞都验证一遍。信息分析就是为下一步实施渗透做准备。

小白：那获取所需呢？

大东：就是实施攻击，获取内部信息，进一步渗透了，持续性存在，清理日志。

小白：持续性存在是什么意思？

大东：就是添加后门，rookit，添加管理员账号等，为了以后攻击方便。

小白：哦哦。

大东：信息整理，整理渗透工具，整理收集信息，整理漏洞信息，为了最后形成报告，形成测试结果使用。

小白：最后就是形成报告啦。

大东：形成报告就是按照之前第一步跟客户确定好的范围，需求来整理资料，并将资料形成报告，对漏洞成因，验证过程和带来危害进行分析，对所有产生的问题提出合理高效安全的解决办法。

小白：还真是不简单呢。

来源：中国科学院计算技术研究所