黑客入门该知道的安全测试各种姿势 _安全测试

文章插图

今年以来，红蓝攻防演练在企业安全服务市场变得非常火热，特别是在演习行动推动下，很多企业都会在实际演习行动之前都会进行一两轮、甚至三四轮的攻防演练，以提前发现企业安全体系建设中的短板与弱项。
然而，有些企业就开始有点迷茫了，我们公司一直在购买渗透测试服务，还有必要搞红蓝攻防演练吗？
渗透测试与红蓝攻防演练到底有何不同呢？
在此，笔者就来聊聊渗透测试的各种姿势，以方便大家在购买安全服务时进行比较。

一.渗透测试基本概念
【黑客入门该知道的安全测试各种姿势】根据百度百科的定义：渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种机制。
搜狐网某网友分享的定义：渗透测试就是在取得客户授权的情况下，通过模拟黑客攻击来对客户的整个信息系统进行全面的漏洞查找、分析、利用，最后给出完整的渗透报告和问题解决方案。
从这些定义看，渗透测试内涵其实还是非常宽泛的，没有限定具体的表现形式。
因此，在具体实施过程中，甲方公司根据各自的企业情况（如风险容忍程度、CTO/CSO个人喜好、预算投入、财务制度等）进行灵活的协商，形成了适应企业实际情况的渗透测试模式，可以说，在一千个企业里，就存在着一千种渗透测试模式。

二.渗透测试的各种姿势（一）上线前渗透测试这应该是各种企业安全测试的标配了，一般都是信息系统已经完成了联调联试，各项功能指标、技术指标已经达到了设计要求之后，在企业的测试环境中进行的一次渗透测试。
从某种意义说，上线前的渗透测试就是一个安全的Checklist，一般关注技术性漏洞，利用各种工具检查系统存不存在xss、文件上传、越权访问、命令执行等漏洞。
渗透测试结果一般直接转给业务系统开发人员，对企业内其他人员的安全意识传导作用比较薄弱。

目标系统：单个业务系统的测试环境系统
涉及人员：业务系统开发人员、组织测试的安全人员
风险程度：最小，测试环境实施，不会影响业务。
发现问题的影响面：单个系统
乙方厂商组织形式：一般会采用购买人力包或项目包的方式实施，购买一至两家安全厂商的服务，在此推荐至少购买两家，形成竞争格局。
局限性：难以实现测试面全覆盖、不能发现因上线过程中配置失误导致的安全漏洞。

（二）上线后定期在线安全测试因为上线前的渗透测试不能发现因上线过程中配置失误导致的安全漏洞
所以，有些企业就会采用上线后定期在线安全测试的形式，比如，每季度、每个重大活动之前等。
根据实际情况，在线安全测试的目标可以选择专门针对某一系统或几个系统，也可以选择全量的在线业务系统。
安全测试不仅是从技术角度正面进攻检测漏洞，还会通过端口扫描、资产发现、管理后台扫描等手段，发现因配置失误导致的安全漏洞。

目标系统：一个或多个生产环境系统
涉及人员：业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员
风险程度：存在一定风险，一是有些高危操作可能会给企业生产数据造成脏数据的风险；二是有些渗透测试人员发现漏洞不报告，私自下载企业业务数据。
发现问题的影响面：单个系统
乙方厂商组织形式：一般会采用购买人力包或项目包的方式实施，购买一至两家安全厂商的服务，在此推荐至少购买两家，形成竞争格局。
局限性：难以实现测试面全覆盖。

（三）依托众测平台的安全众测2010年成立的乌云网，聚集了一批民间渗透测试高手，俗称“白帽子”，后来发展成为国内颇具影响力的漏洞平台。
2011年，刚成立一年的乌云网连续披露京东、支付宝、网易等著名互联网企业存在高危漏洞，此后又接连指出支付宝2500万用户资料泄露、如家酒店开房信息泄露、腾讯7000万QQ群用户数据泄露等一系列安全问题。
据说，那时候企业安全人员每天起床的第一件事就是打开乌云平台，看看有没有自家的安全漏洞。
乌云网的兴起让人们看到了渗透测试领域的“人民战争”、“群众路线”威力。
其后，乌云网因种种原因而停站，但是，其后却兴起了一批以专门提供众测服务的安全厂商，比较典型的有漏洞盒子安全众测平台、360补天安全众测平台、阿里先知安全众测平台、SOBUG安全众测平台等。