D6-03 8–10 分钟 重要程度:高

渗透测试:授权、范围、阶段与盒型

渗透测试比漏洞扫描更进一步,会在授权范围内尝试利用漏洞;CISSP 题目最重视书面授权、范围、规则、风险控制和报告。

一、必须记住

  • Penetration testing 实际尝试突破控制并验证漏洞可利用性。
  • 规划阶段必须明确授权、范围、Rules of Engagement、时间窗口和停止条件。
  • 常见阶段包括规划、信息收集与发现、漏洞扫描、漏洞利用和报告。
  • Whois 可提供 IP 范围、物理地址和联系人等公开信息。
  • Metasploit 是常见漏洞利用框架。
  • 渗透测试只能代表测试时间点的状态,不能证明长期安全。
  • 白盒、灰盒、黑盒按测试人员已知信息多少区分。

二、核心概念

规划先于技术

渗透测试本质上是在尝试攻击系统,因此必须先取得明确授权。规划阶段要定义目标、排除范围、可用技术、测试时间、沟通联系人、事故升级和停止规则,避免合法测试变成未授权攻击或业务中断。

执行阶段

信息收集和发现阶段使用侦察与扫描识别目标;漏洞扫描阶段查找弱点;漏洞利用阶段尝试突破控制;报告阶段总结风险、证据、业务影响和修复建议。

盒型

White-box 测试提供大量内部信息;Black-box 模拟外部攻击者,几乎没有内部知识;Gray-box 介于两者之间。盒型影响效率、真实性和覆盖范围。

三、CISSP 判断规则

  • 问渗透测试第一要务,选授权、范围或 Rules of Engagement。
  • 问“验证漏洞是否可被利用”,优先 Penetration testing。
  • 问“完全不知道内部信息”,选 Black-box。
  • 问“有源码、架构或凭据等完整信息”,选 White-box。
  • 问“测试结果局限”,记住它只是一个时间点。

四、常见陷阱

  • 渗透测试不是越激进越好;CISSP 更看重风险管理和业务授权。
  • 渗透测试可能导致拒绝服务,生产环境必须设置窗口和停止条件。
  • 发现目录索引、文件名或路径也可能泄露敏感信息,不要只关注拿到 shell。

五、英文关键字

Penetration testing (渗透测试) Rules of Engagement (交战规则 / 测试规则) Scope Authorization (授权) Reconnaissance Exploitation Metasploit Whois White-box testing (白盒测试) Gray-box testing (灰盒测试) Black-box testing (黑盒测试)

小测验

1. 渗透测试开始前最重要的管理控制是什么?

CISSP 优先治理和授权。渗透测试具有攻击性质,必须先有书面授权、范围和规则。

2. 测试人员几乎没有内部信息,尽量模拟外部攻击者,这属于?

Black-box 表示测试人员不知道内部设计;White-box 则提供大量内部信息。

3. 渗透测试相对漏洞扫描的主要区别是?

漏洞扫描识别弱点;渗透测试在授权范围内进一步尝试突破控制。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成