進行滲透測試首先需要確認滲透測試項目的起始狀態(tài)。定義起始狀態(tài)的最常見的方法是確定選擇黑盒測試或白盒測試或灰盒測試。

[[164577]]

測試類型的選擇

黑盒測試存在不少問題。由于被測系統的原因，也由于測試者對環(huán)境的熟悉程度不同，要估算偵察階段能持續(xù)多長時間是很困難的，而且偵察階段的長短涉及到費用問題。但是，如果測試時間不足，滲透測試往往可能“流產”。還有一點不太現實的因素，就是一個有著強烈動機的攻擊者在仔細研究攻擊目標時，是不會顧及那些限制因素的，因為他往往是專業(yè)的滲透測試者。所以，我們建議實施灰盒測試而不是黑盒測試。

如果滲透測試者可以與被測試系統有密切接觸，或者充分了解被測系統，就可以明確地定義滲透測試的目標，并且測試報告的結果往往也可以預料。被測者要向測試者提供一些關于目標系統的細節(jié)，如網絡信息、系統類型、公司的流程、服務，等等。白盒測試一般關注的是具體的業(yè)務目標，如滿足合規(guī)需要，而不是一般性的評估，而且由于受到目標系統的范圍限制，白盒測試往往是一種更為簡短的任務。白盒測試能夠減少信息收集的工作量，如偵察服務，可以減少滲透測試服務的成本。因而，內部的安全團隊往往進行白盒測試。

什么情況下實施灰盒測試?答案就是在客戶或系統的所有者同意在偵察階段需要發(fā)現一些未知信息時，但又允許滲透測試人員跳過這個部分。滲透測試人員從系統所有者那里得到一些目標系統的基本信息;然而，內部工作和有些特權信息仍對滲透測試者保密。

真正的攻擊者在攻擊目標之前都要收集一些關于目標的信息。多數攻擊者并不會選擇隨機的目標。攻擊者往往有著強烈的動機，并且在攻擊之前往往以某種方式與攻擊目標進行交互?；液袦y試對于許多執(zhí)行滲透測試的安全專家來說是很有吸引力的，因為這種測試模仿攻擊者使用的真實方法，并且其關注的重點是漏洞而不是偵察。

測試范圍定義了滲透服務怎樣開始，怎樣執(zhí)行。滲透測試應當進行信息收集，用以記錄目標環(huán)境和定義任務的范圍，這樣做的目的是避免一些不必要的偵察服務或超出范圍的攻擊系統。

真正的攻擊者往往不受時間、資金、道德、工具的限制，這意味限制滲透測試的范圍并不能代表真實情況。例如，一個滲透測試者可以捕獲用戶登錄到關鍵系統的憑據，他根本無需測試這些系統是否容易遭受基于網絡的攻擊，就可以訪問這些系統。還有很重要的一點，就是哪些人應知道滲透測試。真正的攻擊者可能會在任何時間發(fā)動攻擊。

確定滲透測試的范圍

在制定滲透測試的范圍時，你應該注意如下基本要點：

· 目標系統的確定：即確定應當測試哪些系統。其中包括網絡位置、系統類型、對這些系統的業(yè)務使用等等。

· 測試工作的時間范圍：測試應當在何時開始?為滿足指定的測試目標，確定的時間范圍是什么?

· 如何評估目標系統：你允許使用哪些測試方法(如掃描和漏洞利用)?如果你允許使用特定的測試方法，會帶來哪些風險?如果由于滲透測試而造成目標系統無法運行，其影響是什么?例如，通過冒充雇員而使用社會網絡，對關鍵系統使用拒絕服務攻擊，對有漏洞的服務執(zhí)行腳本，等等。有些方法可能比其它方法給系統帶來更高的風險。

· 工具和軟件：在滲透測試期間，你要使用哪些軟件和工具?很多安全專家認為，如果泄露了工具就等于泄露了秘密武器。只有在安全專家在使用一些可以廣泛獲得的商業(yè)產品時，并且只是根據這些產品的報告來重新打造自己的品牌時，你才可能需要保密。有經驗的安全專家會透露自己使用的工具，在揭露漏洞時，還要記錄使用了工具的哪些命令才發(fā)現了漏洞。這可以使漏洞利用重現，并且允許客戶真正理解系統是如何被攻破的，也可以理解漏洞被利用的難度。

· 通知哪些人：誰應當知道滲透測試?向哪些人做簡要的敘述?需要他們做準備嗎?對滲透測試的反應是測試范圍的一部分嗎?如是這樣，在進行測試之前，不通知安全運營團隊就很有意義。如果你測試的是一款由另一方(例如，云服務供應商)托管的Web應用時，通知對方就非常重要，因為你的服務可能會影響到供應商。

· 初始訪問水平：在開始滲透測試之前，要提供哪些類型的信息和訪問?滲透測試人員可以通過互聯網或內聯網訪問服務器嗎?允許哪些類型的最初等級的賬戶訪問?對每個目標系統來說，這是一個黑盒測試、白盒測試還是灰盒測試?

· 目標范圍的定義：這里就是要確定滲透測試中的具體業(yè)務功能。例如，對銷售人員使用的特定Web應用程序執(zhí)行滲透測試，還不能影響到托管在同一服務器上的不同應用。

· 關鍵操作范圍的確定：滲透測試者必須確定應避免改變和影響哪些系統，其目的是防止?jié)B透測試服務造成的負作用。是否應禁止訪問活動的認證服務器?非常重要的問題是，在對目標進行滲透測試之前，就明確定義對哪些資產進行測試。

· 標準的定義：滲透測試應該在何種程度上來攻擊系統或過程?是否應當清除數據，或者攻擊者僅需要獲得特定水平的未授權訪問?

· 交付什么：最終交付的報告是什么樣子的?在完成滲透測試服務協議時，客戶期望什么樣的目標?要確保測試目標不是開放性的，這樣做的目的是為了避免測試范圍超出所期望的服務。是否對特定的人員進行數據分類或指定數據?最終的報告應該如何交付?非常重要的問題是，測試人員要交付一個樣本報告，或者定期地對報告進行更新，這樣做的目的是為了避免最后的報告令人吃驚。

· 修復期望：你期望在查出漏洞時，還記錄一些可行的修復操作嗎?如果在滲透測試期間，造成了系統的不可用，我們應該通知哪些人呢?如果發(fā)現了敏感數據會發(fā)生什么呢?多數滲透測試服務并沒有對所發(fā)現問題提出修復措施。

漏洞評估

在很多情況下，根據審計標準或基準進行安全測試或審計給客戶一種虛假的安全感。多數標準和基準都有一種長期更新的過程，卻無法跟得上當今世界快速發(fā)展的威脅變化。因而，安全測試和審計應提供超出安全標準和基準的安全服務，將安全水平提高到一種針對現實威脅的保護水平。

漏洞評估是一種對網絡設備、操作系統、應用軟件進行掃描的過程，其目的是為了確認已知和未知漏洞的存在。在發(fā)現漏洞后，滲透測試者并不會針對漏洞實施攻擊，驗證其是否真實。漏洞評估交付的結果提供了與所有漏洞有關聯的潛在風險。有許多解決方案(如Kali Linux)都可用于根據系統或服務器的類型、根據開放的通信端口或其它方式掃描漏洞。

只有漏洞掃描能夠計算風險，才具備真正的價值。許多安全審計的問題就是漏洞掃描的結果使安全審計更笨重，卻沒有什么真正的價值。許多漏洞掃描器會提供虛假情報，或者會確認一些并不存存的漏洞。為什么?這是因為這些漏洞掃描器錯誤地確認操作系統，或者錯誤地查找特定的補丁來修復漏洞，卻沒有關注軟件的版本。將風險與漏洞結合起來分析，可以提供一種明確的定義，并且可以確切地知道一個系統的脆弱程度。在很多情況下，這意味著需要對自動工具報告的漏洞進行檢查。