企業(yè)滲透測(cè)試指南
作者:網(wǎng)絡(luò)轉(zhuǎn)載 發(fā)布時(shí)間:[ 2011/8/16 16:54:04 ] 推薦標(biāo)簽:
如何選擇滲透測(cè)試人員
問(wèn):選擇滲透測(cè)試員有什么標(biāo)準(zhǔn)?
答:滲透測(cè)試的目標(biāo)不僅是要評(píng)估電腦系統(tǒng)或者網(wǎng)絡(luò)的安全性,還要決定成功攻擊的可行性和商業(yè)影響。這樣的測(cè)試模仿企圖利用你的企業(yè)系統(tǒng)中的潛在的漏洞的攻擊者。發(fā)現(xiàn)的任何安全問(wèn)題隨后都要報(bào)告,一起報(bào)告的還有對(duì)他們可能產(chǎn)生的影響的評(píng)估。建議還要指出如果減輕這些問(wèn)題。通常這些測(cè)試都是在系統(tǒng)或者應(yīng)用使用之前進(jìn)行的。然后測(cè)試會(huì)定期進(jìn)行。
在選擇滲透測(cè)試員之前,需要正確地確定你想要測(cè)試哪些系統(tǒng)。例如,測(cè)試Unix系統(tǒng)的專家可能不是測(cè)試Windows系統(tǒng)的專家。一旦決定了要測(cè)試的系統(tǒng),向其他公司的同事詢問(wèn)做過(guò)類似工作的人的資料。相比較滲透測(cè)試證書而言,我更喜歡這種方法,因?yàn)樵谶@個(gè)領(lǐng)域還沒(méi)有真正的行業(yè)標(biāo)準(zhǔn)。
我也不會(huì)總是關(guān)注的咨詢?nèi)藛T。這些咨詢?nèi)藛T通常都是通才,而滲透測(cè)試是專業(yè)工作。不管你會(huì)用誰(shuí),都要保證當(dāng)簽訂合同時(shí),來(lái)的人不是生手。
還應(yīng)該了解滲透潛在的測(cè)試人員喜歡使用的方法。執(zhí)行滲透測(cè)試的好方法是進(jìn)行一系列系統(tǒng)的可以重復(fù)的測(cè)試,可以對(duì)很多不同種類的漏洞進(jìn)行測(cè)試,避免使用效率較低的分散的方式。但是還是要謹(jǐn)慎對(duì)待檢查清單的方法,并且不能過(guò)度依賴自動(dòng)化工具。這種類型的結(jié)果更像是漏洞掃描而不是全面的滲透測(cè)試。滲透測(cè)試并不是精密科學(xué),所以測(cè)試人員要在探究關(guān)注的領(lǐng)域時(shí)非常靈活,并對(duì)新的阻力進(jìn)行追蹤。這樣,測(cè)試可以關(guān)注你的環(huán)境中的攻擊攜帶者。
如果決定了讓誰(shuí)進(jìn)行測(cè)試,要確保他們有時(shí)間進(jìn)行徹底的評(píng)估。緊迫的時(shí)間限制會(huì)迫使測(cè)試人員跳過(guò)某些涉及到的問(wèn)題。有一點(diǎn)很重要,他們要不斷把發(fā)現(xiàn)的結(jié)果、測(cè)試完成后的終報(bào)告細(xì)節(jié)、關(guān)鍵的發(fā)現(xiàn)和建議通知你。記住這些報(bào)告是你付了錢所購(gòu)買的,而且你需要找時(shí)間何測(cè)試人員進(jìn)行討論。如果你在選擇測(cè)試人員的時(shí)候很著急,那么不僅會(huì)造成資金的浪費(fèi),而且你收到的報(bào)告會(huì)讓企業(yè)造成誤解,對(duì)安全做出錯(cuò)誤判斷。
漏洞分析新工具: RE:trace
兩名安全工程師在上周推出一種基于Ruby的新framework,能夠發(fā)現(xiàn)和攻擊在OS X、Unix和其他操作系統(tǒng)上運(yùn)行的常見應(yīng)用軟件存在的漏洞。
這個(gè)新的framework叫做“RE:trace”,它利用蘋果公司Leopard操作系統(tǒng)中的DTrace性能監(jiān)控工具,為安全專家和逆向工程師提供了同時(shí)在堆棧和堆發(fā)現(xiàn)漏洞的能力,然后運(yùn)行各種有趣的測(cè)試。DTrace是由Sun Microsystems開發(fā)的,初是想幫助應(yīng)用軟件和操作系統(tǒng)進(jìn)行疑難問(wèn)題解決,但安全專家也將它運(yùn)用在其他工作任務(wù)的用途上。
在華盛頓的黑帽大會(huì)上,高級(jí)安全工程師Tiller Beauchamp和安全工程師David Weston演示了如何使用RE:trace。它基于DTrace,不僅可以發(fā)現(xiàn)堆和堆棧溢出漏洞,還可以檢測(cè)到緩沖區(qū)溢出,并在溢出對(duì)存在漏洞的軟件造成真正的崩潰前,加以阻止。當(dāng)數(shù)據(jù)在某給定應(yīng)用軟件中流通時(shí),該framework還可以讓用戶對(duì)該數(shù)據(jù)進(jìn)行追蹤。
“花在漏洞分析的時(shí)間大大減少!盬eston說(shuō)。
DTrace是在內(nèi)核中運(yùn)行的,這樣可以易于訪問(wèn)整個(gè)操作系統(tǒng),Weston說(shuō)。由于它具有的特性廣泛,本質(zhì)上而言,它是一個(gè)“友好的、可編程的rootkit”。但是DTrace不是特意作為逆向工程工具而編寫的,所以它不包括逆向工程師可能需要的便利工具。所以Weston和Beauchamp通過(guò)使用Ruby語(yǔ)言,增加了特性,包括用面向?qū)ο蟮姆绞皆趦?nèi)存和追蹤應(yīng)用軟件中dump搜索的能力。
RE:trace還為用戶提供了所查看的應(yīng)用軟件正在發(fā)生什么的反饋信息。比如,framework能夠告訴用戶誰(shuí)分配了某字節(jié)的內(nèi)存;誰(shuí)使用了它;在一次攻擊中,有多少的內(nèi)存溢出;是否內(nèi)存曾被釋放。
Weston和Beauchamp計(jì)劃繼續(xù)開發(fā)RE:trace,并將在接下來(lái)的幾個(gè)月內(nèi)增加更多的特性和功能。
相關(guān)推薦
最新發(fā)布
性能測(cè)試之測(cè)試環(huán)境搭建的方法
2020/7/21 15:39:32軟件測(cè)試是從什么時(shí)候開始被企業(yè)所重視的呢?
2020/7/17 9:09:11Android自動(dòng)化測(cè)試框架有哪些?有什么用途?
2020/7/17 9:03:50什么樣的項(xiàng)目適合做自動(dòng)化?自動(dòng)化測(cè)試人員應(yīng)具備怎樣的能力?
2020/7/17 8:57:06幾大市面主流性能測(cè)試工具測(cè)評(píng)
2020/7/17 8:52:11RPA機(jī)器人能夠快速響應(yīng)企業(yè)需求,是怎么做到的?
2020/7/17 8:48:05Bug可以真正消滅嗎?為什么?
2020/7/17 8:43:03軟件測(cè)試基本概念是怎么來(lái)的?軟件測(cè)試生命周期的形成歷經(jīng)了什么?
2020/7/16 9:11:10