浅谈国内的渗透评估过程

了解国内渗透评估过程之前，我们需要先知道什么是渗透评估？渗透评估就是请第三方人员模拟黑客攻击，对单位核心业务的服务器、重要的网络设备以及信息安全措施做出积级评估，积极分析安全措施的设计缺陷、技术缺陷和弱点，最后给单位的管理屋、技术人员提供一份全面的信息安全报告。通过渗透评估可以确定组织信息资源面临的威胁，发现和解决存在的弱点。了解弱点的基本技术、设计和执行的缺陷。降低组织的IT安全成本，提供更好的安全，保证为组织提供一个全面和彻底的安全架构，包括评估政策、流程、设计和实施。

针对国内的渗透评估流程，每个公司都有自己的一套流程，但大体上如下图所示：

在渗透评估过程中，首先需要跟客户进行沟通，拿到客户的书面授权。只有书面授权后的渗透评估才是合法的，否则是违法行为。在得到书面授权后，需要制定实施方案。方案中包括是渗透评估的工作地点、工作周期、渗透目标等。一般大客户的渗透评估，需要指定工作地点，而且客户会对工作过程进行监控。客户需要做到对渗透评估所有细节和风险的把控，减少渗透评估带来的其它安全隐患。渗透目标是客户对互联网公开的IP地址，全世界的人都能访问到的IP地址。不同的客户需要渗透的目标不一样，有些用户只有单个目标IP地址，另有些用户上千目标IP地址。当然不同的目标地址收费也不一样。

当渗透评估方案制定完后，需要得到客户的确认，才能进一步进行方案的实施。在方案的确认过程中，客户可能会根据自己业务运行的情况，对渗透评估的时间做进一步的调整，避免在业务高峰期进行渗透评估，当评估过程出现问题时，影响正常的业务运行。对于DDOS类的工具测试，在方案确定应该明确指出不能使用这类工具进行渗透评估。所有的渗透评估方案的大部分风险都是已知、可控的情况下实施的，这也是专业的渗透评服务与黑客攻击入侵的本质不同。

信息收集分析是所有攻击行为的前提步聚，通过信息收集了解单位组织中的信息网络结构、网络设备、应用服务器等基础设施和基础软件的信息。通过对目标 IP公开的网络信息收集，比如whois、finger等分析确定目标主机的安全设施的行为。通过对目标IP返回的banner信息、操作系统指纹信息、应用服务系统信息，分析出防火墙、路由器、应用设备的相关的安全设备系统版本等信息。信息收集可以应用各类扫描工具来收集相关的信息，比如端口扫描工具、弱口令扫描工具、专用应用的扫描工具、商业网络安全漏洞扫描工具、免费的安全扫描工具等。工具只是帮助在做渗透评估时减少评估使用的时间，因此不能太依懒于安全工具。渗透评估主要依靠评估人员的安全经验、安全漏洞的发现和利用经验，对网络结构、业务应用的弱点分析经验。

权限获取是基于信息收集，对网络中安全弱点的分析后，获取目标主机的权限过程。权限获取可以根据目标地址应用程序存在远程溢出的漏洞，通过远程溢出攻击获取目标主机的权限（如果远程溢出操作对系统有破坏性的影响，建议不进行操作，但在报告中描述出来）；通过弱口令猜测，获取远程目标主机的 telnet、ftp服务的账号，或者远程控制3389之类的账号；通过对目标地址的Web应用进行扫描，发现其应用SQL技术中存在SQL注入的漏洞，利用SQL注入漏洞上传Webshell，提升权限，获取网站的控制权限。在权限获取过程中，可以根据业务应用的漏洞，使用各种方法进行权限获取。另外在权限获取过程中，我们不建议使用社会工程学、网站挂马等方法来进行权限获取。

虽然前期做了很多的工作，但渗透测试的真实的价值体现是在后期工作的报告和汇报上。如果报告没有明确易懂,那么整个过程的价值将无法最大化地体现出来。完美的报告应该介绍针对测试目标的入侵过程，对风险的分析和解决方案的描述，高层的人需要简明看懂的方案，技术管理人员需要总体解决方案，系统管理员需要一步步解决弱点的处理方案。

渗透评估只是在有限的时间内对网络信息安全进行全面的评估，它只能降低单位组织的安全隐患，但不能保障渗透评估后就不会出现被黑客再次入侵的情况。黑客攻击是没有任何时间限制的，他们不仅可以花一个星期的时间来发现系统的弱点，也可能花几年的时间来发现问题。再说随着技术的发展，新的安全漏洞被发现，安全管理如果没有及时跟上，则会产生新的安全隐患。因此建议客户每年至少两次以上的安全渗透评估，以进一步保障组织的信息安全。

以上只是叶子个人对国内渗透评估的了解，不足之处，希望各位多多指教，并希望能与您进一步的交流。
作者: 叶子 出处:51CTO.com