web渗透测试的流程总结
目录
一、明确目标
二、信息收集
三、漏洞扫描
四、漏洞验证
五、信息分析
六、渗透攻击
七、信息整理
八、编写报告
九、复测
渗透测试一定是在取得授权、符合法律法规的情况下进行,否则一切攻击都属于违法行为。
下面九个标题是渗透测试流程,并结合我们内部做等保的实际情况做的整理:
一、明确目标
在进行Web渗透测试之前,需要确认此次测试的目标,包括确定测试需求(针对哪种类型的漏洞)、测试范围(划出范围以免越界)、测试规则(包括测试时间段、测试程度,以免影响正常的业务活动)、测试方法或使用的工具等。
在我们做等保时,第三方机构服务中按照要求有一项渗透测试,我们明确了需要渗透的目标、时间、不限制漏洞等,乙方提供渗透的公网IP地址作为备案。
二、信息收集
信息收集是Web渗透测试过程的第一步,也是非常重要的一步。在此阶段,我们需要尽可能多地收集关于Web系统的各种信息,信息收集的内容越丰富,攻击的成功率也会越高。
在拿到渗透目标后,乙方先做了信息收集,比如域名、IP、网页相关的信息等等。
三、漏洞扫描
漏洞扫描,是基于信息收集阶段收集到的各种信息,借助扫描工具对目标程序进行扫描,查找Web系统中存在的漏洞。网站漏洞扫描的工具有很多,如AppScan、OWASP-ZAP、Nessus等,常见的Web安全漏洞除了OWASP TOP 10,还包括XSS漏洞、CSRF漏洞、文件上传漏洞、文件包含漏洞、远程代码执行漏洞、越权访问漏洞、下载漏洞、XXE(XMLExternal Entity Injection,XML外部实体注入)漏洞等。
乙方使用了商业化+开源的漏洞扫描工具,对需要渗透的目标进行扫描,但由于防火墙、WAF等安全设备的防护,漏扫工具起到的作用不大,还是手工做漏洞的发现。
四、漏洞验证
在漏洞扫描阶段,Web渗透测试人员会得到很多关于目标Web系统的安全漏洞,但渗透测试人员不会直接将发现的所有漏洞当成渗透测试的结果。这些漏洞有时有误报的情况,需要测试人员结合实际情况搭建模拟测试环境来对这些漏洞进行验证,只有被确认的安全漏洞才能被利用来执行攻击。漏洞验证的方法有自动化验证(结合自动化扫描工具)、手动验证(使用公开的资源手动验证)和试验验证(搭建模拟环境验证)等。
对扫描或者发现的漏洞做分析验证。
五、信息分析
经过漏洞验证的各种Web安全漏洞就可以被利用起来向目标程序发起攻击。但是不同的漏洞对应不同的攻击机制和方法,这就需要进一步分析这些漏洞的特点,包括漏洞原理、可利用的工具、目标程序检测机制、攻击是否可以绕过检测和防护机制、定制攻击路径等,这样才能保证下一步的Web渗透攻击顺利执行。
在乙方实际的渗透过程中,信息分析这一步直接与上面几步结合在一起了,比如边收集信息边分析,边扫描边分析。
六、渗透攻击
根据步骤(1)~步骤(5)的结果开始对目标程序发起真正的Web渗透攻击,达到渗透测试的目的,如获取网站的用户账号和密码、截取传输数据、控制目标主机等。一般,Web渗透测试是一次性测试,攻击完成之后要进行清理工作,如删除相关访问和操作日志、上传的文件等,擦除测试人员进入系统的痕迹,防止被黑客利用踪迹实行入侵。
发现可以攻击的漏洞后就会发起攻击,渗透测试与红蓝对抗有很大的区别,渗透测试是更多的发现漏洞为主,而红蓝对抗以拿下目标靶机为主,红蓝对抗中只要有一处漏洞被攻击就意味着防守失败。
七、信息整理
渗透攻击完成之后,需要对Web渗透测试过程中的各种信息进行整理,包括用到了哪些渗透测试工具、收集到了哪些信息、获得了哪些漏洞等,为后面编写测试报告提供依据。
在经过前几步的工作后,将取得的成果进行整理,比如乙方在信息收集、漏洞扫描等得到的信息都会随时记录在word中,以便编写渗透测试报告。
八、编写报告
测试完成之后需要编写Web渗透测试报告,测试报告需列出以下内容:测试目标、信息收集方式、使用的漏洞扫描工具、漏洞情况、攻击过程、实际攻击结果及测试过程中遇到的问题等。此外,还要对存在的漏洞进行分析(包括等级及危害等),并提出合理、安全、有效的修补建议。
在做完所有的渗透动作后,就可以根据前面的信息编写渗透测试报告了。
九、复测
在漏洞修补完成后,甲方有可能会提出复测的要求,这时需要按照步骤(1)~步骤(8)对更新后的系统重新执行Web渗透测试。
当然了,发现漏洞不是目的,目的是修复漏洞,我们根据乙方验证的漏洞及修复建议进行修复操作,修复完成后,再请乙方复测。有些漏洞威胁级别低,可以选择不修复,但是中高危漏洞一定要修复,并且要有安全防护的设备及手段。