iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 29
2
Security

資安這條路─以自建漏洞環境學習資訊安全系列 第 29

資安這條路 29 - [滲透測試] 滲透測試流程、資訊安全概論

終於到了倒數第二篇了,今天的文章說是為了滲透測試的流程,做了一下整理,當然每一個人在滲透測試的時候情況可能會不一定。

前期準備

  • 會提到開發能力,或多或少你需要會看得懂程式碼或是撰寫一些小工具,而我本身在資工系學習:C語言、C++、JAVA,自學 Python,在自我練習的期間學會如何看 PHP,當然你可能會學到 Linux Shell 怎麼寫,PowerShell 怎麼使用,總之多學程式語言不是壞事。
  • 基本知識可以等同這個系列前面所介紹的 HTML、HTTP、通訊與網路概論,如果你要談及資訊安全概論,不外乎就是從認識資訊安全的三大目的(CIA),也就是機密性、完整性、可用性,因為資訊安全的目標就是要保護資料的機密性、完整性、可用性,如果是針對企業還要遵循法規,比如台灣個資法或是歐盟 GDPR。
    • 機密性就會談及密碼學加解密的技術以及權限的存取控制
    • 完整性會談到雜湊函數、數位簽章與權限存取控制
    • 可用性會提到系統的容量規劃與備份和備援、負載平衡等與權限存取控制
  • 除了談談 CIA 還會學習資安風險、資安威脅、安全要求、資產、資產價值、控制措施,這就是所謂的資安管理的教學內容。
    • 資產:對組織有價值的實體或資源(人、軟體、設備、服務等)
    • 弱點:資產本身具備的脆弱點,發生的話可能造成 CIA 的損失
    • 威脅:資產於外在揭露的實體
    • 風險:當威脅成功造成弱點發生後,產生的損害程度
    • 控制措施:降低風險發生的措施或防護方式
  • 法律:我國訂定「資通安全管理法」、「國家機密保護法」、「個人資料保護法」、「行政院各機關的資訊安全管理要點」、「27000 系列的資安標準」等
    • GDPR:被遺忘權、個資可攜權、資訊取得權、個資處理反對權、個資處理限制權
  • 關於資訊安全風險管理的部分,這邊僅簡單列幾個關鍵字供大家參考
    • 威脅有機率導致弱點產生衝擊,造成資產有風險
    • 風險 = 衝擊 x 可能性(機率)
    • 資安風險管理架構與標準
      • NIST SP800-39 資訊系統風險管理參考指引
      • ISO 27005 資安風險管理指引
      • ISO 31010:2009
    • 風險評鑑:風險識別、風險分析、風險評估
    • 災害復原計畫(Disaster Recovery Plan,DRP)
    • 業務永續運作計畫(Business Continuity Plan,BCP)
    • 營運衝擊分析(Business Impact Analysis,BIA)
    • 評估最大可容許中斷的時間(Maximum Tolerable Downtime,MTD)
    • 日常維運、監控異常、稽核紀錄、弱點評估
    • GCB:政府組態基準,幫助簡化組態管理,規範終端一致性安全設定

滲透測試

  • 目的就是模擬駭客可能會入侵的手法來檢測系統、網站的安全性
    • 如何開始,滲透測試前要先跟客戶確認目標、範圍
      • 建議滲透方準備確認表格與客戶確認需求
      • 雙方確認好便可進行簽約,簽約非常重要,可以保障雙方
  • 滲透測試的分類
    • 黑貓白貓只要是會抓老鼠就是好貓
    • 黑箱白箱傻傻分不清楚
  • 滲透測試的範圍
    • 雖然沒有絕對的區分,但是可以大略分成 Server 與 網站應用程式
    • 這些範圍也是需要跟客戶談好可以攻擊到哪個程度
  • 以 testphp.vulnweb.com 為範例
    • 該網站為 Acunetix 為了測試自家產品 Web Vulnerability Scanner 所開發的測試網站
  • 進入 Recon 收集階段
      • 透過 nslookup 查看 IP 位置
      • 使用 nmap 進行端口掃描
      • 查看封包回傳的標頭內容
      • 透過 Chrome 擴充程式查看目標網站的資訊
      • Google Hacking
      • Google 永遠是你的好幫手
      • 公開資訊情蒐
      • 整理公開資訊
      • 弱點掃描
  • 我們透過以上的工具可以取得目標網站的基本資訊,當然還有許多工具可以使用,且我們介紹的工具還有很多進階的使用方法,大家可以自行 Google 查看工具的詳細使用方式。
  • 針對 Server 的弱點
      • 可以檢測的弱點類型
      • 可能造成弱點的地方
      • 常使用的工具
  • 弱點利用與提權階段
    • 取得網站基本資訊,可以了解網站的架構,也會透過繪製網站的地圖,紀錄 路徑、參數、說明、方法(POST,GET)等
    • 再來就是透過我們前面所介紹的網站弱點去進一步的檢測
    • 並不是每一次的滲透測試都需要取得最高權限,一切皆以當初簽約與客戶談的內容為主,若客戶不能接受取得權限,滲透測試人員就不該繼續攻擊。
  • 整理檢測到的弱點
    • 弱點種類
    • 弱點說明
    • 弱點截圖
    • CVSS 分數
    • 弱點危害
    • 修復建議
  • 撰寫報告
    • 報告內要提到檢測目標與範圍與執行期間
    • 怎麼檢測的方法與流程
    • 結果列表與說明
    • 修正建議
    • 結論
  • 最後就看簽約有沒有包含複測與複測報告

上一篇
資安這條路 28 - [作業系統] Windows、Linux
下一篇
資安這條路 30 - [WebSecurity] 統整弱點
系列文
資安這條路─以自建漏洞環境學習資訊安全31

1 則留言

0
iT邦新手 5 級 ‧ 2020-10-20 16:13:48

這個圖解也做得太詳細了~

我要留言

立即登入留言