广告
【渗透测试】渗透测试概念介绍
“ 本文主要讲解了渗透测试的定义、测试阶段、范围、攻击路径、渗透测试模板等内容,希望让大家知道渗透测试是什么,大概在研发活动中所处的环境,以及测试报告大概什么样子”
01 定义
渗透测试(Penetration Testing),也称为Pentest,是一种通过模拟黑客攻击手段来评估计算机系统、网络或Web应用程序安全性的方法。其主要目的是发现系统中的安全漏洞,并帮助及时修复这些漏洞,从而保障系统的安全性
渗透测试并没有一个标准的定义,但一般认为它是由具备高技能和高素质的安全服务人员发起的,模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的。
渗透测试通常涉及以下几个步骤:
信息收集:收集目标系统的相关信息,包括IP地址、域名、网络拓扑等。
漏洞扫描:使用自动化工具扫描目标系统,发现可能存在的漏洞。
利用漏洞:在找到潜在的安全漏洞后,尝试利用这些漏洞进入系统,以验证其可利用性。
报告和修复:最后,渗透测试人员会编写详细的渗透测试报告,指出发现的所有安全问题,并提供相应的修复建议。
02 测试阶段
渗透测试一般在第三个阶段开展,即在安全计划、安全需求和TARA第一阶段、设计规范第二阶段之后。
从ASPICE角度看渗透测试活动,对应的V模型左端是security goal,但是现在很多企业在建立ASPICE时,【软件质量】ASPICE简介,并没有将MAN.7、SEC系列流程和模板补足,在零件端这是需求的,但目前市面J3061、ISO 21434、NIST SP 800-160 Systems Security Engineering、GBT等文档和法规给的参照并不太理想,当然如果了解ASPICE基于cybersecurity ASPICE去建立问题也不大。
03 测试范围
基于资产类型角度:
合规角度:
04 攻击路径
在拥有充分攻击路径库的背景下,可以尝试建立类似的渗透测试流
05 渗透测试模板
模板示例如下,如体现用例编号、检测项、漏洞等级、测试步骤、结果、详细记录等
06 漏洞级别
渗透测试中的漏洞级别通常根据其危害程度和利用难度进行划分。根据《GB/T 30279-2020 网络安全漏洞分类分级指南》,网络安全漏洞被划分为高、中、低三种危害级别。
具体来说,高危漏洞是指那些可能导致系统完全崩溃或允许攻击者获得系统完全控制的漏洞。中危漏洞可能允许攻击者获取部分系统权限或执行特定操作,而低危漏洞则通常只影响系统的非关键部分,不会对整个系统造成重大影响。
此外,还有其他一些标准和方法用于评估和分类漏洞。例如,通用漏洞评分系统(CVSS)是一个开放的计算机系统安全漏洞评估框架,它通过一系列的指标来评估漏洞的严重性。这些指标包括基本分数、环境分数和临时分数等,以帮助确定漏洞的实际影响和优先级。
在实际应用中,不同的组织可能会结合自身的需求和场景,采用不同的评分标准和方法来对漏洞进行分类和分级。例如,阿里云的先知平台会结合利用场景中漏洞的严重程度、利用难度等综合因素,给予相应的贡献值和漏洞级别.
关于CVSS直接参照3.0即可,但是对于不同漏洞级别的处置策略,就需要企业自己去定义了。
给大家看一下阿里的漏洞定义
《GB/T 30279-2020 网络安全漏洞分类分级指南》简单展开介绍一下:
广告
广告
最新资讯
-
TOP30!海克斯康入选2024福布斯中国数字科
2024-11-22 15:25
-
揭秘国产装备制造厂商的成功秘籍:好耐电子
2024-11-22 15:24
-
一文详解安全分析方法STPA:以自动紧急制动
2024-11-22 15:20
-
选对涉氢压力表:守护涉氢场所安全的关键一
2024-11-22 15:19
-
纽北(Nürburgring Nordschleife)赛道介
2024-11-22 09:17
广告
广告
