渗透测试

什么是渗透测试？

渗透测试服务是为企业客户提供的一种信息系统安全检测服务。通过对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击，模拟侵入系统并获取系统权限，并将入侵过程和细节总结编写成测试报告，由此确定存在的安全威胁并及时提醒企业客户完善安全策略，降低安全风险。

从渗透测试中，客户能够得到的收益至少有：

   ● 发现安全最短板，有效了解目前降低风险的初始任务；

   ● 有助于客户管理者明晰目前的安全现状，从而增强信息安全的认知程度；

   ● 有助于客户内部安全层次的提升。

渗透测试流程

渗透测试流程

1.    情报搜集阶段(Information Gathering)

利用各种信息来源与搜集技术方法，尝试获取更多关于目标组织网络拓扑、系统配置与安全防御措施的信息。

2.威胁建模阶段(Threat Modeling)

在搜集到充分的情报信息之后，针对获取的信息进行威胁建模与攻击规划。

3.漏洞扫描阶段(Vulnerability Scanning)

快速发现严重及其易利用的高危漏洞，迅速发现潜在问题。

4.漏洞分析阶段(Vulnerability Analysis)

综合分析前几个阶段获取并汇总的情报信息，特别是安全漏洞扫描结果、服务节点信息等，通过搜索可获取的渗透代码资源，找出可以实施渗透攻击的攻击点，并在实验环境中进行验证。

5.渗透攻击阶段(Exploitation)

利用所找出的目标系统安全漏洞来入侵系统，获得系统访问控制权。

6.后渗透阶段(Post Exploitation)

根据目标组织的业务经营模式、保护资产形式与安全防御计划的不同特点，设计出攻击目标，识别关键基础设施，寻找最具价值和尝试安全保护的信息和资产，最终达成能够造成最重要业务影响的攻击途径。

7.撰写报告阶段(Reporting)

通过所获取的关键情报信息、探测和发掘出的系统安全漏洞、成功渗透攻击的过程、以及造成的业务影响后果，分析漏洞原因、安全防御体系的薄弱环节及存在的问题，包括最后的修补方案，撰写渗透测试报告。