滲透測試 (penetration test)并沒有一個(gè)標(biāo)準(zhǔn)的定義，國外一些安全組織達(dá)成共識(shí)的通用說法是:滲透測試是通過模擬惡意黑客的攻擊方法，來評估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。這個(gè)過程包括對系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析，這個(gè)分析是從一個(gè)攻擊者可能存在的位置來進(jìn)行的，并且從這個(gè)位置有條件主動(dòng)利用安全漏洞。

換句話來說，滲透測試是指滲透人員在不同的位置(比如從內(nèi)網(wǎng)、從外網(wǎng)等位置)利用各種手段對某個(gè)特定網(wǎng)絡(luò)進(jìn)行測試，以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，然后輸出滲透測試報(bào)告，并提交給網(wǎng)絡(luò)所有者。網(wǎng)絡(luò)所有者根據(jù)滲透人員提供的滲透測試報(bào)告，可以清晰知曉系統(tǒng)中存在的安全隱患和問題。

我們認(rèn)為滲透測試還具有的兩個(gè)顯著特點(diǎn)是:滲透測試是一個(gè)漸進(jìn)的并且逐步深入的過程。滲透測試是選擇不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊方法進(jìn)行的測試。

作為網(wǎng)絡(luò)安全防范的一種新技術(shù)，對于網(wǎng)絡(luò)安全組織具有實(shí)際應(yīng)用價(jià)值。但要找到一家合適的公司實(shí)施滲透測試并不容易。

滲透測試有時(shí)是作為外部審查的一部分而進(jìn)行的。這種測試需要探查系統(tǒng)，以發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡(luò)服務(wù)，并檢查這些網(wǎng)絡(luò)服務(wù)有無漏洞。你可以用漏洞掃描器完成這些任務(wù)，但往往專業(yè)人士用的是不同的工具，而且他們比較熟悉這類替代性工具。

滲透測試的作用一方面在于，解釋所用工具在探查過程中所得到的結(jié)果。只要手頭有漏洞掃描器，誰都可以利用這種工具探查防火墻或者是網(wǎng)絡(luò)的某些部分。但很少有人能全面地了解漏洞掃描器得到的結(jié)果，更別提另外進(jìn)行測試，并證實(shí)漏洞掃描器所得報(bào)告的準(zhǔn)確性了。

打一個(gè)比方來解釋滲透測試的必要性。假設(shè)你要修建一座金庫，并且你按照建設(shè)規(guī)范將金庫建好了。此時(shí)是否就可以將金庫立即投入使用呢?肯定不是!因?yàn)檫€不清楚整個(gè)金庫系統(tǒng)的安全性如何，是否能夠確保存放在金庫的貴重東西萬無一失。那么此時(shí)該如何做?可以請一些行業(yè)中安全方面的專家對這個(gè)金庫進(jìn)行全面檢測和評估，比如檢查金庫門是否容易被破壞，檢查金庫的報(bào)警系統(tǒng)是否在異常出現(xiàn)的時(shí)候及時(shí)報(bào)警，檢查所有的門、窗、通道等重點(diǎn)易突破的部位是否牢不可破，檢查金庫的管理安全制度、視頻安防監(jiān)控系統(tǒng)、出入口控制等等。甚至?xí)垖Ｈ四M入侵金庫，驗(yàn)證金庫的實(shí)際安全性，期望發(fā)現(xiàn)存在的問題。 這個(gè)過程就好比是對金庫的滲透測試。這里金庫就像是我們的信息系統(tǒng)，各種測試、檢查、模擬入侵就是滲透測試。

也許你可能還是有疑問:我定期更新安全策略和程序，時(shí)時(shí)給系統(tǒng)打補(bǔ)丁，并采用了安全軟件，以確保所有補(bǔ)丁都已打上，還需要滲透測試嗎?需要!這些措施就好像是金庫建設(shè)時(shí)的金庫建設(shè)規(guī)范要求，你按照要求來建設(shè)并不表示可以高枕無憂。而請專業(yè)滲透測試人員(一般來自外部的專業(yè)安全服務(wù)公司)進(jìn)行審查或滲透測試就好像是金庫建設(shè)后的安全檢測、評估和模擬入侵演習(xí)，來獨(dú)立地檢查你的網(wǎng)絡(luò)安全策略和安全狀態(tài)是否達(dá)到了期望。滲透測試能夠通過識(shí)別安全問題來幫助了解當(dāng)前的安全狀況。到位的滲透測試可以證明你的防御確實(shí)有效，或者查出問題，幫助你阻擋可能潛在的攻擊。提前發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞，并進(jìn)行必要的修補(bǔ)，就像是未雨綢繆;而被其他人發(fā)現(xiàn)漏洞并利用漏洞攻擊系統(tǒng)，發(fā)生安全事故后的補(bǔ)救，就像是亡羊補(bǔ)牢。很明顯未雨綢繆勝過亡羊補(bǔ)牢。

滲透測試能夠通過識(shí)別安全問題來幫助一個(gè)單位理解當(dāng)前的安全狀況。這使促使許多單位開發(fā)操作規(guī)劃來減少攻擊或誤用的威脅。

撰寫良好的滲透測試結(jié)果可以幫助管理人員建立可靠的商業(yè)案例，以便證明所增加的安全性預(yù)算或者將安全性問題傳達(dá)到高級管理層。

安全性不是某時(shí)刻的解決方案，而是需要嚴(yán)格評估的一個(gè)過程。安全性措施需要進(jìn)行定期檢查，才能發(fā)現(xiàn)新的威脅。滲透測試和公正的安全性分析可以使許多單位重視他們最需要的內(nèi)部安全資源。此外，獨(dú)立的安全審計(jì)也正迅速成為獲得網(wǎng)絡(luò)安全保險(xiǎn)的一個(gè)要求。

現(xiàn)在符合規(guī)范和法律要求也是執(zhí)行業(yè)務(wù)的一個(gè)必要條件，滲透測試工具可以幫助許多單位滿足這些規(guī)范要求。

啟動(dòng)一個(gè)企業(yè)電子化項(xiàng)目的核心目標(biāo)之一，是實(shí)現(xiàn)與戰(zhàn)略伙伴、提供商、客戶和其他電子化相關(guān)人員的緊密協(xié)作。要實(shí)現(xiàn)這個(gè)目標(biāo)，許多單位有時(shí)會(huì)允許合作伙伴、提供商、B2B 交易中心、客戶和其他相關(guān)人員使用可信連接方式來訪問他們的網(wǎng)絡(luò)。一個(gè)良好執(zhí)行的滲透測試和安全性審計(jì)可以幫助許多單位發(fā)現(xiàn)這個(gè)復(fù)雜結(jié)構(gòu)中的最脆弱鏈路，并保證所有連接的實(shí)體都擁有標(biāo)準(zhǔn)的安全性基線。

當(dāng)擁有安全性實(shí)踐和基礎(chǔ)架構(gòu)，滲透測試會(huì)對商業(yè)措施之間的反饋實(shí)施重要的驗(yàn)證，同時(shí)提供了一個(gè)以最小風(fēng)險(xiǎn)而成功實(shí)現(xiàn)的安全性框架。

有些滲透測試人員通過使用兩套掃描器進(jìn)行安全評估。這些工具至少能夠使整個(gè)過程實(shí)現(xiàn)部分自動(dòng)化，這樣，技術(shù)嫻熟的專業(yè)人員就可以專注于所發(fā)現(xiàn)的問題。如果探查得更深入，則需要連接到任何可疑服務(wù)，某些情況下，還要利用漏洞。

商用漏洞掃描工具在實(shí)際應(yīng)用中存在一個(gè)重要的問題:如果它所做的測試未能獲得肯定答案，許多產(chǎn)品往往會(huì)隱藏測試結(jié)果。譬如，有一款知名掃描器就存在這樣的缺點(diǎn):要是它無法進(jìn)入Cisco路由器，或者無法用SNMP獲得其軟件版本號，它就不會(huì)做出這樣的警告:該路由器容易受到某些拒絕服務(wù)(DoS)攻擊。如果不知道掃描器隱藏了某些信息(譬如它無法對某種漏洞進(jìn)行測試)，你可能誤以為網(wǎng)絡(luò)是安全的，而實(shí)際上，網(wǎng)絡(luò)的安全狀況可能是危險(xiǎn)的。

除了找到合適工具以及具備資質(zhì)的組織進(jìn)行滲透測試外，還應(yīng)該準(zhǔn)確確定測試范圍。攻擊者會(huì)借助社會(huì)工程學(xué)、偷竊、賄賂或者破門而入等手法，獲得有關(guān)信息。真正的攻擊者是不會(huì)僅僅滿足于攻擊某個(gè)企業(yè)網(wǎng)絡(luò)的。通過該網(wǎng)絡(luò)再攻擊其它公司往往是黑客的慣用伎倆。攻擊者甚至?xí)ㄟ^這種方法進(jìn)入企業(yè)的ISP。

為了從滲透測試上獲得最大價(jià)值，應(yīng)該向測試組織提供盡可能詳細(xì)的信息。這些組織同時(shí)會(huì)簽署保密協(xié)議，這樣，你就可以更放心地共享策略、程序及有關(guān)網(wǎng)絡(luò)的其它關(guān)鍵信息。

還要確定的是，哪些系統(tǒng)需要測試。雖然你不想漏掉可能會(huì)受到攻擊的某個(gè)系統(tǒng)，但可能仍想分階段把滲透測試外包出去，以便每個(gè)階段專注于網(wǎng)絡(luò)的不同部分。

你還應(yīng)該制訂測試準(zhǔn)則，譬如說:滲透測試人員可以探查漏洞并進(jìn)行測試，但不得利用，因?yàn)檫@可能會(huì)危及到你想要保護(hù)的系統(tǒng)。

此外，你還要提供合適的測試途徑。如果你想測試在非軍事區(qū)(DMZ)里面的系統(tǒng)，最好的測試地方就是在同一個(gè)網(wǎng)段內(nèi)測試。讓滲透測試人員在防火墻外面進(jìn)行測試聽起來似乎更實(shí)際，但內(nèi)部測試可以大大提高發(fā)現(xiàn)防火墻原本隱藏的服務(wù)器安全漏洞的可能性。因?yàn)?，一旦防火墻設(shè)置出現(xiàn)變動(dòng)，就有可能暴露這些漏洞，或者有人可能通過漏洞，利用一臺(tái)DMZ服務(wù)器攻擊其它服務(wù)器。還記得尼姆達(dá)病毒嗎?它就是首次攻擊得逞后、利用一臺(tái)Web服務(wù)器發(fā)動(dòng)其它攻擊的。

以外部需要訪問的Web或應(yīng)用服務(wù)器為例，你應(yīng)該考慮與滲透測試人員共享這些應(yīng)用的源代碼，如果測試涉及這些腳本或程序的話。沒有源代碼，很難測試ASP或CGI腳本，事先認(rèn)定攻擊者根本不會(huì)看到源代碼是不明智的。Web服務(wù)器軟件里面的漏洞往往會(huì)把腳本和應(yīng)用暴露在遠(yuǎn)程攻擊者面前。如果能夠獲得應(yīng)用的源代碼，則可以提高測試該應(yīng)用的效率。畢竟，你出錢是為了讓滲透測試人員查找漏洞，而不是浪費(fèi)他們的時(shí)間。

滲透測試旨在證明，網(wǎng)絡(luò)防御機(jī)制的運(yùn)行與你認(rèn)為的一樣良好。往往系統(tǒng)和網(wǎng)絡(luò)管理員視審查人員或滲透人員為敵人，但實(shí)際上他們卻是朋友。到位的滲透測試可以證明你的防御確實(shí)有效，或者查出問題，幫助你阻擋未來攻擊。出錢請自己知道的人來發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞，總比讓自己不知道的人發(fā)現(xiàn)漏洞好得多。

滲透測試可以用來向第三方，譬如投資方或者你的管理人員提供網(wǎng)絡(luò)安全狀況方面的具體證據(jù)。事實(shí)上，你知道網(wǎng)絡(luò)中存在的漏洞可能已有一段時(shí)日，但無法說服管理人員分配必要資源以補(bǔ)救漏洞。光靠自己，網(wǎng)絡(luò)或安全管理員的意見往往不會(huì)被董事會(huì)采納。如果外面的顧問贊同你的評估，或許會(huì)有奇跡出現(xiàn)。

有關(guān)滲透測試的合同或工作說明應(yīng)該包括你從所得報(bào)告中想要獲得的各個(gè)方面。如果你請人進(jìn)行有限的測試，得到的只是計(jì)算機(jī)生成的報(bào)告。而滲透測試的真正價(jià)值在于由報(bào)告所衍生出的分析。進(jìn)行測試的一方會(huì)詳細(xì)介紹發(fā)現(xiàn)結(jié)果，并說明其重要性。在有的地方，測試人員還會(huì)提議采取何種補(bǔ)救方法，譬如更新服務(wù)器、禁用網(wǎng)絡(luò)服務(wù)、改變防火墻規(guī)則等等。

如今，大多數(shù)攻擊進(jìn)行的是最基本的漏洞掃描，如果攻擊得逞，目標(biāo)就岌岌可危。如果攻擊者企圖對你站點(diǎn)進(jìn)行漏洞掃描，他就會(huì)獲得大量的防火墻日志消息，而監(jiān)控網(wǎng)絡(luò)的任何入侵檢測系統(tǒng)(IDS)也會(huì)開始發(fā)送有關(guān)當(dāng)前攻擊的警報(bào)。如果你還沒有試過，不妨利用漏洞掃描器結(jié)合IDS對網(wǎng)絡(luò)來一番試驗(yàn)。別忘了首先獲得對方的許可，因?yàn)?，運(yùn)行漏洞掃描器會(huì)使IDS引發(fā)警報(bào)。

滲透測試也許是你的網(wǎng)絡(luò)防御工具箱當(dāng)中的重要武器之一。應(yīng)該視之為各種安全審查的一部分，但要確保審查人員勝任這項(xiàng)工作。

實(shí)際上滲透測試并沒有嚴(yán)格的分類方式，即使在軟件開發(fā)生命周期中，也包含了滲透測試的環(huán)節(jié)，但根據(jù)實(shí)際應(yīng)用，普遍認(rèn)同的幾種分類方法如下:

1、黑箱測試

黑箱測試又被稱為所謂的"Zero-Knowledge Testing"，滲透者完全處于對系統(tǒng)一無所知的狀態(tài)，通常這類型測試，最初的信息獲取來自于DNS、Web、Email及各種公開對外的服務(wù)器。

2、白盒測試

白盒測試與黑箱測試恰恰相反，測試者可以通過正常渠道向被測單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)?、員工資料甚至網(wǎng)站或其它程序的代碼片斷，也能夠與單位的其它員工(銷售、程序員、管理者……)進(jìn)行面對面的溝通。這類測試的目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作。

3、隱秘測試

隱秘測試是對被測單位而言的，通常情況下，接受滲透測試的單位網(wǎng)絡(luò)管理部門會(huì)收到通知:在某些時(shí)段進(jìn)行測試。因此能夠監(jiān)測網(wǎng)絡(luò)中出現(xiàn)的變化。但隱秘測試則被測單位也僅有極少數(shù)人知曉測試的存在，因此能夠有效地檢驗(yàn)單位中的信息安全事件監(jiān)控、響應(yīng)、恢復(fù)做得是否到位。

1、主機(jī)操作系統(tǒng)滲透

對Windows、Solaris、AIX、Linux、SCO、SGI等操作系統(tǒng)本身進(jìn)行滲透測試。

2、數(shù)據(jù)庫系統(tǒng)滲透

對MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等數(shù)據(jù)庫應(yīng)用系統(tǒng)進(jìn)行滲透測試。

3、應(yīng)用系統(tǒng)滲透

對滲透目標(biāo)提供的各種應(yīng)用，如ASP、CGI、JSP、PHP等組成的WWW應(yīng)用進(jìn)行滲透測試。

4、網(wǎng)絡(luò)設(shè)備滲透

對各種防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測試。