對于客戶的滲透測試來說,在進行前與使用者溝通某些有關事項是非常必要的:首先是滲透測試的目的:使用者這次的需求是什麼?等待保險、日常安全檢查或者其他目的,不同的目的決定了不同的漏洞評估等級,在測試過程中也感受到不同的方法。二是滲透測試總體目标:總體目标通常分為伺服器和軟體系統,這兩個總體目标的滲透方式大緻相同。做軟體系統的滲透測試,還要辨識軟體系統後端的伺服器。往往在軟體系統滲透失敗的時候,我們可以從伺服器層面突破,反之亦然。第三是總體目标環境:通常我們的滲透測試會在兩個環境下進行,一個是生産環境,一個是測試環境。不同的環境對滲透測試有不同的要求。假如是生産環境,我們還要防止DoS拒絕服務、跨站腳本攻擊等可能造成服務中斷或延遲服務響應的攻擊;其次,生産環境的測試周期還要選擇在非業務高峰期;在生産環境中進行滲透測試時,還還要防止向總體目标插入、删除或修改資料。
在不同的總體目标環境下,滲透測試也會面臨一個問題,就是如何通路總體目标環境。一般來說,我們可以直接測試對網際網路開放的生産系統或伺服器;但是,如果使用者的測試總體目标是内部系統或伺服器,特别是測試環境,則不能直接通路網際網路。這時候我們有幾個選擇:一個是進入使用者站點進行滲透測試,一個是以VPN或者IP位址接入白名單的形式接入。記住一點,如果你在家裡做滲透測試,建議買雲主機提供公網IP,由于這種IP位址是固定不動的,家裡的光纖寬帶通常是動态IP位址,是以使用者通常不應該允許添加這種類型的動态IP位址接入。第四是執行時間:我在第三點也提到了這一點,主要還要和使用者确認,尤其是在生産環境中。第五是風險規避方案:與使用者協商制定好的風險規避方案,有助于我們應對測試過程中的各種突發事件。實施系統備份并制定應急計劃,以便在緊急情況下恢複系統;做好試驗期間的安全監控,發現異常及時停機。
溝通完以上,就可以進行技術測試了。技術測試的這一部分是一個常見的話題。事實上,當你有滲透測試用例的時候,你會發現這部分技術測試是:1。正常操作;2.“瑣碎”思維的奇思妙想;3.毅力。我們還是從流程上貫穿整個技術測試:第一步是資訊收集,記住做資訊收集的時候要考慮滲透測試的目的。子域名搜集:還要留意這一步是否有必要。如果使用者的目的隻是為了測試一個域名的安全性,那麼做子域名搜集意義不大。如果是為了某個目的要求滲透個網站,就要做子域名搜集。搜集子域的方法往往是DNS漏洞、蠻力破解、DNS解析和查詢等。對于部分滲透,邊站查詢也是一種思路。很多客戶想要對自己的網站進行滲透測試服務可以去網上看看,目前像國内的SINESAFE,鷹盾安全,啟明星辰,綠盟,都是做安全的大公司。
IP位址資訊收集:c、b段主要用于總體目标過去IDC機房或自建私有雲存儲。如果是雲環境,可以關注私鑰或Token的洩露。在本文的最後,我放了某些關于雲環境滲透的參考資料。港口及服務資訊:主要通過相關工具掃描,如nmap、masscan。敏感目錄和相對路徑:留意借助平日搜集的字典和工具辨識回報的方式;網絡容器和後端元件可以通過某些浏覽器插件或掃描器來識别。CMS:這種更重要。通常大客戶要麼是自己開發的系統,要麼是成熟的CMS系統。我們搜集這些資訊是為了友善我們查詢已知的漏洞以進行進一步的攻擊;其他資訊:還有賬号密碼、Token、AK/SK資訊、曆史漏洞、曆史漏洞中的敏感資訊等資訊,主要通過搜尋引擎和第三方平台(GitHub是主要管道)搜集。搜集資訊更重要的是平日的字典和工具庫的搜集,以及搜集資訊的靈活方式。