官方微信视频号
如何提升系统软件的安全之渗透测试
时间:2022-05-09 14:49:43
来源:上海机器人产业技术研究院
作者:小R
渗透测试(Penetration Testing),是指经授权的动作绕过某一系统安全机制的方式,模拟黑客攻击对业务系统进行安全性测试,检查数据处理系统的安全功能,以发现信息系统安全问题的手段,降低系统安全风险
一般渗透流程
下面让上海机器人产业技术研究院来为您讲解一下渗透测试
▍明确目标
(1)确定范围:测试目标的范围、ip、域名、内外网、测试账户、机器人设备、充电设施等。
(2)确定测试需求:Web应用程序安全测试项、APP应用程序安全测试项、机器人设备安全测试项、充电设施安全测试项(具体测试项见附表1)。
(3)确定依据: 被测件检测依据,撰写测试用例、测试记录、测试计划、检测报告、软件测评作业指导书(信息安全类)。
▍信息收集
(1)方式:主动扫描,开放搜索等。
(2)开放搜索:利用搜索引擎获得:后台、未授权页面、敏感url、等等。
(3)基础信息:IP、网段、域名、端口。
(4)应用信息:各端口的应用。例如web应用、邮件应用、等等。
(5)系统信息:操作系统版本。
(6)版本信息:所有这些探测到的东西的版本。
(7)服务信息:中间件的各类信息,插件信息。
(8)人员信息:域名注册人员信息,web应用中发帖人的id,管理员姓名等。
(9)防护信息:试着看能否探测到防护设备,并尝试搜索设备的弱口令。
▍漏洞探测
利用上一步中列出的各种系统、应用等使用相应的漏洞。方法:
(1)漏扫,awvs,IBM appscan等。
(2)结合漏洞去exploit-db等位置找利用。
(3)在网上寻找验证poc。
▍漏洞验证
将上一步中发现的有可能可以成功利用的全部漏洞都验证一遍。结合实际情况,搭建模拟环境进行试验。成功后再应用于目标中。
(1)自动化验证:结合自动化扫描工具提供的结果。
(2)手工验证:根据公开资源进行验证。
(3)试验验证:自己搭建模拟环境进行验证。
(4)登陆猜解:有时可以尝试猜解一下登陆口的账号密码等信息。
(5)业务漏洞验证:如发现业务漏洞,要进行验证。
▍信息分析
为下一步实施渗透做准备
(1)精准打击:准备好上一步探测到的漏洞的exp,用来精准打击。
(2)绕过防御机制:是否有防火墙等设备,如何绕过。
(3)定制攻击路径:最佳工具路径,根据薄弱入口,高内网权限位置,最终标。
(4)绕过检测机制:是否有检测机制,流量监控,杀毒软件,恶意代码检测等(免杀)。
(5)攻击代码:经过试验得来的代码,包括不限于xss代码,sql注入语句等。
▍获取相关资源、权限
实施攻击:根据前几步的结果,进行攻击
(1)获取内部信息:基础设施(网络连接,vpn,路由,拓扑等)。
(2)进一步渗透:内网入侵,敏感目标。
(3)持续性存在:一般我们对客户做渗透不需要。rookit,后门,添加管理账号,驻扎手法等。
(4)清理痕迹:清理相关日志(访问,操作),上传文件等。
▍信息整理
(1)整理渗透工具:整理渗透过程中用到的代码,poc,exp等。
(2)整理收集信息:整理渗透过程中收集到的一切信息。
(3)整理漏洞信息:整理渗透过程中遇到的各种漏洞,各种脆弱位置信息。
▍形成报告
(1)按需整理:按照之前第一步跟客户确定好的范围,需求来整理资料,并将资料形成报告。
(2)补充介绍:要对漏洞成因,验证过程和带来危害进行分析。
(3)修补建议:当然要对所有产生的问题提出合理高效安全的解决办法。
表1 测试项目表
推荐新闻
-
创新驱动、智能进化、场景赋能、生态协同—— 第十届“创客中国”智能机器人中小企业创新创业大赛火热报名中!
2025-06-09 -
全球首张 | 智元机器人荣获人形机器人CR认证“001”证书
2025-05-31 -
突破行业标杆!埃夫特ER300系列机器人荣获MTBF 120000小时认证,重新定义可靠性
2025-05-30 -
普陀区人大常委会主任谈上伟调研机器人研究院
2025-05-15 -
2025年IEC/TC125国内主席顾问专家组、国内技术对口工作组和国际全会行前会成功召开
2025-05-15 -
我国牵头国际标准被30+国家转化,全球应用进程加速推进
2025-05-15 -
“全国机器人标准化检测分技术委员会”获批,我院承担秘书处
2025-05-14 -
“天工”人形机器人一体化关节进入全面“体检”阶段
2025-05-13 -
关于开展第十届“创客中国”智能机器人中小企业创新创业大赛项目征集工作的通知
2025-05-12 -
江苏省南通市代表团一行赴机器人研究院考察
2025-05-12 -
国家标准《工业机器人静电安全规范》等三项标准工作启动
2025-05-07 -
关于征集第十届“创客中国”智能机器人中小企业创新创业大赛评委的通知
2025-04-29 -
共探高质量、发布新成果——2025人形机器人产业高质量发展论坛顺利召开
2025-04-27 -
镇江市党政代表团一行赴机器人研究院考察
2025-04-25 -
定立场,测关节,论数据-全国人形机器人检测认证工作组2025年第二次会议于深圳顺利召开
2025-04-25 -
我院承办的第十届“创客中国”智能机器人中小企业创新创业大赛新闻发布会顺利召开
2025-04-18 -
福州人形机器人训练场启动并接入国家级测评平台
2025-04-15 -
安全性能国际接轨启新章——工业机器人CR认证新规研讨于沪召开
2025-04-15 -
政企携手谋新篇---上电科领导西南行暨卡诺普机器人全系列产品CR认证签约仪式在蓉举行
2025-03-12 -
市科委主任骆大进调研机器人研究院:肯定成绩,寄予厚望
2025-03-10 -
ABB全系列机器人CR认证战略合作签约
2025-02-25 -
KUKA机器人再添新认证
2025-01-27 -
国评中心与京沪两地人形机器人共建创新中心共同举办人形机器人产业发展论坛
2024-11-20 -
人形机器人检测认证工作组正式成立
2024-11-22 -
守安全底线、 保本体可靠、促智能发展,全国人形机器人检测认证工作组会议顺利召开
2025-02-27 -
我院专家获得"机器人"领域国际电工标准化1906奖
2024-10-14 -
国评中心(总部)为安川颁发机器人洁净级认证证书!
2024-09-25 -
JAKA拿下协作机器人全系列CR认证“001”证书
2024-09-19 -
KUKA全系列机器人获得CR认证
2024-09-14 -
2024世界机器人大会机器人行业规范检测与技术分论坛在京圆满举行
2024-08-25 -
国评中心(总部)北京测评中心正式揭牌!
2024-08-24 -
首届智能机器人分级分类评价创新论坛在上海召开
2024-07-05 -
上海成立机器人概念验证中心
2024-06-25 -
【研发成果】轻量化、模块化、智能化的移动机器人面市!
2024-06-20 -
机器人赛道逐渐拓宽,人形机器人正当时?
2024-07-01 -
【祝贺】艾利特CS系列协作机器人通过100000小时MTBF测评!
2024-01-03 -
协作无界,“加”速未来—2023首届中国(盐城)机器人+新能源产业发展大会在盐城顺利召开
2023-12-25
