web安全day39：渗透测试方法论

渗透测试方法论

渗透测试的种类

黑盒测试

白盒测试

脆弱性评估与渗透测试

安全测试方法论

OWASP TOP10

CWE:通用缺陷列表

CVE:通用漏洞与披露

漏洞、安全公告、补丁

渗透测试方法论

渗透测试是实施安全评估（即审计）的具体手段。方法论是在制定、实施信息安全审计方案时，需要遵循的规则、惯例和过程。人们在评估网络、应用、系统或者三者组合的安全状况时，不断摸索各种务实的理念和成熟的做法，并总结一套理论。

渗透测试的种类

黑盒测试

在进行黑盒测试时，安全审计员在不清楚被测单位的内部技术构造的情况下，从外部评估网络基础设施的安全性。在渗透测试的各个阶段，黑盒测试借助真实世界的黑客技术，暴露出目标的安全问题，甚至可以揭露尚未被他人利用的安全弱点。渗透测试人员应能理解安全弱点，将之分类并按照风险等级（高、中、低）对其排序。通常来说，风险级别取决于相关弱点可能形成危害的大小。老练的渗透测试专家应能够确定可能引发安全事故的所有攻击模式。当测试人员完成黑盒测试的所有测试工作之后，他们会把与测试对象安全状况有关的必要信息进行整理，并使用业务的语言描述这些被识别出来的风险，继而将之汇总成为书面报告。黑盒测试的市场报价通常会高于白盒测试。

白盒测试

白盒测试的审计员可以获取被测单位的各种内部资料甚至不公开资料，所以渗透测试人员的视野更加开阔。若以白盒测试的方法评估安全漏洞，测试人员可以以最小的工作量达到最高的评估精确度。白盒测试从被测系统环境自身出发，全面消除内部安全问题。从而增加了从单位外部渗透系统的难度。黑盒测试起不到这样的作用。白盒测试所需要的步骤数目与黑盒测试不相上下。另外，若能将白盒测试与常规的研发生命周期相结合，就可以在入侵者发现甚至利用安全漏洞之前，尽可能最早地消除全部安全隐患。这使得白盒测试的时间、成本，以及发现、解决安全弱点的技术门槛都全面低于黑盒测试。

脆弱性评估与渗透测试

脆弱性评估通过分析企业资产面临安全威胁的情况和程度，评估内部和外部的安全控制的安全性。这种技术上的信息系统评估，不仅揭露现有防范措施里存在的风险，而且要提出多重备选的补救策略，并将这些策略进行比较。内部的脆弱性评估可以保证内部系统的安全性，而外部的脆弱性评估则是验证边界防护的有效性。无论进行内部脆弱性评估还是外部脆弱性评估，评估人员都会采取各种攻击模式来严格测试网络资产的安全性，从而验证信息系统处理安全威胁的能力，进而确定应对措施的有效性。不同类型的脆弱性评估需要的测试流程、测试工具和自动化测试技术也不相同。这可以通过一体化的安全弱点管控平台来实现。现在的安全弱点管理平台带有可自动更新的漏洞数据库，能够测试不同类型的网络设备，而且不会影响配置管理和变更管理的完整性。

脆弱性评估和渗透测试的最大区别在于：渗透测试不仅要识别目标的弱点，还需要设计在目标系统上进行漏洞利用、权限提升和访问维护。即脆弱性评估虽然可以充分发现系统里的缺陷，但是不会考虑去衡量这些缺陷对系统造成的危害。另外，相比脆弱性评估，渗透测试更倾向于入侵，会刻意使用各种技术手段利用安全漏洞。所以渗透测试可能对生产环境带来实际的破坏性影响。而脆弱性评估以非入侵的方式，定性、定量识别已知安全弱点。

安全测试方法论

OWASP TOP10

开放式web应用程序安全项目(Open Web Application Security Project,OWASP)

测试指南

代码审查指南!!即OWASP Top 10

A01： 2021-失效的访问控制 Broken Access Control	从第5位上升成为Web应用程序安全风险最严重的类别；提供的数据表明，平均3.81%的测试应用程序具有一个或多个CWE，且此类风险中CWE总发生漏洞应用数超过31.8万次。在应用程序中出现的34个匹配为“失效的访问控制” 的CWE次数比任何其他类别都多。
A02： 2021-加密机制失效 Cryptographic Failures	排名上升一位。其以前被称为“A3:2017-敏感信息泄漏（SensitiveData Exposure） ” 。敏感信息泄漏是常见的症状，而非根本原因。更新后的名称侧重于与密码学相关的风险，即之前已经隐含的根本原因。此类风险通常会导致敏感数据泄露或系统被攻破。
A03： 2021-注入 Injection	排名下滑两位。 94%的应用程序进行了某种形式的注入风险测试，发生安全事件的最大率为19%，平均率为3.37%，匹配到此类别的33个CWE共发生27.4万次，是出现第二多的风险类别。原“A07:2017-跨站脚本（XSS） ” 在2021年版中被纳入此风险类别。
A04： 2021-不安全设计 Insecure Design	2021年版的一个新类别，其重点关注与设计缺陷相关的风险。如果我们真的想让整个行业“安全左移” ，我们需要更多的威胁建模、安全设计模式和原则，以及参考架构。不安全设计是无法通过完美的编码来修复的；因为根据定义，所需的安全控制从来没有被创建出来以抵御特定的安全攻击。
A05： 2021-安全配置错误 Security Misconfiguration	排名上升一位。 90%的应用程序都进行了某种形式的配置错误测试，平均发生率为4.5%，超过20.8万次的CWE匹配到此风险类别。随着可高度配置的软件越来越多，这一类别的风险也开始上升。原 “A04:2017-XML External Entities(XXE) XML外部实体” 在2021年版中被纳入此风险类别。
A06： 2021-自带缺陷和过时的组件 Vulnerable and Outdated Components	排名上升三位。在社区调查中排名第2。同时，通过数据分析也有足够的数据进入前10名，是我们难以测试和评估风险的已知问题。它是唯一一个没有发生CVE漏洞的风险类别。因此，默认此类别的利用和影响权重值为5.0。原类别命名为“ A09:2017-Using Componentswith Known Vulnerabilities 使用含有已知漏洞的组件” 。
A07： 2021-身份识别和身份验证错误 Identification and Authentication Failures	排名下滑五位。原标题“A02:2017-Broken Authentication失效的身份认证” 。现在包括了更多与识别错误相关的CWE。这个类别仍然是Top 10的组成部分，但随着标准化框架使用的增加，此类风险有减少的趋势。
A08： 2021-软件和数据完整性故障 Software and Data Integrity Failures	2021年版的一个新类别，其重点是：在没有验证完整性的情况下做出与软件更新、关键数据和CI/CD管道相关的假设。此类别共有10个匹配的CWE类别，并且拥有最高的平均加权影响值。原“A08:2017-Insecure Deserialization不安全的反序列化” 现在是本大类的一部分。
A09： 2021-安全日志和监控故障 Security Logging and Monitoring Failures	排名上升一位。来源于社区调查（排名第3）。原名为“A10:2017-Insufficient Logging & Monitoring 不足的日志记录和监控” 。此类别现扩大范围，包括了更多类型的、难以测试的故障。此类别在CVE/CVSS 数据中没有得到很好的体现。但是，此类故障会直接影响可见性、事件告警和取证。
A10： 2021-服务端请求伪造 Server-Side RequestForgery	2021年版的一个新类别，来源于社区调查（排名第1）。数据显示发生率相对较低，测试覆盖率高于平均水平，并且利用和影响潜力的评级高于平均水平。加入此类别风险是说明：即使目前通过数据没有体现，但是安全社区成员告诉我们，这也是一个很重要的风险。

CWE:通用缺陷列表

Common Weakness Enumeration,即漏洞类别的编号。

CWE-79:XSS漏洞

CWE-89:SQL注入

CVE:通用漏洞与披露

Common Vulnerabilities and Exposures，

信息安全漏洞门户

http://cve.mitre.org/

漏洞、安全公告、补丁

MS:微软的安全公告。一个安全公告可能对应一个或者多个漏洞。

KB:微软对补丁的命名方式，是Knowledge Base(知识库)的简称。其指的是某个补丁对应微软知识库中哪一篇文章。例如KB888111，就是对应知识库中888111号文章。

cmd中使用systeminfo可以检查本机打了哪些补丁

欢迎关注博主公众号：旁骛OtherThing，不定期更新技术干货。