项目启动
在项目启动阶段,项目组成员主要完成以下工作:
l 明确渗透测试对象,了解对象的基本信息。
l 确定参与本次项目的服务人员组成。
l 确定渗透测试的时间安排。
l 说明项目风险,实施相应的风险规避手段。
l 明确渗透测试的约束,如渗透到什么程度、是否允许提取、是否允许社工等。
信息收集
在信息收集阶段,渗透测试人员将利用各种工具和方法去获取目标系统的各种信息,包括:
l 网络基础信息:如IP地址、域名、开放端口等。
l 操作系统信息:如操作系统类型、版本、开放服务等。
l 软件版本信息:各开放端口的Banner信息、应用软件版本。
l 应用系统信息:如代码语言、CMS系统、网站结构、管理后台等。
l 防护手段:是否有WAF、防火墙等。
漏洞检测
根据客户提供的目标系统信息以及信息收集阶段获取的信息,渗透测试人员将通过工具和人工的方式对目标系统进行漏洞检测,尽可能多地发现系统中存在的安全漏洞,包括操作系统漏洞、应用软件漏洞、业务安全漏洞、账号/授权漏洞等。
漏洞利用
针对每一个工具或人工发现的漏洞进行分析,判断漏洞的严重程度,结合客户的业务实际情况,对目标系统进行漏洞利用测试。测试方法包括单不限于:
l 工具自动化测试:使用工具直接自动化利用漏洞。
l 人工验证:使用手动方式对漏洞进行验证。
l 暴力破解:对系统、业务入口进行暴力破解。
漏洞危害测试
漏洞危害测试是在获取一定系统权限后,进一步挖掘更多漏洞并深入渗透的过程。在本环节中,渗透测试人员将在授权范围内完成以下测试工作:
l 权限提升:获取系统的管理员权限。
l 数据获取:通过已有权限或其他技术手段分析数据泄露的可能。
l 横向渗透:渗透至内网其他服务器。
总结报告阶段
渗透测试人员完成以下报告编写工作:
l 报告编写:编写渗透测试服务报告。
l 漏洞介绍:对漏洞的成因、危害进行分析。
l 修复建议:提供漏洞的修复建议。
本服务由阿里云授权合作伙伴进行实施,阿里云提供技术支持和质量管理。
安全服务人员至客户现场提供服务。
说明:部分对互联网开放的业务,在经客户授权的前提下可通过远程方式提供服务。
渗透测试服务提供以下文档输出:
l 《XXXX系统渗透测试服务报告》
- 在指定时间内到达现场。
说明:客户需要提前至少三个工作日提出服务申请。
- 现场渗透测试工作完成后三个工作日内提交服务报告。
