“ 本文主要講解了滲透測(cè)試的定義、測(cè)試階段、范圍、攻擊路徑、滲透測(cè)試模板等內(nèi)容，希望讓大家知道滲透測(cè)試是什么，大概在研發(fā)活動(dòng)中所處的環(huán)境，以及測(cè)試報(bào)告大概什么樣子”

01 定義

滲透測(cè)試（Penetration Testing），也稱(chēng)為Pentest，是一種通過(guò)模擬黑客攻擊手段來(lái)評(píng)估計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或Web應(yīng)用程序安全性的方法。其主要目的是發(fā)現(xiàn)系統(tǒng)中的安全漏洞，并幫助及時(shí)修復(fù)這些漏洞，從而保障系統(tǒng)的安全性

滲透測(cè)試并沒(méi)有一個(gè)標(biāo)準(zhǔn)的定義，但一般認(rèn)為它是由具備高技能和高素質(zhì)的安全服務(wù)人員發(fā)起的，模擬常見(jiàn)黑客所使用的攻擊手段對(duì)目標(biāo)系統(tǒng)進(jìn)行模擬入侵。這個(gè)過(guò)程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析，這個(gè)分析是從一個(gè)攻擊者可能存在的位置來(lái)進(jìn)行的。

滲透測(cè)試通常涉及以下幾個(gè)步驟：

信息收集：收集目標(biāo)系統(tǒng)的相關(guān)信息，包括IP地址、域名、網(wǎng)絡(luò)拓?fù)涞取?/span>

漏洞掃描：使用自動(dòng)化工具掃描目標(biāo)系統(tǒng)，發(fā)現(xiàn)可能存在的漏洞。

利用漏洞：在找到潛在的安全漏洞后，嘗試?yán)眠@些漏洞進(jìn)入系統(tǒng)，以驗(yàn)證其可利用性。

報(bào)告和修復(fù)：最后，滲透測(cè)試人員會(huì)編寫(xiě)詳細(xì)的滲透測(cè)試報(bào)告，指出發(fā)現(xiàn)的所有安全問(wèn)題，并提供相應(yīng)的修復(fù)建議。

02 測(cè)試階段

滲透測(cè)試一般在第三個(gè)階段開(kāi)展，即在安全計(jì)劃、安全需求和TARA第一階段、設(shè)計(jì)規(guī)范第二階段之后。

從ASPICE角度看滲透測(cè)試活動(dòng)，對(duì)應(yīng)的V模型左端是security goal，但是現(xiàn)在很多企業(yè)在建立ASPICE時(shí)，【軟件質(zhì)量】ASPICE簡(jiǎn)介，并沒(méi)有將MAN.7、SEC系列流程和模板補(bǔ)足，在零件端這是需求的，但目前市面J3061、ISO 21434、NIST SP 800-160 Systems Security Engineering、GBT等文檔和法規(guī)給的參照并不太理想，當(dāng)然如果了解ASPICE基于cybersecurity ASPICE去建立問(wèn)題也不大。

03 測(cè)試范圍

基于資產(chǎn)類(lèi)型角度：

合規(guī)角度：

04 攻擊路徑

在擁有充分攻擊路徑庫(kù)的背景下，可以嘗試建立類(lèi)似的滲透測(cè)試流

05 滲透測(cè)試模板

模板示例如下，如體現(xiàn)用例編號(hào)、檢測(cè)項(xiàng)、漏洞等級(jí)、測(cè)試步驟、結(jié)果、詳細(xì)記錄等

06 漏洞級(jí)別

滲透測(cè)試中的漏洞級(jí)別通常根據(jù)其危害程度和利用難度進(jìn)行劃分。根據(jù)《GB/T 30279-2020 網(wǎng)絡(luò)安全漏洞分類(lèi)分級(jí)指南》，網(wǎng)絡(luò)安全漏洞被劃分為高、中、低三種危害級(jí)別。

具體來(lái)說(shuō)，高危漏洞是指那些可能導(dǎo)致系統(tǒng)完全崩潰或允許攻擊者獲得系統(tǒng)完全控制的漏洞。中危漏洞可能允許攻擊者獲取部分系統(tǒng)權(quán)限或執(zhí)行特定操作，而低危漏洞則通常只影響系統(tǒng)的非關(guān)鍵部分，不會(huì)對(duì)整個(gè)系統(tǒng)造成重大影響。

此外，還有其他一些標(biāo)準(zhǔn)和方法用于評(píng)估和分類(lèi)漏洞。例如，通用漏洞評(píng)分系統(tǒng)（CVSS）是一個(gè)開(kāi)放的計(jì)算機(jī)系統(tǒng)安全漏洞評(píng)估框架，它通過(guò)一系列的指標(biāo)來(lái)評(píng)估漏洞的嚴(yán)重性。這些指標(biāo)包括基本分?jǐn)?shù)、環(huán)境分?jǐn)?shù)和臨時(shí)分?jǐn)?shù)等，以幫助確定漏洞的實(shí)際影響和優(yōu)先級(jí)。

在實(shí)際應(yīng)用中，不同的組織可能會(huì)結(jié)合自身的需求和場(chǎng)景，采用不同的評(píng)分標(biāo)準(zhǔn)和方法來(lái)對(duì)漏洞進(jìn)行分類(lèi)和分級(jí)。例如，阿里云的先知平臺(tái)會(huì)結(jié)合利用場(chǎng)景中漏洞的嚴(yán)重程度、利用難度等綜合因素，給予相應(yīng)的貢獻(xiàn)值和漏洞級(jí)別.

關(guān)于CVSS直接參照3.0即可,但是對(duì)于不同漏洞級(jí)別的處置策略，就需要企業(yè)自己去定義了。

給大家看一下阿里的漏洞定義

《GB/T 30279-2020 網(wǎng)絡(luò)安全漏洞分類(lèi)分級(jí)指南》簡(jiǎn)單展開(kāi)介紹一下：