渗透测试流程规范

[TOC]

渗透测试流程规范

为规范渗透测试当中的工作流程,方便团队协作与管理,特制定本规范。

信息收集

信息收集的目的是为了全面的了解目标网站/系统,从而可以确定潜在攻击面以及攻击方法。

信息收集工作内容包括但不限于:

  1. whois信息
  2. 域名/IP地址
  3. 目标域名/IP开放端口
  4. (若在测试范围)子域名/IP信息
  5. 目标网站信息,如服务器操作系统,使用的变成语言,使用的Web服务器及版本,后端可能的数据库服务器
  6. 目标网站/系统敏感目录文件
  7. 目标网站/系统登录后台

前渗透

前渗透主要工作是拿到目标网站/系统的数据或权限,并以此为突破口进行后续流程。

前渗透的工作内容包括但不限于:

  1. 敏感信息泄漏检测
  2. 权限验证检测
  3. 不安全的验证机制检测
  4. 暴力破解检测
  5. SQL注入漏洞检测
  6. XSS漏洞检测
  7. 命令注入检测
  8. 文件上传漏洞检测
  9. 文件包含漏洞检测
  10. 服务器漏洞检测
  11. Web服务器及中间件漏洞检测

后渗透

后渗透主要工作是对前渗透阶段拿到的网站/系统的数据或权限,对目标网站/系统所在的网络进行进一步渗透测试以及持久化。

后渗透的工作内容包括但不限于:

  1. 收集目标主机信息,包括:
    1. 当前系统用户及权限
    2. 当前网络状态
    3. 当前系统版本及补丁状态
    4. 反病毒/防火墙信息
  2. 收集敏感文件信息
  3. 收集目标主机所在内网信息,包括:
    1. 内网存活主机扫描
    2. 内网端口扫描
    3. 域环境信息
  4. 权限提升
  5. 横向移动
  6. 持久化
  7. 内网系统漏洞检测及利用

测试报告

测试报告是对一次渗透测试结果的分析及总结,其内容应包括但不限于:

概述

  1. 测试目的
  2. 测试范围
  3. 测试团队详细信息
  4. 测试结果综述

详细测试流程

  1. 测试工具列表
  2. 测试步骤
    • 每个漏洞一个标题/标号
    • 测试步骤应将所有发现的漏洞/风险体现,使得技术人员通过渗透测试报告进行漏洞复现。

风险评级

对目标网站/系统进行综合评价。

漏洞详情及修复建议

针对每个漏洞进行分析,包括:

  1. 风险评级
  2. 漏洞描述
  3. 漏洞影响
  4. 修复建议