技術問答
技術文章
iT 徵才
Tag
聊天室
2024 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
第 12 屆 iThome 鐵人賽
DAY
29
4
Security
資安這條路─以自建漏洞環境學習資訊安全
系列 第
29
篇
資安這條路 29 - [滲透測試] 滲透測試流程、資訊安全概論
12th鐵人賽
飛飛
團隊
路上撿組員
2020-10-14 23:54:06
11348 瀏覽
分享至
終於到了倒數第二篇了,今天的文章說是為了滲透測試的流程,做了一下整理,當然每一個人在滲透測試的時候情況可能會不一定。
前期準備
會提到開發能力,或多或少你需要會看得懂程式碼或是撰寫一些小工具,而我本身在資工系學習:C語言、C++、JAVA,自學 Python,在自我練習的期間學會如何看 PHP,當然你可能會學到 Linux Shell 怎麼寫,PowerShell 怎麼使用,總之多學程式語言不是壞事。
基本知識可以等同這個系列前面所介紹的 HTML、HTTP、通訊與網路概論,如果你要談及資訊安全概論,不外乎就是從認識資訊安全的三大目的(CIA),也就是機密性、完整性、可用性,因為資訊安全的目標就是要保護資料的機密性、完整性、可用性,如果是針對企業還要遵循法規,比如台灣個資法或是歐盟 GDPR。
機密性就會談及密碼學加解密的技術以及權限的存取控制
完整性會談到雜湊函數、數位簽章與權限存取控制
可用性會提到系統的容量規劃與備份和備援、負載平衡等與權限存取控制
除了談談 CIA 還會學習資安風險、資安威脅、安全要求、資產、資產價值、控制措施,這就是所謂的資安管理的教學內容。
資產:對組織有價值的實體或資源(人、軟體、設備、服務等)
弱點:資產本身具備的脆弱點,發生的話可能造成 CIA 的損失
威脅:資產於外在揭露的實體
風險:當威脅成功造成弱點發生後,產生的損害程度
控制措施:降低風險發生的措施或防護方式
法律:我國訂定「資通安全管理法」、「國家機密保護法」、「個人資料保護法」、「行政院各機關的資訊安全管理要點」、「27000 系列的資安標準」等
GDPR:被遺忘權、個資可攜權、資訊取得權、個資處理反對權、個資處理限制權
關於資訊安全風險管理的部分,這邊僅簡單列幾個關鍵字供大家參考
威脅有機率導致弱點產生衝擊,造成資產有風險
風險 = 衝擊 x 可能性(機率)
資安風險管理架構與標準
NIST SP800-39 資訊系統風險管理參考指引
ISO 27005 資安風險管理指引
ISO 31010:2009
風險評鑑:風險識別、風險分析、風險評估
災害復原計畫(Disaster Recovery Plan,DRP)
業務永續運作計畫(Business Continuity Plan,BCP)
營運衝擊分析(Business Impact Analysis,BIA)
評估最大可容許中斷的時間(Maximum Tolerable Downtime,MTD)
日常維運、監控異常、稽核紀錄、弱點評估
GCB:政府組態基準,幫助簡化組態管理,規範終端一致性安全設定
滲透測試
目的就是模擬駭客可能會入侵的手法來檢測系統、網站的安全性
如何開始,滲透測試前要先跟客戶確認目標、範圍
建議滲透方準備確認表格與客戶確認需求
雙方確認好便可進行簽約,簽約非常重要,可以保障雙方
滲透測試的分類
黑貓白貓只要是會抓老鼠就是好貓
黑箱白箱傻傻分不清楚
滲透測試的範圍
雖然沒有絕對的區分,但是可以大略分成 Server 與 網站應用程式
這些範圍也是需要跟客戶談好可以攻擊到哪個程度
以 testphp.vulnweb.com 為範例
該網站為 Acunetix 為了測試自家產品 Web Vulnerability Scanner 所開發的測試網站
進入 Recon 收集階段
透過 nslookup 查看 IP 位置
使用 nmap 進行端口掃描
查看封包回傳的標頭內容
透過 Chrome 擴充程式查看目標網站的資訊
Google Hacking
Google 永遠是你的好幫手
公開資訊情蒐
整理公開資訊
弱點掃描
我們透過以上的工具可以取得目標網站的基本資訊,當然還有許多工具可以使用,且我們介紹的工具還有很多進階的使用方法,大家可以自行 Google 查看工具的詳細使用方式。
針對 Server 的弱點
可以檢測的弱點類型
可能造成弱點的地方
常使用的工具
弱點利用與提權階段
取得網站基本資訊,可以了解網站的架構,也會透過繪製網站的地圖,紀錄 路徑、參數、說明、方法(POST,GET)等
再來就是透過我們前面所介紹的網站弱點去進一步的檢測
並不是每一次的滲透測試都需要取得最高權限,一切皆以當初簽約與客戶談的內容為主,若客戶不能接受取得權限,滲透測試人員就不該繼續攻擊。
整理檢測到的弱點
弱點種類
弱點說明
弱點截圖
CVSS 分數
弱點危害
修復建議
撰寫報告
報告內要提到檢測目標與範圍與執行期間
怎麼檢測的方法與流程
結果列表與說明
修正建議
結論
http://weblab.feifei.com.tw/pt.html
這篇報告應該 2017 年所撰寫的,請鞭小力一點 XD
最後就看簽約有沒有包含複測與複測報告
留言
1
追蹤
檢舉
上一篇
資安這條路 28 - [作業系統] Windows、Linux
下一篇
資安這條路 30 - [WebSecurity] 統整弱點
系列文
資安這條路─以自建漏洞環境學習資訊安全
共
31
篇
目錄
RSS系列文
訂閱系列文
289
人訂閱
27
資安這條路 27 - [伺服器軟體]Web 應用伺服器-Tomcat、Weblogic、Websphere、Jboss
28
資安這條路 28 - [作業系統] Windows、Linux
29
資安這條路 29 - [滲透測試] 滲透測試流程、資訊安全概論
30
資安這條路 30 - [WebSecurity] 統整弱點
31
資安這條路 31 - [WebSecurity] 資源分享
完整目錄
直播研討會
{{ item.subject }}
{{ item.channelVendor }}
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
1 則留言
0
翔
iT邦新手 5 級 ‧
2020-10-20 16:13:48
這個圖解也做得太詳細了~
回應
檢舉
登入發表回應
我要留言
立即登入留言
iThome鐵人賽
參賽組數
1064
組
團體組數
40
組
累計文章數
22195
篇
完賽人數
600
人
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
16th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
2019鐵人賽
javascript
2018鐵人賽
python
2017鐵人賽
windows
php
c#
windows server
linux
css
react
vue.js
熱門問題
請問內網IP如何轉外網IP?
兩端防火牆使用IPSEC互PING之問題
如何寫公式才能利用excel 觸發一個數據時傳送一個訊息給 自已的line呢?有沒有可以用其它方式,來取代line notify 的方法,因為line 開始收費
Windows7升級Windows10後網路功能異常
python爬蟲 動態生成網頁104人力銀行
區域網路問題提問
新手學習編程,哪種編程語言好?
vmware 虛擬機(windows)裡顯示使用容量與實際檔案容量不符合
2台 Hyper-V 2008 R2 叢集主機(硬體規格相同), 如何加入一台新機? 謝謝.
OBS使用問題
熱門回答
請問內網IP如何轉外網IP?
防火牆與DNS請教
Fortigate 50B 重置密碼
新手學習編程,哪種編程語言好?
區域網路問題提問
熱門文章
每日一篇學習筆記 直到我做完專題 :( [Day31]
每日一篇學習筆記 直到我做完專題 :( [Day32]
每日一篇學習筆記 直到我做完專題 :( [Day33]
每日一篇學習筆記 直到我做完專題 :( [Day34]
隨時切換 WINDOWS 右鍵新舊版選單
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}