查字典图书网
查字典图书网
对渗透测试访问方法的检测大致可以分为4类,每一个方法基本分为两种:外部渗透测试和内部渗透测试。不过,通过下面的讲解,也可以说分为4类是合理的。 外部未获授权的人进入 简言之,就是利用网络服务、对外公开的服务等,在可从外部访问的区域服务内实现。简单理解为我们经常接触的网络服务就好。所以是局外人(在此意味着检测员、攻击者等)无需加入会员,只凭URL信息就能完成攻击的阶段。有些页面是无需获得认证也可以访问的。大部分公告事项的内容是全公开的,也有一部分就像加入会员,需要输入信息。 比较严重的是,没有获得认证的情况下访问管理员页面,轻松窃取用户的机密信息。我将这种访问过程定义为“外部未获授权的人进入”。 外部已获授权的人进入 如果访问上述区域后进行了攻击,却未发现漏洞,那么就应通过加入会员来检测没有访问过的区域。如果一直没能加入会员,应该就此罢手吗?如果是攻击者,很可能因为麻烦而就此罢手。不过咨询顾问要对服务进行全面的检测,所以不能这么做。此时,应向负责人申请普通账户信息后尽力执行。如与负责人协商后获得了满意的结果,应向对方充分说明潜在危险。 好了!获得认证后,就会转变成“外部已获授权的人进入”。对于普通会员可访问的所有服务进行诊断,并且还应检测可否从一般用户权限升级到管理员权限。如果没法判断可否升级到管理员权限,那就有必要在客户的帮助下进行查看。负责人应当始终为顺利诊断提供帮助。 内部未获授权的人进入 我们在进行诊断时,并不只是从外部执行。产业机密信息泄露事件中经常出现“内部高管和员工、常驻公司人员”等字样。这些人就是获得了公司的访问认证,并在公司工作的人员。那么,高管和员工与常驻公司的权限是相同的吗?如果公司没有制定控制外部人员的政策,其权限很可能相同。不过多数情况下,可以访问业务的服务访问权限设置会不同。 有关“内部未获授权的人进入”这一部分的内容,我仍然是从使用“公司内部网络”的人员着手。如果通过外部频段,系统安全设备(防火墙、IPS等)会限制可访问的网络;而如果通过内部频段,却可以访问更多的系统。高管和员工们使用的服务很多,如公司内部群组软件、CRM系统、邮件系统等。客户们经常感到疑惑:分明限制了外部人员的访问权限,为什么重要信息还是遭到泄露…… 综上所述,我分类的“内部未获授权的人进入”就是访问公司内部网络后,再次访问高管和员工的权限而实现的。 内部已获授权的人进入 攻击者如果获得了高管和员工的权限,就会转变成“内部已获授权的人”进入,他们可访问的系统会变得更多。现在重要的是获得“管理员”权限,这样就拥有了管理公司内部机密信息、客户个人信息等所有系统权限。因为只有极少数人可以访问目前成为热门话题的个人信息处理系统,因此,下一个目标就是获取这些人的权限。 根据不同情况,也可以针对管理员传播蠕虫或病毒(测试用),获取管理员个人电脑权限。 可以采用在新闻或小说中看到的所有方案,不过千万要记住,执行前一定要与负责人协商好。 综上所述,通过“内部渗透测试”诊断可以检测能否通过内部网络频段访问未获授权的系统,或者能否从普通用户权限升级到管理员权限后控制系统等。 不过也不能只重视从外部实施的攻击。采用内部渗透测试诊断找出的漏洞比从外部导出的多数十倍,出乎意料。希望各位铭记,即使通过外部进行渗透,只要在平时管理好内部系统,就可以最大限度地减少二次损失的发生。