渗透测试流程规范
[TOC]
渗透测试流程规范
为规范渗透测试当中的工作流程,方便团队协作与管理,特制定本规范。
信息收集
信息收集的目的是为了全面的了解目标网站/系统,从而可以确定潜在攻击面以及攻击方法。
信息收集工作内容包括但不限于:
- whois信息
- 域名/IP地址
- 目标域名/IP开放端口
- (若在测试范围)子域名/IP信息
- 目标网站信息,如服务器操作系统,使用的变成语言,使用的Web服务器及版本,后端可能的数据库服务器
- 目标网站/系统敏感目录文件
- 目标网站/系统登录后台
前渗透
前渗透主要工作是拿到目标网站/系统的数据或权限,并以此为突破口进行后续流程。
前渗透的工作内容包括但不限于:
- 敏感信息泄漏检测
- 权限验证检测
- 不安全的验证机制检测
- 暴力破解检测
- SQL注入漏洞检测
- XSS漏洞检测
- 命令注入检测
- 文件上传漏洞检测
- 文件包含漏洞检测
- 服务器漏洞检测
- Web服务器及中间件漏洞检测
后渗透
后渗透主要工作是对前渗透阶段拿到的网站/系统的数据或权限,对目标网站/系统所在的网络进行进一步渗透测试以及持久化。
后渗透的工作内容包括但不限于:
- 收集目标主机信息,包括:
- 当前系统用户及权限
- 当前网络状态
- 当前系统版本及补丁状态
- 反病毒/防火墙信息
- 收集敏感文件信息
- 收集目标主机所在内网信息,包括:
- 内网存活主机扫描
- 内网端口扫描
- 域环境信息
- 权限提升
- 横向移动
- 持久化
- 内网系统漏洞检测及利用
测试报告
测试报告是对一次渗透测试结果的分析及总结,其内容应包括但不限于:
概述
- 测试目的
- 测试范围
- 测试团队详细信息
- 测试结果综述
详细测试流程
- 测试工具列表
- 测试步骤
- 每个漏洞一个标题/标号
- 测试步骤应将所有发现的漏洞/风险体现,使得技术人员通过渗透测试报告进行漏洞复现。
风险评级
对目标网站/系统进行综合评价。
漏洞详情及修复建议
针对每个漏洞进行分析,包括:
- 风险评级
- 漏洞描述
- 漏洞影响
- 修复建议