服务热线:0451-86201274

当前位置:网站首页>资讯动态 > 行业动态

黑龙江软件评测中心解读渗透测试

2019-01-10

作者:

来源:办公室

黑龙江软件评测中心在为政务系统、系统安全以及软件安全评测时都不会少了渗透测试,评测人员会在为用户系统检测时都会用标准化的方式来扩展一次渗透测试,来确保网络系统安全性。

根据实际情况和工作经验,我们常前期交互阶段、情报收集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、后渗透攻击阶段和报告阶段这七个阶段划分为三个过程,分别为信息采集、渗透测试和报告编制。

信息采集

信息采集阶段包括前期交互阶段、情报收集阶段、威胁建模阶段和漏洞分析阶段。在前期交互阶段,我们与客户进行交流明确渗透测试的目标、范围以及允许的测试方法。在情报收集阶段,我们可以通过扫描探测、被动监听等多种方法对目标系统的情报,包括目标组织网络拓扑、系统配置与安全防御措施等。在威胁建模阶段,我们需要整理收集到的信息,确定一条或多条可行的攻击路径;在漏洞分析阶段,根据上几步收集到信息,特别是漏洞扫描结果,找到可以实施渗透攻击的攻击点,同时,可以根据这些漏洞和攻击点编写渗透用力的代码。

渗透测试

渗透测试阶段包括渗透攻击阶段和后渗透攻击阶段。在渗透攻击阶段,我们开始正式的利用分析过的漏洞,真正的进入系统,获得系统的控制权和信息。在渗透测试过程中,我们可能会发现设计好的攻击路径并不能实现、有新的高危漏洞等情况。这时就需要我们先重复情报收集阶段、威胁建模阶段和漏洞分析阶段,再进入渗透攻击阶段。在日常的工作学习过程中,许多渗透测试在验证了漏洞的真伪,初步得到系统的信息和权限后就停止了。但实际上,渗透还没有结束,我们还需要进入后渗透测试阶段,在这一阶段,我们将尝试进一步控制客户的关键基础设施,并演示出能够对客户组织造成最重要影响的攻击途径。

报告编制

结束了渗透测试并不意味着系统评测的工作就结束了,还需要向客户提交渗透测试报告。渗透测试报告应包含渗透测试的结果、渗透测试的步骤以及提出的修改建议。黑龙江软件评测中心具有国家认监委颁发的检验检测机构资质认定证书(CMA),国家认可委颁发的CNAS 认可实验室证书和CNAS 认可检验机构证书等权威资质,是电子政务云集成与应用国家工程实验室系统测评研究室负责单位,保证评测中心出具的报告具有可读性,更保证了出具的报告具有合规性和准确性。

黑龙江软件评测中心作为业界权威的第三方软件评测机构,向社会提供高效优质的专业评测服务,支撑黑龙江省地区软件与信息产业的专业化、规范化发展。