@Luminary
1年前 提问
1个回答

PTES渗透测试标准是什么

安全小白成长记
1年前

PTES标准中的渗透测试阶段是用来定义渗透测试过程,并确保客户组织能够以一种标准化的方式来扩展一次渗透测试,而无论是由谁来执行这种类型的评估。PTES标准将渗透测试过程分为七个阶段,并在每个阶段中定义不同的扩展级别,而选择哪种级别则由被攻击的客户组织决定。

PTES标准包括以下七个阶段:

  • 前期交互阶段:前期交互阶段通常是由你与客户组织进行讨论,来确定渗透测试的范围与目标。

  • 情报搜集阶段:情报搜集阶段对目标进行一系列踩点,包括:使用社交媒体网络/Google Hacking技术/目标系统踩点等等,从而获知它的行为模式、运行机理。

  • 威胁建模阶段:威胁建模主要使用你在情报搜集阶段所获取的信息,来标识出目标系统上可能存在的安全漏洞与弱点。

  • 漏洞分析阶段:漏洞分析阶段主要是从前面几个环节获取的信息,并从中分析和理解哪些攻击途径会是可行的。

  • 渗透攻击阶段:渗透攻击主要是针对目标系统实施已经经过了深入研究和测试的渗透攻击,并不是进行大量漫无目的的渗透测试。

  • 后渗透攻击阶段:后渗透攻击阶段从你已经攻陷了客户组织的一些系统或取得域管理员权限之后开始,将以特定业务系统为目标,标识出关键的基础设施,并寻找客户组织最具价值和尝试进行安全保护的信息和资产,并需要演示出能够对客户组织造成最重要业务影响的攻击途径。

  • 报告阶段:报告时渗透测试过程中最为重要的因素,你将使用报告文档来交流你在渗透测试过程中做了哪些,如何做的,以及最为重要的——客户组织如何修复你所发现的安全漏洞与弱点。