PayPal网络安全威胁应急响应中心

解决该公司高风险逻辑漏洞,保障程序正常运转。

加拿大final国际学院

受邀进行黑盒渗透测试,成功拿到后台WEBSHELL.

澳洲asic金融服务中心

进行系统渗透众测,增强网络安全至“军工”级别。

St Vincent's Hospital 圣文森特医院

修复系统漏洞,增强医疗系统网络安全环境。

0 +
已取得成功案例,涉及医疗/娱乐/政企/个人等多方面合作。

我们的认证资质

建议:如果企业组织确定需要渗透测试,那么安全负责人在选择安全厂商之前,应首先明确渗透测试的类型、目标以及范围等需求信息。
个人进行对WEB网站或程序进行渗透测试漏洞破解,请联系我们的Telegram说明清除项目情况,即可进行渗透测试。

1.黑盒测试(Black-box Testing)
黑盒测试也是功能测试,测试中把被测的软件当成一个黑盒子,不关心盒子的内部结构是什么,只关心软件的输入数据和输出数据。

2.白盒测试(White-box Testing)
白盒测试又称结构测试、透明盒测试、逻辑驱动测试或基于代码的测试。白盒测试是指打开盒子,去研究里面的源代码和程序结果。

黑盒和白盒区别:
软件的黑盒测试意味着测试要在软件的接口处进行。这种方法是把测试对象看做一个黑盒子,测试人员完全不考虑程序内部的逻辑结构和内部特性,只依据程序的需求规格说明书,检查程序的功能是否符合它的功能说明。因此黑盒测试又叫功能测试。软件的白盒测试是对软件的过程性细节做细致的检查。这种方法是把测试对象看做一个打开的盒子,它允许测试人员利用程序内部的逻辑结构及有关信息,设计或选择测试用例,对程序的所有逻辑路径进行测试,通过在不同点检查程序状态,确定实际状态是否与预期的状态一致。因此白盒测试又称为结构测试。白盒测试主要是想对程序模块进行检查。

3.灰盒测试(Gray-Box Testing)灰盒测试是介于白盒测试和黑盒测试之间的一种,灰盒测试多用于集成测试阶段,不仅关注输入、输出的正确性,同时也关注程序内部的情况。

不同企业组织进行渗透测试的目标不尽相同,可能是发现资产中的脆弱性;或是利用这些脆弱性来破坏系统,确定外部攻击者是否可以进入内部网络;也可能是确认无线访问点是否允许未经授权的企业网络访问,以及攻击者是否能够以办公室内某一个员工为跳板连接到公司网络。这些目标表明了渗透测试的厂商如何在规定的测试范围内实现测试目标。

企业组织在确定渗透测试需求时要从测试范围和目标出发,并结合相关人员(尤其是IT基础架构和业务应用所有者)的意见。此外,IT部门以外的业务负责人需要提供与测试范围和目标有关的操作风险偏好方面的意见,因为测试可能会对运营产生负面影响。在确定测试需求和测试边界时要注意以下问题:

1. 测试包含哪些类型的资产(设备、主机、应用、环境和人员)?有没有时间限制?

2. 测试哪些环境(例如仅测试开发环境还是包括生产在内的所有环境)?

3. 测试范围内是否包括IaaS、PaaS或SaaS之类的云服务?

4. 当测试人员进行真实的漏洞利用时,组织愿意在测试范围内围绕资产的可用性和完整性承担多少风险?

5. 如果进行远程测试如何提供访问、监控权限?厂商是否需要在组织机构的网络上部署自己的产品以便进行内部渗透测试?

6. 需要详细的沟通和升级备用计划。双方必须就“无假设”策略达成一致。例如,如果系统无响应,则表示发现了重大漏洞或发生了入侵。沟通必须及时且清晰明了。

7. 明确给予渗透测试厂商多大程度的独立性?赋予的权限越多,风险越高,但是结果可能会更全面和彻底。

企业组织在确定好自身进行渗透测试的需求后,可以按照需求选择具体的厂商。首先选择部分渗透测试厂商的候选清单,并发布一份RFP(需求建议书)。按照需求建议书对厂商的优缺点进行统一对比。

RFP应该包括四个核心部分:
1. 企业组织的详细信息、相关背景信息、进行测试的动因以及渗透测试的范围和目标,在企业组织可接受的范围内,尽可能与外部共享更多信息。

2. 相关测试需求和范围,包括测试目标和测试范围的描述,以及沟通方法和预期完成日期等信息。

3. 确定厂商在回应RFP时需要回答的特定问题,这些问题旨在评估厂商能力,在比较和最终选择阶段,这些问题将起到关键作用。


4. 标准的RFP采购信息和问题,包括RFP答复的格式、联系方式、商业详细信息、客户参考信息和答复截止日期。

企业组织在评估厂商的过程中应重点关注以下问题:

● 厂商的测试人员的技能、经验和资质怎样?渗透测试人员的经历,以及在类似规模的组织和IT环境中的渗透测试经验,要求厂商提供渗透测试人员简历和涉及类似目标的案例作为补充;

● 初始测试通常使用自动化工具映射网络并收集潜在目标的信息,但部分厂商更依赖手动测试。手动测试的数量会影响测试项目的持续时间和成本。所以要了解手动测试和自动测试的相对比例,进而了解厂商之间的成本差异。

● 了解测试报告和结果的撰写方式。报告是使用标准模板还是按需定制。确定报告是否包含执行摘要、调查结果的详细技术说明、补救指南、使用方法和执行测试的清单,以及是否提供信息以证明利用漏洞的方式。要求厂商提供类似活动的报告示例。

● 了解渗透测试的管理流程,以及在测试过程中,如何传达状态更新和漏洞发现等信息。例如,测试期间定期举行会议以解决问题或紧急情况,以及每周举行一次签到会议来评估进度。


● 了解厂商渗透测试的报价费用,比如每天和每小时的总成本明细。如果测试的时间比预计的长,那么如何处理超额费用,以及额外测试时间的费率是多少?


企业组织要重点关注成功渗透测试的关键因素,如下图所示,展示了成功的渗透测试的六个因素,这些因素为最终的厂商选择提供更多背景信息。

图2:成功进行渗透测试的4大关键因素

 渗透测试报告:查看样本报告和其他材料。报告的内容是否详细?提供的信息是否有用?报告的细粒度对短期和长期优先处理漏洞是否有用?报告的格式是否可以按照需求输出?


 渗透测试的管理和沟通渠道:确认是否需要提供专门的测试管理资源来支持渗透测试服务人员,以及沟通渠道和节奏是否足以应对复杂的情况。

 专业知识和经验:首先关注安全厂商的工作及其实现目标的能力,然后比较价格。比较价格时,应特别注意评估渗透测试服务和报告生成的天数,时间的差别通常可以说明为什么厂商价格差异很大。

选择厂商是组织机构进行渗透测试的第一步,也是最关键的一步。通过结构化分析方法,企业组织可以在合理的预算内,为自己选择最合适的渗透测试厂商,最大程度了解自身的安全状况,从而有针对性地有效提高安全防护。

X
欢迎来到 创世信安,点击联系我们!