滲透測試、入侵測試

滲透測試是什麼?Penetration Test以駭客思維入侵測試,提升資安!天矽科技

滲透測試是什麼?Penetration Test以駭客思維入侵測試,提升資安!天矽科技

 

目錄:
滲透測試是什麼
滲透測試流程
滲透測試標準

 

    滲透測試是以模擬駭客攻擊的手法,進行企業網站、系統或設備的攻破與入侵,主要可以發現並評估網站或程式是否存在漏洞或有需修補的漏洞,透過滲透測試,找出網站程式、或硬體主機的資安弱點,並且分析測試目標風險層級,評估修補漏洞,提升網站整體的資訊安全。

滲透測試是什麼


 滲透測試 Penetration Test,是為了證明網路防禦有按照預期計畫正常執行的一種機制,測試方式為利用、模擬駭客與惡意使用者的思維,嘗試攻破入侵企業網站、資訊系統或設備等軟體,分析測試目標的風險層級,評估安全性是否有待加強,而這項測試的最終目的,是為了在受到真正的攻擊之前,能夠提早發現安全性的漏洞並加以改善修正。

   執行滲透測試之前,通常也會先進行「弱點掃描」,由於弱點掃描是以「自動化掃描軟體」進行,能夠在較短的時間內,掃描出網站或程式中可能有的漏洞或錯誤,但是檢測深度通常較淺,主要是針對已知的漏洞進行檢查、修補,無法提供這些漏洞,會如何被攻擊。

   滲透測試會根據弱點掃描結果,做更深入的檢測,並運用已知的漏洞進行模擬攻擊,並在攻擊後回報潛在漏洞給開發人員進行修補。

   滲透測試檢測的範圍包含以下:

檢測範圍 說明
軟體
  • 連線狀態管理、資料保護及傳輸、錯誤處理
  • 認證檢測、存取權限和存取控制檢測、權限提升跳脫
  • 輸入資料檢測測試、AJAX測試、可用度解析
  • 檢測資訊洩漏、應用程式之弱點研究與驗證
  • 資料庫之弱點研究與驗證
  • 商業邏輯漏洞診斷、風險評估
硬體
  • 網路設備:路由器、防火牆之弱點研究與驗證
  • 無線網路:Wi-Fi加密問題、開放無線接入點
  • 物理安全:入侵模擬測試、主機硬體設備漏洞

 

弱點掃描與滲透測試的差異

檢測項目 弱點掃描 滲透測試
目的

在較短時間內檢測網站已知的漏洞或弱點

模擬駭客的攻擊手法、入侵模擬
檢測深度 較淺,主要檢測已知漏洞 較深,深入模擬攻擊、詳細挖掘漏洞帶來的影響
檢測範圍 網站程式(軟體) 網站程式(軟體)、主機設備(硬體)
報告產出 生成弱點掃描報告,列出風險項目 詳細漏洞說明及修補建議

 

  • 弱點掃描:
    由「自動化掃描軟體」進行,可在短時間內執行完畢,需要付出的時間與金錢成本較低。
  • 滲透測試:
    滲透測試會模擬駭客攻擊方式,利用不同的弱點進行組合式攻擊,驗證是否有任何方式可突破受測目標的防禦,付出的時間與金錢成本較高。
     

 弱點掃描成本較低,但僅能檢測出既有的漏洞,比如說程式語法上的撰寫安全漏洞問題;而滲透測試,是以組合方式進行突破,可即時檢測出最新的安全漏洞並給予修補建議,企業可依照需求進行選擇。

 

滲透測試流程


 進行滲透測試的流程會有哪些?大流程為以下 ↓

 首先,會進行專案需求的確認,並簽署、取得合法滲透授權,才可執行滲透測試(取得授權這一點非常重要),測試後會獲得一份測試結果報告,開發人員會透過這份報告,進行漏洞的修補,不過測試的時間,會依照受測目標的規模大小訂定,通常最少會需要一個月的時間,詳細說明如下。

 

01 專案需求確認

 客戶(企業)提出滲透測試的要求,需求方與執行方需深度訪談充分溝通、了解檢測標的,接著簽署合約,取得合法的滲透授權才可繼續;取得授權是一件非常重要的一環,代表測試方並非惡意使用者,是因安全性需求,才會進行入侵的行為。

 

02 執行滲透測試

 流程02,會細分五個步驟,詳細為以下說明。

  1. 準備階段
    確認執行的方式、範圍、時間與測試計畫,並蒐集受測目標的公開資訊,如Domain、IP位置和帳號…等。

  2. 資料蒐集
    依循OSSYMM(Open Source Security Testing Methodology Manual)建立執行架構、策略、資料蒐集、分析與目標滲透步驟,並測試是否有敏感資訊或系統訊息洩漏。

  3. 資料分析、弱點掃描
    掃描受測目標已知的弱點,各項測試廠商提供與採用的測試標準不一,但大多都會以OWASP(Open Web Application Security Project)所提供的年度十大安全風險排行榜所揭露的風險作為主要的檢測標準。

  4. 目標滲透
    測試應用程式、軟體、邏輯與系統,以不同的方式執行滲透測試的作業,並破解密碼等目標項目。若取得伺服器控制權限,會再嘗試取得伺服器最高權限,或滲透內網其他伺服器。

  5. 弱點報告
    測試完畢,獲取測試報告書。

 

03 滲透測試報告

 當滲透測試檢測完畢後,會獲得一份測試報告,其中詳細列出了各式的弱點進入點、風險等級、測試與修補方式等資訊,讓開發人員可以透過這份報告進行安全性與漏洞的修補。

 

04 執行修補處理

    獲取滲透測試初始報告後,開發人員需依報告列出的漏洞或風險,進行程式碼或主機硬體的修補,如有不清楚的地方,可依報告列出的建議執行修補,修補完畢後,需再進行第二次複測,如果複測依然存在漏洞,需再修補,直到報告顯示完全無高、中風險。

 

滲透測試標準


 目前滲透測試沒有強制規定的標準化流程可遵循,但大多都會依照 OWASP 和 OSSTMM 中的測試安全指南進行測試,有些則會再使用 SANS 做為檢測標準。

 

SANS

 SANS(System Administration, Networking and Security) 美國安全研究機構,SANS Top20 風險元件如下。
 

  1. 授權和未授權設備 Inventory of Authorised and Unauthorised Devices
  2. 授權和未授權軟件清單 Inventory of Authorised and Unauthorised Software
  3. 移動設備、筆記型電腦、工作站和伺服器上硬體和軟體的安全配置 Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations and Servers 
  4. 持續漏洞評估和修復 Continuous Vulnerability Assessment and Remediation
  5. 受控使用管理權限 Controlled Use of Administrative Privileges
  6. 審計日誌的維護、監控和分析 Maintenance, Monitoring and Analysis of Audit Logs
  7. 電子郵件和 網站瀏覽器保護 Email and Web Browser Protections 
  8. 惡意軟件防禦 Malware Defenses
  9. 網路端口、協議和服務的限制和控制 Limitation and Control of Network Ports, Protocols and Services
  10. 數據恢復能力 Data Recovery Capability
  11. 安全配置用於網絡設備,例如防火牆、路由器和交換機 Secure Configurations for Network Devices, such as Firewalls, Routers and Switches
  12. 邊界防禦 Boundary Defense 
  13. 數據保護 Data Protection 
  14. 基於需要了解的受控訪問 Controlled Access Based on the Need to Know 
  15. 無線訪問控制 Wireless Access Control 
  16. 帳戶監控 Account Monitoring and Control 
  17. 安全技能評估和適當培訓以填補空白 Security Skills Assessment and Appropriate Training to Fill Gaps 
  18. 應用軟體安全 Application Software Security
  19. 事件響應和管理 Incident Response and Management
  20. 滲透測試和紅隊練習 Penetration Tests and Red Team Exercises 

資料來源:
CYBER MANAGEMENT|Sans Top 20 Controls

 

OSSTMM

 OSSTMM(Open Source Security Testing Methodology Manual) 開源安全測試方法論,風險報告如下。
 

  1. Phishing
  2. Social Engineering
  3. Ransomware
  4. Downloaders
  5. Drive-by Downloads / Download Hijacking
  6. Malvertising
  7. Zero-Day Attack
  8. Password Cracking
  9. Distributed Denial of Service Attack (DDoS)
  10. Scareware
  11. SQL Injection

資料來源
ISECOM
ISECOM|THE OPEN SOURCE CYBERSECURITY PLAYBOOK

 

OWASP

 OWASP(Open Web Application Security Project)開放網路安全計畫,以下為2021 OWASP Top 10安全風險。
 

  1. Broken Access Control
  2. Cryptographic Failures
  3. Injection
  4. Insecure Design
  5. Security Misconfiguration
  6. Vulnerable and Outdated Components
  7. Identification and Authentication Failures
  8. Software and Data Integrity Failures
  9. Security Logging and Monitoring Failures
  10. Server-Side Request Forgery

 

資料來源:
OWASP|OWASP Top Ten

參考資料:
DEVCORE|滲透測試服務是什麼
GAIA|弱點掃描VS滲透測試,有何差別?

延伸閱讀:
Acunetix網頁弱點掃描,網站漏洞應立即修補

 

share FB LINE
看天矽作品集 回上一頁
ID:@323foylw