网络安全基础与渗透测试全流程指南

网络安全基础

网络安全的定义

什么是网络安全？

国际化标准组织（ISO）定义：引用 ISO-74982 文献，安全被定义为最大程度地减少数据和资源被攻击的可能性。
《计算机信息安全系统保护条例》：第三条规范了包括计算机网络系统在内的计算机信息系统安全概述：'计算机信息系统的安全保护，应当保障计算机及其相关的配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。'
本质定义：从本质上讲，网络安全是指网络系统的硬件、软件和系统中的数据受到保护，不因偶然或恶意的攻击而受到破坏、更改、泄露，确保系统连续可靠正常运行，网络服务不中断。广义上来讲，凡是涉及到网络上信息的保密性、完整性、可用性、可控性和不可否认性的相关技术和理论都属于网络安全所要研究的领域。
欧共体（欧盟前身）定义：'网络与信息安全可被理解为：在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将危及所存储或传输的数据，以及经由这些网络和系统所提供的服务的可用性、真实性和秘密性。'

网络安全的基本要素

保密性 (Confidentiality)：指信息不能被非法授权访问，即非授权用户即使得到信息内容也无法使用。通常通过访问控制和数据加密来保障信息的保密性。
完整性 (Integrity)：指只有授权的人才能修改实体或进程，并且能够判断实体或进程是否被修改。一般通过访问控制来阻止篡改，通过哈希算法等来验证信息是否完整。
可用性 (Availability)：是信息资源服务功能和性能可靠性的度量，涉及物理、网络、系统、数据、应用和用户等多方面因素，是对信息网络总体可靠性的要求。使用访问控制来阻止非授权用户进入网络，防止拒绝服务攻击。
可控性 (Controllability)：主要是指对国家信息（包括非法加密）的监视审计，控制授权范围内的信息流动及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，保障对网络资源及信息的可控性。
不可否认性 (Non-repudiation)：是对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使攻击者、破坏者、依赖者'逃不脱'，并进一步对网络出现的安全问题提供调查依据和手段，实现安全的可审查性，一般通过数字签名来实现。

网络安全的重要性

随着信息科技的迅速发展及计算机网络的普及，计算机网络深入国家的政府、军事、文教、金融、商业等诸多领域，可以说网络无处不在。一旦网络安全防线失守，可能导致国家机密泄露、经济瘫痪、社会秩序混乱等严重后果。

网络脆弱性的原因

开放性的网络环境：互联网设计之初并未充分考虑安全性，开放性带来了便利也带来了风险。
协议本身的脆弱性：许多底层网络协议（如 TCP/IP）在设计时未包含足够的安全机制。
操作系统的漏洞：操作系统作为软件基石，其代码复杂性导致难以避免的 Bug 和安全漏洞。
人为因素：配置错误、弱口令、安全意识薄弱等人为失误往往是最大的安全隐患。

网络安全涉及的内容

物理安全：保证计算机信息系统各种设备的物理安全，是整个计算机信息系统安全的前提。包括机房环境、设备防盗、防火防水等。
网络安全：主要包括局域网和子网安全，数据传输的安全，网络运行安全，网络协议安全。重点在于边界防护和流量监控。
系统安全：包括操作系统的安全以及数据库系统的安全。涉及补丁管理、权限最小化原则等。
应用安全：包括应用软件开发平台安全和应用系统安全。关注代码层面的漏洞，如输入验证、会话管理等。
管理安全：网络安全至关重要的往往不是技术手段，而是对人的管理。包括安全策略制定、人员培训、应急响应流程等。

渗透测试详解

渗透测试简介

什么是渗透测试？

渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。

渗透测试还具备以下两个显著特点：

渗透测试是一个渐进的并且逐步深入的过程，从信息收集到最终报告，环环相扣。
渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试，强调在可控范围内进行。

PETS 渗透测试执行标准

PETS（Penetration Testing Execution Standard）定义了标准的测试流程：

Step1、前期交互阶段：在前期交互阶段，在渗透测试团队与客户进行交互讨论，最重要的是确定渗透测试的范围、目标、限制条件以及服务合同细节。明确法律授权是合规测试的前提。
Step2、情报搜集阶段：在目标范围确定之后，将进入情报搜集阶段，渗透测试团队可以利用各种信息来源与搜集技术方法，尝试获取更多关于目标组织网络拓扑、系统配置与安全防御措施的信息。此阶段主要涉及 OSINT（开源情报）技术。
Step3、威胁建模阶段：在搜集到充足的情报信息之后，渗透测试团队的成员们停下敲击键盘，大家聚到一起针对获取的信息进行威胁建模（Threat Modeling）与攻击规划。这是渗透测试过程中非常重要，但很容易被忽略的一个关键点，有助于识别高风险资产。
Step4、漏洞分析阶段：在确定出最可行的攻击通道之后，接下来需要考虑该如何取得目标系统的访问控制权，即漏洞分析（Vulnerability Analysis）。结合自动化工具扫描与手动验证，确认漏洞的真实存在性。
Step5、渗透攻击阶段：渗透攻击是渗透测试过程中最有魅力的环节。在此环节中，渗透测试团队需要利用他们所找出的目标系统安全漏洞，来真正入侵系统当中，获得访问权。需严格控制操作范围，避免造成业务中断。
Step6、后渗透攻击阶段：后渗透攻击是整个渗透测试过程中最能体现渗透测试团队创造力与技术能力的环节。前面的环节可以说是按部就班地完成非常普遍的目标，而在这个环节中，需要渗透测试团队根据目标组织的业务经营模式，保护资产形式与安全防御计划的不同特点，自主设计出攻击目标，识别关键基础设施，并寻找客户组织最具价值和尝试安全保护的信息和资产，最终能够对客户组织造成最重要业务影响的攻击途径。此阶段常涉及内网横向移动。
Step7、撰写报告阶段：渗透测试过程最终向客户组织提交，取得认可并成功获得合同付款的就是一份渗透测试报告。这份情报凝聚了之前所有阶段之中渗透测试团队所获取的关键情报信息、探测和发掘出的系统安全漏洞、成功渗透攻击的过程，以及造成业务影响后果的途径，同时还要站在防御者的角度上，帮助他们分析安全防御体系中的薄弱环节、存在的问题，以及修补与升级技术方案。

实际渗透测试中的流程

明确目标：当拿到一个渗透测试项目时，我们首先应该明确客户要求我们进行渗透测试的范围以及整体项目的时间。签署授权书是必须的。
信息收集：子域名、系统版本、架构、真实 IP 地址、whois 查询、历史漏洞查询、指纹识别等。这是发现攻击面的基础。
漏洞发现：通过漏扫软件结合手动挖掘常规的 Web、系统等漏洞。自动化扫描不能替代人工审计。
漏洞利用：由浅入深、旁敲侧推、尽可能的将漏洞的价值发挥到最大化。验证漏洞危害程度。
后渗透：包括内网渗透、权限维持、权限提升，读取用户 hash，这里一定要把握好尺度，仅用于证明风险，不进行破坏性操作。
报告文档阶段：根据之前测试获取的漏洞及企业要求去编写最终的渗透测试报告。报告应包含修复建议。

风险规避

不要进行诸如 DDoS 攻击，不破坏数据。测试之前对重要数据进行备份。
任何测试执行前必须和客户进行沟通，以免引来不必要的麻烦。必须获得书面授权。
可以对原始系统生成镜像环境，然后对镜像环境进行的测试，降低生产环境风险。
明确渗透测试范围，严禁越界测试。

OWASP Top 10 应用安全风险

OWASP Top 10 列出了 Web 应用程序最常见的十大安全风险：

A1:2017-注入 (Injection)：将不受信任的数据作为命令或查询的一部分发送到解析器时，会产生诸如 SQL 注入、NoSQL 注入、OS 注入和 LDAP 注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。防御：使用参数化查询、输入验证和最小权限原则。
A2:2017-失效的身份认证 (Broken Authentication)：通常，通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌，或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。防御：实施多因素认证、强密码策略、安全的会话管理。
A3:2017-敏感数据泄露 (Sensitive Data Exposure)：许多 Web 应用程序和 API 都无法正确保护敏感数据，例如：财务数据、医疗数据和 PII 数据。攻击者可以通过窃取过修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏，因此，我们需要对敏感数据加密，这些数据包括：传输过程中的数据、存储的数据以及浏览器的交互数据。防御：全站 HTTPS、数据库字段加密、密钥管理。
A4:2017-XML 外部实体（XXE）：许多较早的或配置错误的 XML 处理器评估了 XML 文件中的外部实体引用。攻击者可以利用外部实体窃取使用 URL 文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。防御：禁用 XML 外部实体解析、使用 JSON 替代 XML。
A5:2017-失效的访问控制 (Broken Access Control)：未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据，例如：访问其他用户的账户、查看敏感文件、修改其他用户的数据、更改访问权限等。防御：实施基于角色的访问控制（RBAC）、检查每个请求的权限。
A6:2017-安全配置错误 (Security Misconfiguration)：安全配置错误是最常见的安全问题，这通常是由于不安全的默认配置、不完整的临时配置、开源云存储、错误的 HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。因此，我们不仅需要对所有的操作系统、框架、库和应用程序进行安全配置，而且必须及时修补和升级它们。防御：遵循安全基线、移除默认账号、关闭调试模式。
A7:2017-跨站脚本 (XSS)：当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时，或者使用可以创建 HTML 或 Javascript 的浏览器 API 更新现有的网页时，就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本，并劫持用户会话，破坏网站或将用户重定向到恶意站点。防御：输出编码、内容安全策略（CSP）、HttpOnly Cookie。
A8:2017-不安全的反序列化 (Insecure Deserialization)：不安全的反序列化会导致远程代码执行，即使反序列化缺陷不会导致远程代码执行，攻击者也可以利用它们来执行攻击，包括：重播攻击、注入攻击和特权升级攻击。防御：避免反序列化不可信数据、使用白名单校验。
A9:2017-使用含有已知漏洞的组件 (Using Components with Known Vulnerabilities)：组件（例如：库、框架和其他软件模块）拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件的应用程序和 API 可能会破坏应用程序防御、造成各种攻击并产生严重影响。防御：定期更新依赖库、使用 SBOM（软件物料清单）管理。
A10:2017-不足的日志记录和监控 (Insufficient Logging & Monitoring)：以及事件响应缺失或无效的集成，使攻击者能够进一步攻击系统、保持持续性或转向更多系统，以及篡改、提取或销毁数据。大多数缺陷研究显示，缺陷被检测出的时间超过 200 天，且通常通过外部检测方检测，而不是通过内部流程或监控检测。防御：集中日志管理、实时告警、定期审计。

渗透测试术语简介

为了便于理解攻防对抗，以下是常用术语的解释：

白帽子：描述的是正面的黑客。通过技术手段识别计算机系统或网络系统中的安全漏洞，提交给厂商并提出修复方法，致力于网络安全建设。
黑帽子：为了谋取利益而行走在法律边缘甚至违法乱纪的骇客。其行为通常触犯法律，进行破坏或窃取活动。
灰帽子：介于黑白之间，无法具体的定性。有时可能游走于灰色地带，虽无恶意但可能违规。
肉鸡：就是傀儡机，可以随意被控制的电脑或服务器，常被用于发起分布式攻击。
木马：一些用来获取用户权限的程序或者代码段，伪装成正常软件诱导用户安装。
后门：为了方便二次进入系统留下的非常隐蔽的后门程序，绕过正常认证机制。
Shell：命令执行环境，通常所说的拿 Shell，就是拿到对方的命令执行环境，可执行系统指令。
Webshell：通过 Web 入侵的一种脚本工具，可以据此对网站服务进行一定程度的控制，常为 PHP/ASP/JSP 文件。
POC：用来验证漏洞存在的一段代码或程序，Proof of Concept。
EXP：漏洞利用的一段代码或程序，Exploit，可直接利用漏洞。
Payload：有效攻击载荷，可以是一段代码，被隐藏并且秘密发送的信息，用于触发漏洞效果。
WAF：Web 应用防护系统，也称之为网站应用级入侵防御系统，用于过滤恶意流量。
提权：利用一些手段将低权限提升为高权限，这里的高权限一般为管理员或系统权限。
API：高级可持续性攻击（此处原文有误，应为 Application Programming Interface，但在 APT 语境下指 Advanced Persistent Threat），是指组织（特别是政府）或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的供给形式（极强的隐蔽性、潜伏期长、持续性强、目标性强）。
CMS：内容管理系统，可以理解为网站的一种模板，将一些功能集中控制管理，是网站搭建变得更为快捷。
黑盒测试：即对内部情况一无所知的情况下进行渗透测试或者其他测试，模拟外部攻击者视角。
白盒测试：了解内部系统、结构、源码的情况下进行渗透测试或其他测试，模拟内部人员视角。
灰盒测试：介于黑白盒之间的渗透测试或其它测试，部分了解内部信息。
0day：0day 漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞未知，所以没有可用的补丁程序，风险极高。
1day：刚发布但是已被发现官方刚发布补丁网络上还是存在大量的 Vulnerability，处于过渡期。
Nday：已经被公布出来的 0day，已有公开利用代码。
Proxy：代理。一类程序或系统，接收来自客户机算计的流量，并代表客户端与服务器交互，代理能用于过滤应用级别的制定类型的流量或缓存信息以提高性能。许多防火墙依赖代理进行过滤。
加壳/脱壳：'壳'是一段专门负责保护软件不被非法修改或反编译的程序，它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。加壳就是将软件源码保护，脱壳相反。
Shellcode：shellcode 是一段用于利用软件漏洞而执行的代码，shellcode 为 16 进制的机器码，因为经常让攻击者获得 shell 而得名。
钓鲸攻击：捕鲸是另一种进化形式的鱼叉式网络钓鱼。它指的是针对高级管理人员和组织其他高级人员的网络钓鱼攻击。通过使电子邮件具有个性化并专门针对相关目标进行定制的攻击。
水坑攻击：顾名思义，是在受害者必经之路设置了一个'水坑 (陷阱)'。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站'攻破'并植入攻击代码，一旦攻击目标访问该网站就会'中招'。
横向移动：在纵向获取到某个服务器的权限时，我们可以以该服务器为跳板，进行横向拓展的内网攻击，扩大战果。
电信诈骗：是指通过电话、网络和短信方式，编造虚假信息，设置骗局，对受害人实施远程、非接触式诈骗，诱使受害人打款或转账的犯罪行为，通常以冒充他人及仿冒、伪造各种合法外衣和形式的方式达到欺骗的目的。
杀猪盘：网络流行词，电信诈骗的一种，是一种网络交友诱导股票投资、赌博等类型的诈骗方式，'杀猪盘'则是'从业者们'自己起的名字，是指放长线'养猪'诈骗，养得越久，诈骗得越狠。
脱库：将数据库中的数据导出，通常指非法获取全部数据。
社工库：一种黑客将泄露在暗网/公网上的用户数据整合起来，并用来查询或者社工的手段的工具。
撞库攻击：在获取到用户的一组账号密码时，尝试用该账号登录其他站点/app 等，利用密码复用习惯。
旁站：同一台服务器上可能存在其他的站点，通过 IP 关联查找其他潜在目标。
蜜罐：可以联想为情报收集系统，用来诱导黑客进行攻击，以此来判断黑客行为，甚至完成反制。
挂马：就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里，以使浏览者中马。
网络钓鱼（Phishing）：是"Fishing"和"Phone"的综合体，由于黑客始祖起初是以电话作案，所以用"Ph"来取代"F"，创造了"Phishing"。然而，当今的'网络钓鱼'攻击利用欺骗性的电子邮件和伪造的 Web 站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。
CC 攻击：攻击者借助代理服务器生成指向受害主机的合法请求，实现 DDOS 和伪装就叫：CC(Challenge Collapsar)。CC 主要是用来攻击页面的，消耗服务器资源。
DoS 攻击：拒绝服务攻击。攻击者通过利用漏洞或发送大量的请求导致攻击对象无法访问网络或者网站无法被访问。
DDoS 攻击：分布式 DOS 攻击，常见的 UDP、SYN、反射放大攻击等等，就是通过许多台肉鸡一起向你发送一些网络请求信息，导致你的网络堵塞而不能正常上网。
抓鸡：利用漏洞或其他手段批量的在公网上获取存在漏洞的主机，将其沦为肉鸡。
C2：C2 全称为 Command and Control，命令与控制，常见于 APT 攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互，作名词解释时理解为攻击者的'基础设施'。
鱼叉攻击：鱼叉攻击是将用鱼叉捕鱼形象的引入到了网络攻击中，主要是指可以使欺骗性电子邮件看起来更加可信的网络钓鱼攻击，具有更高的成功可能性。不同于撒网式的网络钓鱼，鱼叉攻击往往更加具备针对性，攻击者往往"见鱼而使叉"。
黑产：网络黑产，指以互联网为媒介，以网络技术为主要手段，为计算机信息系统安全和网络空间管理秩序，甚至国家安全、社会政治稳定带来潜在威胁 (重大安全隐患) 的非法行为。例如非法数据交易产业。
红队：通常指攻防演习中的攻击队伍，模拟真实攻击者。
蓝队：通常指攻防演习中的防守队伍，负责监测和响应。
紫队：攻防演习中新近诞生的一方，通常指监理方或者裁判方，促进红蓝对抗融合。
IDS：入侵检测系统，用于在黑客发起进攻或是发起进攻之前检测到攻击，并加以拦截。IDS 是不同于防火墙。防火墙只能屏蔽入侵，而 IDS 却可以在入侵发生以前，通过一些信息来检测到即将发生的攻击或是入侵并作出反应。
IPS：IPS 全称为 Intrusion-Prevention System，即入侵防御系统，目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。
堡垒机：运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。
VPN：虚拟专用网，在公用网络上建立专用网络，进行加密通讯，通过对数据包的加密和数据包目标地址的转换实现远程访问。
CTF（夺旗赛）：CTF (Capture The Flag) 中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
AWD 攻防对抗赛：AWD (Attack With Defense, 攻防兼备) 模式是一个非常有意思的模式，你需要在一场比赛里要扮演攻击方和防守方，攻者得分，失守者会被扣分。也就是说，攻击别人的靶机可以获取 Flag 分数时，别人会被扣分，同时你也要保护自己的主机不被别人得分，以防扣!

结语

网络安全是一个动态发展的领域，新的漏洞和技术不断涌现。从业者需要保持持续学习的态度，严格遵守法律法规，坚持'白帽'精神，利用技术保护网络空间安全，而非破坏。通过掌握上述流程和概念，可以为构建更安全的网络环境打下坚实基础。

网络安全基础

网络安全的定义

什么是网络安全？

国际化标准组织（ISO）定义：引用 ISO-74982 文献，安全被定义为最大程度地减少数据和资源被攻击的可能性。
《计算机信息安全系统保护条例》：第三条规范了包括计算机网络系统在内的计算机信息系统安全概述：'计算机信息系统的安全保护，应当保障计算机及其相关的配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。'
本质定义：从本质上讲，网络安全是指网络系统的硬件、软件和系统中的数据受到保护，不因偶然或恶意的攻击而受到破坏、更改、泄露，确保系统连续可靠正常运行，网络服务不中断。广义上来讲，凡是涉及到网络上信息的保密性、完整性、可用性、可控性和不可否认性的相关技术和理论都属于网络安全所要研究的领域。
欧共体（欧盟前身）定义：'网络与信息安全可被理解为：在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将危及所存储或传输的数据，以及经由这些网络和系统所提供的服务的可用性、真实性和秘密性。'

网络安全的基本要素

保密性 (Confidentiality)：指信息不能被非法授权访问，即非授权用户即使得到信息内容也无法使用。通常通过访问控制和数据加密来保障信息的保密性。
完整性 (Integrity)：指只有授权的人才能修改实体或进程，并且能够判断实体或进程是否被修改。一般通过访问控制来阻止篡改，通过哈希算法等来验证信息是否完整。
可用性 (Availability)：是信息资源服务功能和性能可靠性的度量，涉及物理、网络、系统、数据、应用和用户等多方面因素，是对信息网络总体可靠性的要求。使用访问控制来阻止非授权用户进入网络，防止拒绝服务攻击。
可控性 (Controllability)：主要是指对国家信息（包括非法加密）的监视审计，控制授权范围内的信息流动及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，保障对网络资源及信息的可控性。
不可否认性 (Non-repudiation)：是对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使攻击者、破坏者、依赖者'逃不脱'，并进一步对网络出现的安全问题提供调查依据和手段，实现安全的可审查性，一般通过数字签名来实现。

网络安全的重要性

网络脆弱性的原因

开放性的网络环境：互联网设计之初并未充分考虑安全性，开放性带来了便利也带来了风险。
协议本身的脆弱性：许多底层网络协议（如 TCP/IP）在设计时未包含足够的安全机制。
操作系统的漏洞：操作系统作为软件基石，其代码复杂性导致难以避免的 Bug 和安全漏洞。
人为因素：配置错误、弱口令、安全意识薄弱等人为失误往往是最大的安全隐患。

网络安全涉及的内容

物理安全：保证计算机信息系统各种设备的物理安全，是整个计算机信息系统安全的前提。包括机房环境、设备防盗、防火防水等。
网络安全：主要包括局域网和子网安全，数据传输的安全，网络运行安全，网络协议安全。重点在于边界防护和流量监控。
系统安全：包括操作系统的安全以及数据库系统的安全。涉及补丁管理、权限最小化原则等。
应用安全：包括应用软件开发平台安全和应用系统安全。关注代码层面的漏洞，如输入验证、会话管理等。
管理安全：网络安全至关重要的往往不是技术手段，而是对人的管理。包括安全策略制定、人员培训、应急响应流程等。

渗透测试详解

渗透测试简介

什么是渗透测试？

渗透测试还具备以下两个显著特点：

渗透测试是一个渐进的并且逐步深入的过程，从信息收集到最终报告，环环相扣。
渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试，强调在可控范围内进行。

PETS 渗透测试执行标准

PETS（Penetration Testing Execution Standard）定义了标准的测试流程：

Step1、前期交互阶段：在前期交互阶段，在渗透测试团队与客户进行交互讨论，最重要的是确定渗透测试的范围、目标、限制条件以及服务合同细节。明确法律授权是合规测试的前提。
Step2、情报搜集阶段：在目标范围确定之后，将进入情报搜集阶段，渗透测试团队可以利用各种信息来源与搜集技术方法，尝试获取更多关于目标组织网络拓扑、系统配置与安全防御措施的信息。此阶段主要涉及 OSINT（开源情报）技术。
Step3、威胁建模阶段：在搜集到充足的情报信息之后，渗透测试团队的成员们停下敲击键盘，大家聚到一起针对获取的信息进行威胁建模（Threat Modeling）与攻击规划。这是渗透测试过程中非常重要，但很容易被忽略的一个关键点，有助于识别高风险资产。
Step4、漏洞分析阶段：在确定出最可行的攻击通道之后，接下来需要考虑该如何取得目标系统的访问控制权，即漏洞分析（Vulnerability Analysis）。结合自动化工具扫描与手动验证，确认漏洞的真实存在性。
Step5、渗透攻击阶段：渗透攻击是渗透测试过程中最有魅力的环节。在此环节中，渗透测试团队需要利用他们所找出的目标系统安全漏洞，来真正入侵系统当中，获得访问权。需严格控制操作范围，避免造成业务中断。
Step6、后渗透攻击阶段：后渗透攻击是整个渗透测试过程中最能体现渗透测试团队创造力与技术能力的环节。前面的环节可以说是按部就班地完成非常普遍的目标，而在这个环节中，需要渗透测试团队根据目标组织的业务经营模式，保护资产形式与安全防御计划的不同特点，自主设计出攻击目标，识别关键基础设施，并寻找客户组织最具价值和尝试安全保护的信息和资产，最终能够对客户组织造成最重要业务影响的攻击途径。此阶段常涉及内网横向移动。
Step7、撰写报告阶段：渗透测试过程最终向客户组织提交，取得认可并成功获得合同付款的就是一份渗透测试报告。这份情报凝聚了之前所有阶段之中渗透测试团队所获取的关键情报信息、探测和发掘出的系统安全漏洞、成功渗透攻击的过程，以及造成业务影响后果的途径，同时还要站在防御者的角度上，帮助他们分析安全防御体系中的薄弱环节、存在的问题，以及修补与升级技术方案。

实际渗透测试中的流程

明确目标：当拿到一个渗透测试项目时，我们首先应该明确客户要求我们进行渗透测试的范围以及整体项目的时间。签署授权书是必须的。
信息收集：子域名、系统版本、架构、真实 IP 地址、whois 查询、历史漏洞查询、指纹识别等。这是发现攻击面的基础。
漏洞发现：通过漏扫软件结合手动挖掘常规的 Web、系统等漏洞。自动化扫描不能替代人工审计。
漏洞利用：由浅入深、旁敲侧推、尽可能的将漏洞的价值发挥到最大化。验证漏洞危害程度。
后渗透：包括内网渗透、权限维持、权限提升，读取用户 hash，这里一定要把握好尺度，仅用于证明风险，不进行破坏性操作。
报告文档阶段：根据之前测试获取的漏洞及企业要求去编写最终的渗透测试报告。报告应包含修复建议。

风险规避

不要进行诸如 DDoS 攻击，不破坏数据。测试之前对重要数据进行备份。
任何测试执行前必须和客户进行沟通，以免引来不必要的麻烦。必须获得书面授权。
可以对原始系统生成镜像环境，然后对镜像环境进行的测试，降低生产环境风险。
明确渗透测试范围，严禁越界测试。

OWASP Top 10 应用安全风险

OWASP Top 10 列出了 Web 应用程序最常见的十大安全风险：

A1:2017-注入 (Injection)：将不受信任的数据作为命令或查询的一部分发送到解析器时，会产生诸如 SQL 注入、NoSQL 注入、OS 注入和 LDAP 注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。防御：使用参数化查询、输入验证和最小权限原则。
A2:2017-失效的身份认证 (Broken Authentication)：通常，通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌，或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。防御：实施多因素认证、强密码策略、安全的会话管理。
A3:2017-敏感数据泄露 (Sensitive Data Exposure)：许多 Web 应用程序和 API 都无法正确保护敏感数据，例如：财务数据、医疗数据和 PII 数据。攻击者可以通过窃取过修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏，因此，我们需要对敏感数据加密，这些数据包括：传输过程中的数据、存储的数据以及浏览器的交互数据。防御：全站 HTTPS、数据库字段加密、密钥管理。
A4:2017-XML 外部实体（XXE）：许多较早的或配置错误的 XML 处理器评估了 XML 文件中的外部实体引用。攻击者可以利用外部实体窃取使用 URL 文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。防御：禁用 XML 外部实体解析、使用 JSON 替代 XML。
A5:2017-失效的访问控制 (Broken Access Control)：未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据，例如：访问其他用户的账户、查看敏感文件、修改其他用户的数据、更改访问权限等。防御：实施基于角色的访问控制（RBAC）、检查每个请求的权限。
A6:2017-安全配置错误 (Security Misconfiguration)：安全配置错误是最常见的安全问题，这通常是由于不安全的默认配置、不完整的临时配置、开源云存储、错误的 HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。因此，我们不仅需要对所有的操作系统、框架、库和应用程序进行安全配置，而且必须及时修补和升级它们。防御：遵循安全基线、移除默认账号、关闭调试模式。
A7:2017-跨站脚本 (XSS)：当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时，或者使用可以创建 HTML 或 Javascript 的浏览器 API 更新现有的网页时，就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本，并劫持用户会话，破坏网站或将用户重定向到恶意站点。防御：输出编码、内容安全策略（CSP）、HttpOnly Cookie。
A8:2017-不安全的反序列化 (Insecure Deserialization)：不安全的反序列化会导致远程代码执行，即使反序列化缺陷不会导致远程代码执行，攻击者也可以利用它们来执行攻击，包括：重播攻击、注入攻击和特权升级攻击。防御：避免反序列化不可信数据、使用白名单校验。
A9:2017-使用含有已知漏洞的组件 (Using Components with Known Vulnerabilities)：组件（例如：库、框架和其他软件模块）拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件的应用程序和 API 可能会破坏应用程序防御、造成各种攻击并产生严重影响。防御：定期更新依赖库、使用 SBOM（软件物料清单）管理。
A10:2017-不足的日志记录和监控 (Insufficient Logging & Monitoring)：以及事件响应缺失或无效的集成，使攻击者能够进一步攻击系统、保持持续性或转向更多系统，以及篡改、提取或销毁数据。大多数缺陷研究显示，缺陷被检测出的时间超过 200 天，且通常通过外部检测方检测，而不是通过内部流程或监控检测。防御：集中日志管理、实时告警、定期审计。

渗透测试术语简介

为了便于理解攻防对抗，以下是常用术语的解释：

白帽子：描述的是正面的黑客。通过技术手段识别计算机系统或网络系统中的安全漏洞，提交给厂商并提出修复方法，致力于网络安全建设。
黑帽子：为了谋取利益而行走在法律边缘甚至违法乱纪的骇客。其行为通常触犯法律，进行破坏或窃取活动。
灰帽子：介于黑白之间，无法具体的定性。有时可能游走于灰色地带，虽无恶意但可能违规。
肉鸡：就是傀儡机，可以随意被控制的电脑或服务器，常被用于发起分布式攻击。
木马：一些用来获取用户权限的程序或者代码段，伪装成正常软件诱导用户安装。
后门：为了方便二次进入系统留下的非常隐蔽的后门程序，绕过正常认证机制。
Shell：命令执行环境，通常所说的拿 Shell，就是拿到对方的命令执行环境，可执行系统指令。
Webshell：通过 Web 入侵的一种脚本工具，可以据此对网站服务进行一定程度的控制，常为 PHP/ASP/JSP 文件。
POC：用来验证漏洞存在的一段代码或程序，Proof of Concept。
EXP：漏洞利用的一段代码或程序，Exploit，可直接利用漏洞。
Payload：有效攻击载荷，可以是一段代码，被隐藏并且秘密发送的信息，用于触发漏洞效果。
WAF：Web 应用防护系统，也称之为网站应用级入侵防御系统，用于过滤恶意流量。
提权：利用一些手段将低权限提升为高权限，这里的高权限一般为管理员或系统权限。
API：高级可持续性攻击（此处原文有误，应为 Application Programming Interface，但在 APT 语境下指 Advanced Persistent Threat），是指组织（特别是政府）或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的供给形式（极强的隐蔽性、潜伏期长、持续性强、目标性强）。
CMS：内容管理系统，可以理解为网站的一种模板，将一些功能集中控制管理，是网站搭建变得更为快捷。
黑盒测试：即对内部情况一无所知的情况下进行渗透测试或者其他测试，模拟外部攻击者视角。
白盒测试：了解内部系统、结构、源码的情况下进行渗透测试或其他测试，模拟内部人员视角。
灰盒测试：介于黑白盒之间的渗透测试或其它测试，部分了解内部信息。
0day：0day 漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞未知，所以没有可用的补丁程序，风险极高。
1day：刚发布但是已被发现官方刚发布补丁网络上还是存在大量的 Vulnerability，处于过渡期。
Nday：已经被公布出来的 0day，已有公开利用代码。
Proxy：代理。一类程序或系统，接收来自客户机算计的流量，并代表客户端与服务器交互，代理能用于过滤应用级别的制定类型的流量或缓存信息以提高性能。许多防火墙依赖代理进行过滤。
加壳/脱壳：'壳'是一段专门负责保护软件不被非法修改或反编译的程序，它们一般都是先于程序运行，拿到控制权，然后完成它们保护软件的任务。加壳就是将软件源码保护，脱壳相反。
Shellcode：shellcode 是一段用于利用软件漏洞而执行的代码，shellcode 为 16 进制的机器码，因为经常让攻击者获得 shell 而得名。
钓鲸攻击：捕鲸是另一种进化形式的鱼叉式网络钓鱼。它指的是针对高级管理人员和组织其他高级人员的网络钓鱼攻击。通过使电子邮件具有个性化并专门针对相关目标进行定制的攻击。
水坑攻击：顾名思义，是在受害者必经之路设置了一个'水坑 (陷阱)'。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站'攻破'并植入攻击代码，一旦攻击目标访问该网站就会'中招'。
横向移动：在纵向获取到某个服务器的权限时，我们可以以该服务器为跳板，进行横向拓展的内网攻击，扩大战果。
电信诈骗：是指通过电话、网络和短信方式，编造虚假信息，设置骗局，对受害人实施远程、非接触式诈骗，诱使受害人打款或转账的犯罪行为，通常以冒充他人及仿冒、伪造各种合法外衣和形式的方式达到欺骗的目的。
杀猪盘：网络流行词，电信诈骗的一种，是一种网络交友诱导股票投资、赌博等类型的诈骗方式，'杀猪盘'则是'从业者们'自己起的名字，是指放长线'养猪'诈骗，养得越久，诈骗得越狠。
脱库：将数据库中的数据导出，通常指非法获取全部数据。
社工库：一种黑客将泄露在暗网/公网上的用户数据整合起来，并用来查询或者社工的手段的工具。
撞库攻击：在获取到用户的一组账号密码时，尝试用该账号登录其他站点/app 等，利用密码复用习惯。
旁站：同一台服务器上可能存在其他的站点，通过 IP 关联查找其他潜在目标。
蜜罐：可以联想为情报收集系统，用来诱导黑客进行攻击，以此来判断黑客行为，甚至完成反制。
挂马：就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里，以使浏览者中马。
网络钓鱼（Phishing）：是"Fishing"和"Phone"的综合体，由于黑客始祖起初是以电话作案，所以用"Ph"来取代"F"，创造了"Phishing"。然而，当今的'网络钓鱼'攻击利用欺骗性的电子邮件和伪造的 Web 站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。
CC 攻击：攻击者借助代理服务器生成指向受害主机的合法请求，实现 DDOS 和伪装就叫：CC(Challenge Collapsar)。CC 主要是用来攻击页面的，消耗服务器资源。
DoS 攻击：拒绝服务攻击。攻击者通过利用漏洞或发送大量的请求导致攻击对象无法访问网络或者网站无法被访问。
DDoS 攻击：分布式 DOS 攻击，常见的 UDP、SYN、反射放大攻击等等，就是通过许多台肉鸡一起向你发送一些网络请求信息，导致你的网络堵塞而不能正常上网。
抓鸡：利用漏洞或其他手段批量的在公网上获取存在漏洞的主机，将其沦为肉鸡。
C2：C2 全称为 Command and Control，命令与控制，常见于 APT 攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互，作名词解释时理解为攻击者的'基础设施'。
鱼叉攻击：鱼叉攻击是将用鱼叉捕鱼形象的引入到了网络攻击中，主要是指可以使欺骗性电子邮件看起来更加可信的网络钓鱼攻击，具有更高的成功可能性。不同于撒网式的网络钓鱼，鱼叉攻击往往更加具备针对性，攻击者往往"见鱼而使叉"。
黑产：网络黑产，指以互联网为媒介，以网络技术为主要手段，为计算机信息系统安全和网络空间管理秩序，甚至国家安全、社会政治稳定带来潜在威胁 (重大安全隐患) 的非法行为。例如非法数据交易产业。
红队：通常指攻防演习中的攻击队伍，模拟真实攻击者。
蓝队：通常指攻防演习中的防守队伍，负责监测和响应。
紫队：攻防演习中新近诞生的一方，通常指监理方或者裁判方，促进红蓝对抗融合。
IDS：入侵检测系统，用于在黑客发起进攻或是发起进攻之前检测到攻击，并加以拦截。IDS 是不同于防火墙。防火墙只能屏蔽入侵，而 IDS 却可以在入侵发生以前，通过一些信息来检测到即将发生的攻击或是入侵并作出反应。
IPS：IPS 全称为 Intrusion-Prevention System，即入侵防御系统，目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。
堡垒机：运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。
VPN：虚拟专用网，在公用网络上建立专用网络，进行加密通讯，通过对数据包的加密和数据包目标地址的转换实现远程访问。
CTF（夺旗赛）：CTF (Capture The Flag) 中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
AWD 攻防对抗赛：AWD (Attack With Defense, 攻防兼备) 模式是一个非常有意思的模式，你需要在一场比赛里要扮演攻击方和防守方，攻者得分，失守者会被扣分。也就是说，攻击别人的靶机可以获取 Flag 分数时，别人会被扣分，同时你也要保护自己的主机不被别人得分，以防扣!

网络安全基础与渗透测试全流程指南

网络安全基础

网络安全的定义

网络安全的基本要素

网络安全的重要性

网络脆弱性的原因

网络安全涉及的内容

渗透测试详解

渗透测试简介

PETS 渗透测试执行标准

实际渗透测试中的流程

风险规避

OWASP Top 10 应用安全风险

渗透测试术语简介

结语

网络安全基础与渗透测试全流程指南

网络安全基础

网络安全的定义

网络安全的基本要素

网络安全的重要性

网络脆弱性的原因

网络安全涉及的内容

渗透测试详解

渗透测试简介

PETS 渗透测试执行标准

实际渗透测试中的流程

风险规避

OWASP Top 10 应用安全风险

渗透测试术语简介

结语

更多推荐文章

相关免费在线工具

更多推荐文章

相关免费在线工具

网络安全基础与渗透测试全流程指南

网络安全基础

网络安全的定义

网络安全的基本要素

网络安全的重要性

网络脆弱性的原因

网络安全涉及的内容

渗透测试详解

渗透测试简介

PETS 渗透测试执行标准

实际渗透测试中的流程

风险规避

OWASP Top 10 应用安全风险

渗透测试术语简介

结语

网络安全基础与渗透测试全流程指南

网络安全基础

网络安全的定义

网络安全的基本要素

网络安全的重要性

网络脆弱性的原因

网络安全涉及的内容

渗透测试详解

渗透测试简介

PETS 渗透测试执行标准

实际渗透测试中的流程

风险规避

OWASP Top 10 应用安全风险

渗透测试术语简介

结语

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具