滲透測試的種類介紹
滲透測試是完全依賴于操作范圍的——像入侵程度就是與范圍直接關聯的。例如,有時在一個特定系統中發現漏洞就足夠了。因此,基于約定的范圍來選擇正確的滲透測試對于安全人員來說是非常重要的。本文將介紹不同的滲透測試方法。
滲透測試的種類
拒絕服務(DoS)測試
拒絕服務測試指的是嘗試通過耗盡測試目標的資源來發現系統的特定弱點,這種方法會導致系統停止對合法請求的響應。這種測試可以使用自動化工具或手動執行。各種類型的DoS可以概括地分成軟件探索和洪水攻擊。滲透測試應該包含多大程度的拒絕服務測試取決于信息系統及相關過程活動的持續相對重要性和連續可用性。拒絕服務可以采用許多格式;以下所列是一些對測試而言比較重要的格式:
◆資源過載——這些攻擊的目的是耗盡攻擊目標的資源(如,內存),從而使之停止響應。
◆洪水攻擊——是指通過發送超大數量的網絡請求來達到耗盡的目的。這種攻擊可以通過以下方式實現:
◆ICMP(Internet Control Message Protocol),即所謂的“smurf”攻擊;
◆UDP (User Datagram Protocol),即所謂的“fraggle”攻擊。
◆半開放SYN攻擊——是指在目標系統局部開放大量的TCP連接,這樣就無法再啟動合法連接。
◆編外攻擊——這些攻擊試圖通過破壞IP報頭標準來使目標系統崩潰:
◆超大數據包(ping of death)——數據報頭顯示數據包所包含大于實際大小的數據。
◆分片(淚滴攻擊)——發送很短的重疊分片數據包(數據包片斷)。
◆IP源地址欺騙(落地攻擊)——導致計算機創建連接自己的TCP連接。
◆畸形UDP數據報頭(UDP炸彈)——UDP報頭顯示了不正確的長度。
應用安全性測試
隨著企業電子化的發展,核心業務功能現在越來越多地通過Web應用實現。雖然連接Internet的應用使一個組織實現了全球客戶訪問,但是給予合作伙伴訪問內部網的權限會帶來新的安全漏洞,即使使用了防火墻和其它監控系統也一樣,安全性也可能受到威脅,因為流量是必須通過防火墻的。應用安全性測試的目標是評估對應用的控制(電子商務服務器、在線財務應用、分布式應用和遺留系統的Internet前端)和它的處理流。評估的方面可能包括應用是否使用加密方法來保護信息的保密性和完整性,用戶是如何驗證的,Internet用戶會話與主機應用的完整性,以及Cookie的使用——存儲在客戶計算機上由Web服務器應用所使用的一塊數據。
讓我們了解應用測試的一些重要組件:
代碼檢查:代碼檢查指的是分析所有應用代碼來保證它們不包含任何可被入侵者利用來攻擊應用的敏感信息。例如:公共應用代碼可能會包含一些測試注釋,其中的名稱或明文密碼可能會給入侵者提供大量關于這個應用的信息。
授權測試:指是測試負責初始化和維護用戶會話的系統。它要求測試:
◆登錄的輸入驗證——無效字符或過長的輸入可能會產生意外結果;
◆安全性——Cookie可能被盜取,而合法會話可能會被未授權的用戶使用;
◆帳號鎖定測試——測試應用中設置的超時和入侵鎖定參數,保證合法會話不會被劫持。
這個測試是用來發現登錄系統是否可能被迫允許未授權訪問。這個測試也將使用相同的技術來發現系統是否容易受到拒絕服務攻擊的影響。
功能測試:這指的是測試負責交付用戶功能的系統。這個測試包括:
◆輸入驗證——無效字符、特殊URL或者過長的輸入都可能會產生意外的結果;
◆事務測試——保證應用執行符合規范,并且不允許用戶濫用系統。
戰爭撥號
戰爭撥號是一種有組織地呼叫一系列電話號碼來試圖發現一個組織網絡中可能存在的調制解調器、遠程訪問設備和計算機的維護連接。通過使用戰爭撥號方法,黑客可能能夠定位到組織中易受攻擊的編外入口,從而操作它們來訪問網絡。IT人員忽視了電話網絡,作為一個可能的主要接入端,它也是越來越多遭受此類攻擊的主要因素之一。例如:在關鍵的網絡服務器、路由器和其它設備上打開調制解調器可能會不小心將組織網絡的入口暴露出去。在這個測試中,一旦調制解調或其它連接設備被發現,那么就應該使用分析和搜索技術來評估這個連接是否能夠用于入侵這個單位的信息系統網絡。
無線網絡的滲透測試
隨著無線網絡的出現,不管是在企業網絡基礎架構內還是在家里,都會造成更多的安全漏洞,而且它們比有線網絡更容易受到攻擊。因為只有邊界無線網絡才知道它們的信號,所以黑客更容易以“駕車”或沿辦公樓四處走動的方式來使用無線網絡設備發現可用的無線網絡——這就是所謂的“戰爭駕駛”。一旦發現開放的無線接入端,他們就會標記下來,所以最后他就能夠得到一個帶有接入端屬性(SSID、WEP、MAC等)的無線網絡圖。無線網絡測試的目標是確定一個組織的無線網絡的設計、實現或運營中的安全缺陷或漏洞。
社會工程
這種方法通常與盲式或雙盲式測試一起使用,社會工程指的是搜索以收集信息為目的的人類本性(最主要是人的信任感和幫助姿態)的技術。這種方法是通過與單位員工、提供商和合同方的社會互動來收集信息和侵入這個組織的系統。這些技術可能包括:
◆非面對面的方式:假裝作為IT部門的幫助臺代表,要求用戶提供他們的用戶帳號和密碼信息;
◆面對面或高級社交工程的方式:假裝為內部員工而獲得可能帶有敏感信息的受限區域的物理訪問;攔截郵件、快件或者垃圾(大型垃圾裝卸車)來搜索打印材料上的敏感信息。
社會工程活動可以測試技術要求較低但同等重要的安全組件:單位的人員能夠幫助或阻止對信息和信息系統的未授權訪問。這也有助于確定員工之間安全知識的水平。
【編輯推薦】
