企业网站为什么要做渗透测试？你的系统存在被黑客入侵的可能近年来，企业遭受黑客攻击正逐渐成为常态，企业信息系统所面临的安全

近年来，企业遭受黑客攻击正逐渐成为常态，企业信息系统所面临的安全威胁种类繁多。入侵者之所以能够从内部或外部攻击某一系统，都是由于系统和应用程序存在可被利用的漏洞，然而构建完善的安全防御体系是一项浩大的工程，即使企业投入了巨大的成本用于安全建设，仍然可能存在一些被忽略的漏洞。

这一背景下，渗透测试作为一种有效的主动防御手段，得到了越来越广泛的认可与应用。

094aa64369ffa3a11bb0e6124e013b52_t03c9b69cef52a42970.jpg

什么是渗透测试？

从技术来讲，渗透测试就是模拟黑客的操作，发现被测目标的一些网络安全风险。通俗的讲，就是安全人员有原则有节制得到授权合法的对目标进行非破坏性操作，意图发现目标的安全风险。

渗透测试的出发点是资产所有人关注测试目标的安全，比如操作系统，应用程序，数据库，网络等，但是又不知道测试目标到底存在什么风险，是不是能够被不法分子利用造成业务停车，数据丢失等事故，故请安全人员模拟黑客的操作，比如对测试目标进行漏洞发现，测试口令脆弱性，网络设备的安全配置攻击，最后提供渗透测试报告，描述测试目标的漏洞并提出安全建议。

企业组织在开展渗透测试工作前，需要全面了解测试的类型、方法和原则。本文将对其中的7种最常见类型进行介绍：

01 网络渗透测试

如果攻击者能够成功闯入公司的网络，其引发的风险将会非常高。网络渗透测试主要指测试人员尝试绕过防火墙、测试路由器、规避入侵检测和防御系统（IPS/IDS）、扫描端口和代理服务，并寻找所有类型的网络漏洞。在实际应用中，网络渗透测试工作主要包括外部网络渗透测试与内部网络渗透测试。

在外部网络渗透测试中，面向互联网的资产是模拟攻击的主要目标。通常，目标资产会由客户提供，但也可以在客户确认的情况下执行“无范围”（no-scope）测试。测试人员将尝试在扫描期间发现的任何可利用漏洞。此外，允许登录的暴露服务将受到密码猜测攻击的影响，例如暴力破解或密码喷射。对外开放的企业网站通常会接受额外的审查，以寻找攻击者容易利用的常见Web漏洞。

内部网络渗透测试则是从已获得组织内部网络访问权限的角度进行，可以在测试人员和客户员工之间提供有益的互动，测试人员可以使用客户提供的基础设施，或是他们自己的物理或虚拟远程测试系统来进行远程访问。

02 社会工程渗透测试

社会工程是网络犯罪分子用来欺骗用户泄露凭据或敏感信息的一种技术。如今，大多数网络安全攻击会从社会工程、网络钓鱼或短信网络钓鱼开始。攻击者通常会联系员工，通过电子邮件、电话、社交媒体及其他方式瞄准那些拥有管理员或高级访问权限的人。通过社会工程渗透测试可以帮助安全团队预先了解组织的人员安全意识状态，并在社会工程攻击期间和之后测试组织安全团队的反应和支持能力。

社会工程测试主要包括：

网络钓鱼测试。旨在确定组织的用户群对鱼叉式网络钓鱼攻击的敏感性。该测试的目标不是评估组织电子邮件保护的有效性，而是确定当邮件避开这些过滤器时用户将如何反应。这些评估的结果可以用于增强组织的反社会工程意识计划。
电话语音钓鱼。测试人员会使用来电显示欺骗技术冒充用户、支持人员或客户。该评估旨在说服用户执行一些可能会披露信息或提供对组织系统的访问权限的操作。许多用户会根据来电号码选择信任来电者。部分用户会察觉出攻击并以各种方式做出响应，例如咨询安全顾问或在通话后联系信息安全团队。
USB令牌注入。用户可能会无意中尝试将USB设备连接到环境中。在此评估类型中，测试人员会将部署看似普通的USB驱动器，并诱使用户将该设备插入公司系统。这些USB设备可以是包含建立远程连接的恶意文件的典型驱动器，也可以是在连接时执行某些键盘操作。
收集短信钓鱼。这种评估类型类似于网络钓鱼，但利用的媒介变为SMS或短消息服务向用户发送欺诈性的消息。与网络钓鱼一样，这些活动将尝试让用户访问冒充组织的站点或尝试传递恶意木马病毒。

03 Web应用渗透测试

基于Web的应用程序对于几乎每家组织的运营都至关重要。Web应用程序渗透测试侧重于通过Web应用程序呈现给攻击者的攻击面。这些测试类型旨在评估Web应用程序的安全性，并寻找攻击性方法来访问敏感数据，或获得对Web应用程序的控制权限。在此评估期间，组织通常会向测试人员提供凭据访问权限，以审查整个应用程序。

Web应用程序测试的对象包括Web应用程序、浏览器、ActiveX、插件、Silverlight、小脚本和小应用程序，测试中所用的语言包括Java、PHP、和.NET等。应用编程接口（API）与XML、MySQL、Oracle及其连接和系统一样也是测试的一部分。如果Web应用程序是移动的，它们还需要在其环境中进行测试。由于端点在运行时和Web应用程序在线时具有交互性，针对Web应用的渗透测试会很复杂，渗透测试人员必须兼顾所有方面。

04 无线网络渗透测试

现代企业会高度依赖无线网络来连接端点和物联网设备等，无线网络已成为网络犯罪分子的热门目标，但其应用安全性却常被企业所忽视。覆盖无线安全的渗透测试必须面面俱到，无线网络测试人员需要寻找无线加密中已知的缺陷，试图破解密钥，诱使用户向“双面恶魔”（evil twin）接入点或被攻击者控制的文件夹提供凭据，并暴力破解登录详细信息。恶意接入点扫描可以通过物理位置和经过身份验证的无线分段测试完成这些评估类型，以确定攻击者在成功连接到环境后可以访问的内容。

随着企业开始走上数字化转型和现代化之路，物联网、传感器、摄像头、移动设备及和其他端点面临的威胁也在加大。黑客会试图通过这些新的入口点访问关键资产，数字攻击面扩大无疑对他们有利。因此，渗透测试人员需要全面验证无线加密协议、检查信标、确认流量以及搜索接入点、热点和MAC地址欺骗。

05 物理安全渗透测试

并非公司面临的所有威胁都是由外部网络应用所引起，特别是在边缘计算兴起后，很多企业会在接近业务运营的地方建立数据分中心，面向这些中心的物理环境安全测试已变得更加重要。

在物理环境安全测试中，测试人员将会模拟验证大门的安全系统、门禁卡、门锁、摄像头和传感器，并尝试冒充工作人员。他们还会验证当攻击者可以物理访问计算设备、数据中心网络和边缘计算网络时，企业数字化应用系统的安全系数会如何变化。这类测试通常会在安全团队大多数成员完全不知情的情况下执行。

06 云计算渗透测试

私有云和公共云的广泛应用为现代企业组织带来了诸多好处，但也给网络犯罪分子带来了机会。许多组织在云端都存放了大量关键业务数据资产，如果这些资产遭到破坏，会导致业务运营的瘫痪。

虽然云供应商会为企业提供功能强大的配套安全服务，但云渗透测试对企业组织已必不可少。云端渗透测试需要提前通知云提供商，因为系统的某些区域可能禁止白帽黑客访问。

云端的渗透测试必须遵守云服务商给出的统一渗透测试演练规则。而在开始进行测试前，组织也需要详细填写云计算安全渗透测试申请表。云渗透测试的内容主要包括检查云环境的安全性、应用程序及API、访问、存储、加密、虚拟机、操作系统及更新、安全外壳（SSH）、远程桌面协议（RDP）远程管理以及错误配置和密码。

07 红蓝对抗测试

受军事演习活动的启发，在网络安全领域也开始流行基于实战背景的攻防对抗测试演练活动，会组织专业的测试红队充当攻击者，而蓝队主要由企业现有的安全团队组成。这种整体式对抗性测试方法能够确保渗透测试的真实性和有效性，不仅可以评估安全缺陷、漏洞和威胁，还可以评估安全团队的反应能力。

通过聘请行业专家充当蓝队，企业组织不仅可以发现目前的安全防护薄弱环节，还可以趁此机会提升员工的专业安全技能。安全团队可以学习如何更快速地了解和响应攻击。红蓝对抗测试有多种形式。有时蓝队被告知模拟或渗透测试的时间，有时则完全不知情。红队渗透测试人员可以深入了解内部安全团队在如何响应，并提供优化的建议。

为什么需要渗透测试？

作为公司的运维人员，特别是中大型企业，网站被攻击，网站打不开是一件再平常不过的事情了。今天我们就来说说黑客是如何入侵你的网站导致用户无法正常访问的。

所以今天就来带大家了解一下，网络黑客是如何入侵网站的。

一方面帮大家做到知己知彼，另一方面大家也可以对照检测一下，自家的网站安全措施是否真的已经固若金汤。

总体来说，网络黑客入侵网站的方法通常有许多种，最普遍的操作流程大致包含以下几个步骤：

一、信息搜集

Whois信息查询，得到注册人、电话、邮箱、DNS、地址。
Google hack搜索收集到网站的敏感目录、敏感文件等更多信息。
服务器IP配合Nmap扫描，搜集网络端口对应的服务、C段。
Bing查询、脚本工具完成旁注（从旁注入）操作。
如果遇到CDN--Cloudflare（绕过），从子域入手（mail，postfix）、DNS传送域漏洞。
服务器、组件（指纹）--操作系统、web server（apache，nginx，iis）、脚本语言。

通过信息收集阶段，网络黑客基本上已经能够获取到网站的绝大部分信息，当然这只是网站入侵的第一步。

二、漏洞挖掘

探测Web应用指纹--Discuz、PHPwind、Dedecms、Ecshop...
XSS、CSRF、XSIO、SQLinjection、权限绕过、任意文件读取、文件包含...
上传漏洞--截断、修改、解析漏洞。
有无验证码--进行暴力破解......

进行到这一步，网络黑客手里已经掌握了你网站的大量信息以及不大不小的漏洞若干，下一步他们便会开始利用这些漏洞获取网站权限。

三、漏洞利用

思考目的性--达到什么样的效果。
隐藏，破坏性--根据探测到的应用指纹寻找对应的EXP攻击载荷或者自己编写。
开始漏洞攻击，获取相应权限，根据场景不同变化思路拿到webshell。

四、权限提升

根据服务器类型选择不同的攻击载荷进行权限提升。
无法进行权限提升，结合获取的资料开始密码猜解，回溯信息收集。

五、植入后门

保证隐蔽性。
定期查看并更新，保持周期性。

六、日志清理

伪装性，隐蔽性，为避免激警，他们通常选择删除指定日志。
根据时间段，find相应日志文件......

以上还属于网络黑客们最普遍或者说最低级的入侵步骤。

如果遇到更加来着不善的网络攻击者，直接给网站植入赌博网站或最近高发的比特币勒索软件，后果就更不堪设想了：

那么，企业如何有效防止网络黑客们的恶意渗透和入侵呢？

说完入侵的流程危害，我们来说下为什么企业网站需要做渗透测试。

一、几乎所有渗透测试都揭示了重要的安全漏洞

渗透测试非常有效。换句话说，测试者通常会成功地在客户网站或服务器的网络防御中找到漏洞。事实上，Positive Technologies最近的一项研究发现，在2018年，安全研究人员冒充该网站或服务器之外的威胁行为者，客户的内部网络在92％的外部测试中被破坏。更为引人注目的是内部测试结果，其重点是与本地网络连接的恶意内部人员可能造成的损害，因为测试者能够在100％的情况下获得对系统的完整的管理控制。
这些发现证明了两件事。首先，渗透测试在暴露威胁参与者可能侵入和移动到您的网络以便访问，操纵，破坏或破坏有价值的数据和系统的方式方面显然是有效的。该研究还指出，公司根本无法正确保护他们的系统。部分问题是许多网站或服务器没有充分确定安全性的优先级，因此没有为其分配足够的资源。然而，这里的根本问题是，像许多公司一样，单独关注防御性安全是一个根本上有缺陷的战略。仅通过防御手段保护其安全性是不够的。就像试图通过编辑自己的工作来提供完美无缺的手稿：尽管在提交之前审查您的写作至关重要，但你一定会忽略一些错别字，甚至可能更基本的错误。为了避免这种情况，你真的需要一双新眼睛来看你的工作。这份工作的最佳人选将是一位专业的校对员，他们确切地知道出版商的读者将如何评论你的写作。对于想要验证系统真正安全性的网站或服务器来说，情况也是如此：他们需要有人像攻击者那样探测他们的系统。而这份工作的最佳人选便是专业的第三方渗透公司。

二、渗透测试有助于防止补丁疲劳

除了上面讨论的纯粹防御性安全计划的基本问题之外，还存在妨碍网站或服务器优化其网络安全的实际因素。一个常见问题是网站或服务器越来越难以跟上新发现的软件和硬件漏洞不断发布的大量安全补丁。补丁疲劳多年来一直是一个问题，事情只会越来越严重，因为报告的漏洞数量逐年增加，目前的记录从2018年起超过16,500个安全漏洞，即每天45个。即使这些补丁中只有10％与您的系统相关，这意味着每周必须识别，测试大约32个补丁。
通过定期渗透测试，公司可以识别其IT基础架构中最易受攻击的元素，因此他们可以为这些系统确定安全补丁的优先级。例如，上面引用的研究表明，在外部测试中，安全专家通常可以通过利用Web应用程序中的漏洞来破坏网络外围。每4个发现的渗透向量中有3个（即访问本地网络的方式）源于安全性较差的Web应用程序。在这些情况下，客户端可以通过安装最新的安全更新，并在必要时改进安全配置来开始保护这些应用程序。

三、渗透测试揭示了超出漏洞评估范围的问题

渗透测试与漏洞评估是不一样的。
企业了解其网站或服务器网络安全状况中的薄弱环节的一种方法是让安全专业人员进行漏洞评估，这意味着技术人员将扫描其环境，以检测影响其系统的已知缺陷。虽然漏洞评估对于希望加强其安全性的公司非常有用，但渗透测试提供了许多额外的价值。前者只是告知公司在哪里可以找到最明显的安全漏洞，而后者也会暴露出低于表面的问题，并展示威胁行为者可以通过利用某些缺陷造成的实际损害。例如，上述关于渗透测试的研究发现，每两个系统中就有一个系统的安全性非常低，以至于测试人员只能利用一种类型的漏洞来破坏网络边界并访问内部网络。换句话说，有一半公司没有遵循最佳做法通过确保需要多个步骤来打入有价值的系统，可以阻止或至少减缓攻击者的网络分段和其他解决方案。
这一发现强调了与漏洞评估相比，渗透测试的附加价值，因为漏洞扫描只能识别表面漏洞，而不是影响（即，这使得测试人员如何立即访问内部网络）。此外，渗透测试将揭示攻击者在获得访问权限后可以在网络上实际执行的操作，例如他们将能够查看哪些敏感数据。这是网站或服务器只能通过渗透测试获得的非常有价值的信息。
以下这些项目都是漏洞评估无法识别的结果，如果发生安全漏洞，这可能会对您的网站或服务器产生重大影响。使用渗透测试的结果，您的网站或服务器可以通过减少攻击媒介的数量和敏感资源和系统的可访问路径，来确定保护其最有价值数据的方法。