我的渗透测试之道
我做渗透测试也有一段时间了,服务了很多企事业单位,由于我所在的单位性质的关系,也接触到了很多其他公司接触不到的项目,从中也积累了很多的经验。
渗透测试怎么做,我也想跟大家分享一下。
在很多时候我们面对的总是不一样的客户,不一样的人,在客户关系的处理上我也有我自己的一些方法的。
我们在项目开始做之前,会询问客户的要求,会把一些项目中可能出现的问题,会提前告诉客户,以便客户能把一些重要数据进行备份,关键的系统能够帮我们提前准备好测试环境。我也同时跟客户讲,我们的测试方法可靠,不会对系统造成任何破坏,由于采用纯手工的方式进行测试,所以对系统的危害是可控的。
在项目实施过程中,我们一般都愿意客户在我们的身边,看着我们对系统如何进行测试的,有很多客户也非常关心这块。我们在发现系统问题的时候,也是在第一时间就愿意告诉客户,提示他在某个地方存在系统漏洞,能够造成什么样的危害等等。
现在的企业,由于一些系统都是在几年前就做好的,且几年前的系统安全性跟现在的根本没法比,所以存在的漏洞也是非常多,动动就直接拿服务器权限等等,我们虽然是服务提供者,但也经常站在客户的角度,对客户的系统充满担忧,有时候做完一个项目,心里总在想:“幸好有我在,很多漏洞被我发现了,要是被恶意利用可怎么办 !”。
由于近似完美的服务,每次做完项目,客户都对我们服务评价非常高,得到了客户认可,这也是我们做服务的价值体现。
可是有的时候,也难免会碰到一些古怪的客户,在处理问题上,我有时候也会实话实说,不隐瞒我内心的真实想法,毕竟有时候如果出了问题,当责任的是我们,我得对我的公司、领导和我小伙伴负责,我也想跟客户说,咱的系统有问题不要紧,合作也当然是建立在相互信任基础上,如果您当心系统漏洞多,怕影响业务,我们可以商量一些其他的解决办法,没必要暗示我们出一些不符合真实情况的报告,我们也是有职业规范操守的。
在渗透测试的过程中,我也发现了客户普遍存在的一些问题,比如:买了安全防护设备,防护规则却没有配置,导致网站一直处于无防护状态,很容易遭受网络攻击;还有的就是安全防护不完整,网络拓扑结构比较凌乱,服务器这一个,那一个等等情况都比较常见。
事后,我们也会告诉客户系统之外的有可能存在的一些网络问题,提醒一下客户,顺便把我们临时的解决方案告诉给客户,先把目前存在的问题解决掉,过了一段时间,我们再去客户那边了解情况的时候,现状已经比从前好多了,安全防护等也比较完整,我一直相信,做好安全服务不一定在我们,主要也在客户,我们就像一个共同体一样,你好,我好,大家好。
服务完成后,我们一般会把完整的问题统计好告诉客户,并在几天内把完整报告附带解决方案给客户,由于客户在某些方面还存在不足,所以我们也愿意帮助客户解决客户自己解决不了安全的问题,帮助客户进行安全问题大扫除,这也是我们服务客户的宗旨。
我想说一下:
在做渗透服务过程中,由于我们的职业行为比较敏感,切勿对其他不相干系统尤其是其他重要进行测试,切勿使用攻击性扫描器对客户系统进行测试,一般常规只做渗透授权书里面的系统,如果在渗透测试过程中发现比较困难,可以与客户进行沟通,看是否可以取得测试账号等进行测试。
别动不动一上来就用扫描器,现在有的漏洞已经用扫描器扫不出来了,还是动手去找一下吧。
项目完成后,切勿把客户系统资料进行外传,网络传输时,对文件进行加密,以防止中途有人窃取文件信息,重要数据切勿在个人电脑进行保存。
渗透测试方法脑图:
渗透测试标准:
PTES:http://www.pentest-standard.org/index.php/Post_Exploitation
OSSTMM:http://www.isecom.org/research/osstmm.html
OWASP:https://www.owasp.org/index.php/Main_Page