Penetration Testing - Method

注射器测试是综合技术,综合考虑各种系统和测试问题,分析,并提供解决办法。 其依据是分阶段进行渗透检测的有条理的程序。

本章介绍了渗透检测方法的各种步骤或阶段。

Steps of Penetration Testing Method

以下是7个渗透检测步骤:

Planning & Preparation

规划和准备工作首先要确定渗透检测的目的和目标。

客户和测试者共同界定了目标,以便双方有相同的目标和理解。 渗透检测的共同目标是:

To identify the vulnerabipty and improve the security of the technical systems.

Have IT security confirmed by an external third party.

Increase the security of the organizational/personnel infrastructure.

Reconnaissance

侦察包括对初步信息的分析。 在很多时候,检验员除初步信息外没有其他许多信息,即IP地址或IP地址。 测试员首先分析现有信息,如需要,要求客户提供更多信息,如系统说明、网络计划等。 这一步骤是被动渗透测试,即某种。 唯一目的是获得系统的完整和详细信息。

Discovery

在这一步骤中,渗透检测器将最有可能使用自动工具,对发现弱点时使用目标资产进行扫描。 这些工具通常都有自己的数据库,详细说明最新的弱点。 然而,检测器发现

Network 发现——例如发现更多的系统、服务器和其他装置。

它在这些装置上决定开放港口。

它对港口进行拦截,以发现它们实际拥有的服务。

Analyzing Information and Risks

在这一步骤中,测试者分析并评估在测试步骤之前收集的信息,以便动态地将该系统渗透起来。 由于系统数量庞大,基础设施规模大,因此耗时极多。 在分析时,测试者考虑了以下要素:

渗透测试的确定目标。

该系统的潜在风险。

对随后积极渗透检测的潜在安全缺陷进行评估所需的估计时间。

然而,从已查明的系统清单来看,测试者可能只选择测试那些含有潜在脆弱性的系统。

Active Intrusion Attempts

这是必须在适当照顾下执行的最重要步骤。 这一步骤意味着发现步骤中查明的潜在脆弱性具有实际风险的程度。 在需要核查潜在脆弱性时,必须采取这一步骤。 对于要求高度廉正的系统,在进行关键的清理程序之前,必须仔细考虑潜在的脆弱性和风险。

Final Analysis

这一步骤主要考虑到那时为止采取的所有步骤(上文讨论),并评估以潜在风险的形式出现的弱点。 此外,测试员建议消除脆弱性和风险。 最重要的是,测试者必须保证测试的透明度及其暴露的脆弱性。

Report Preparation

报告编写工作必须首先采用总体测试程序,然后分析脆弱性和风险。 高风险和重大脆弱性必须具有优先事项,然后是顺序较低。

然而,在记录最后报告时,需要考虑以下几点:

Overall summary of penetration testing.

Details of each step and the information gathered during the pen testing.

Details of all the vulnerabipties and risks discovered.

Details of cleaning and fixing the systems.

Suggestions for future security.