渗透测试介绍

渗透测试是通过模拟黑客的思维和攻击手段，对计算机业务系统的弱点、技术缺陷和漏洞进行探查评估。经过客户授权后，在不影响业务系统正常运行的条件下，渗透人员在黑客可能的不同的位置，采取可控的方法、手段和工具，对某个特定业务系统进行主动分析和测试，发现和挖掘业务系统中存在的弱点、技术缺陷或漏洞，输出渗透测试报告，提交给业务系统所有者。业务系统所有者根据渗透人员提供的渗透测试报告，可以清晰知晓业务系统中存在的安全隐患和问题。是计算机业务系统信息安全防范的一种新技术，对于信息安全保障具有实际应用价值。

测试参考

国际渗透测试标准 OWASP、OSSTMM

国际渗透测试流程 PTES

NIST SP 800-53

（银办发〔2018〕146号）中国人民银行办公厅关于开展支付安全风险专项排查工作的通知

测试对象

客户端应用：检测运行于Android、iOS、Windows、Linux等操作系统的客户端应用的恶意脚本、跨站点等，评估业务、数据、敏感信息的威胁、弱点和漏洞评估。

小程序应用： 检测评估SQL注入、越权访问、文件上传、CSRF以及个人信息泄露等威胁、弱点和漏洞，防护衍生的重大危害。

网页应用服务：检测XSS攻击，SQL注入，身份认证和会话，重定向和转发，CSRF，加解密，中间件，权限与访问控制等威胁、弱点和漏洞。

应用业务系统：检测各行业业务应用系统，评估业务、数据、敏感信息的威胁、弱点和漏洞。

中间件：检测评估IIS、Tomcat、NGNIX、Apache等中间件的威胁、弱点和漏洞。

主机服务：检测评估基于Windows、Linux各种主流操作系统的主机系统服务，数据库应用服务等的威胁、弱点和漏洞。

测试方法

测试方法包括黑盒测试、白盒测试、灰盒测试、人工测试、工具扫描、漏洞验证、漏洞演示、横向渗透、纵向渗透等。

测试流程

按照PTES并结合PCI、NIST、OWASP等规范标准，整个测试流程包括前期交互、情报搜集、威胁建模、漏洞分析、渗透攻击、后渗透攻击、报告等7个阶段。