使您的渗透测试成功的循序渐进指南-IDC帮帮忙

他们说最好的防御是一个很好的攻击,在网络和数据安全方面,没有比渗透测试主动阻止黑客更好的方法了。在我们的文章什么是渗透测试?看看你应该永远不会跳过的网络安全策略,我们深入探讨了它是如何工作的以及它的一些好处。如果您正在寻求为您的网络投资更好的安全性或正在推出新的Web应用程序,那么现在是进行彻底的测试的最佳时机 - 但您可以做些什么来确保它成功?

以下是您在渗透测试期间需要采取的一些步骤以及每个步骤的提示。

1.设置pentest的目标

最佳渗透测试是那些具有明确范围和特定目标的测试。这有助于渗透测试人员为他们的测试创建模式,并确保您获得最集中的结果。

确定你想要的pentester尝试什么。例如,您可能设置目标,如“违反信用卡数据库”,“破解密码”或“中断并创建新的管理员帐户。”否则,您可能最终花费太多时间(和金钱)运行pentest看不到明显的结局。

2.给予书面许可并确定参与规则

您将要以书面形式向您的Pentester授予您允许使用该漏洞的权限。这可能包括保密协议和任何道德考虑因素,尤其是在您处理受监管数据或系统时。

3.让每个人都在同一页面上

渗透测试的优点在于它可以在您的网络墙内进行,也可以外包给远程专业人员或团队。如果您正在聘请外部顾问,请确定如何使内部团队与流程保持一致。您是否会让他们知道正在测试哪些系统,或者也是测试他们如何应对违规行为的测试?在开始防止任何摩擦或混乱之前,确保每个人都有目标。

4.侦察阶段

在第一阶段,渗透测试人员将扮演任何黑客的角色,搜索网络,社交媒体和您的网站,以尽可能多地收集公开信息。他们将收集技术和非技术数据,这些数据可以串联使用以得出一些有趣的结论。非技术信息可以包括您的位置,内部人员结构和行业,而技术见解可以包括电子邮件地址,硬件,IP范围和IT基础架构的组件。

5.发现和漏洞识别阶段

使用该侦察,测试者将提出攻击计划并开始主动查询系统以收集更多信息。最初,他们可能会使用网络和端口扫描来查看他们是否可以识别您的操作系统和Web服务器版本。此步骤的主要目标是尽可能多地识别您的系统,并创建可利用漏洞的列表。

相关文章:道德黑客:为什么你应该破解自己的网络

6.开发和入侵阶段

接下来,测试者将尝试使用任何必要的手段来利用已识别的漏洞。根据漏洞的不同,测试者可能会利用蛮力黑客攻击,社交工程(例如,在大厅或停车场留下受感染的拇指驱动器以供员工接收)或其他远程攻击。注意:如果您的测试者使用涉及贵公司个人的任何策略,请确定您是否以及何时会泄露该漏洞。了解更多我们的文章您应该如何欺骗自己的团队吗?

7.控制和收集证据阶段

一旦他们进入,测试者将执行你可以从黑客那里得到的各种行动,并收集他们在里面的证据:截取屏幕截图,抓取密码文件,上传或下载文件,查看网络摄像头,收听和录制音频他们也可能在网络上从一台机器转到另一台机器,以展示它们如何能够四处移动。

交付安全报告。除了证明他们能够完成的任务外,测试者还将提交任何弱点和成功漏洞的完整报告,然后您可以将其转化为行动项目,以确保最需要的网络。

8.修复任何已发现的弱点

有了手头的报告和熟练的网络安全专家,您将需要解决pentest中的漏洞。

提示:如果您还没有制定事件响应计划,那么这是一个很好的工作时间并进行测试的时间。

顶级PENTESTING工具

熟练的测试者使用哪些框架,软件和工具?以下是您在渗透测试人员库中寻找的一些顶级工具的简要列表。

  • 用于安全开发和测试的Metasploit开源软件框架
  • Nmap扫描程序,可识别网络中使用的端口和服务
  • Rapid 7Nexpose漏洞扫描程序用于实时发现和修复网络暴露
  • Wireshark  “数据包嗅探器”,允许测试人员监视和分析通过网络传输的数据包
  • Nessus漏洞扫描程序可识别恶意软件和网络配置问题
  • Core Impact涵盖所有基础,允许测试人员复制系统攻击,渗透移动设备安全性,并通过一系列功能识别和破解密码
  • Kali Linux(以前称为BackTrack Linux),另一种渗透测试解决方案
  • W3af开源Web应用程序攻击和审计框架,它使用跨站点脚本(XSS),SQL注入等来查找漏洞并降低安全风险
  • Sqlmap “接管工具”,可以检测和利用系统数据库中的SQL问题
  • John the RipperCain和Abel等密码破解工具或彩虹表可用于尝试嗅探密码或破解加密密码和网络密钥

准备开始渗透测试了吗?在Upwork上找到熟练的Web应用程序pentesternetwork pentester,以便在您的网络上远程执行道德黑客攻击。