***测试工作应当严格遵照方法论

 

安全目标

先于***者发现和补救漏洞

护性安全建设

保守,从防护角度保证安全。譬如关闭不必要的端口和相关服务,尽可能封杀可能被利用的渠道。

弊端:投入巨大,资源耗费较高,见效不理想

击性安全

以主动***的方式,从***者角度审查系统的安全漏洞,并给予及时的补救和完善。实施难度小。

 

安全问题的根源

层思想的利害

分层间的相互透明导致很多人专注于个人工作所在的领域层面,导致片面认识一个系统,无法从全局角度参与安全建设。

过分注重功能实现

开发人员专注于产品和功能实现,较少的考虑产品的安全性,缺乏安全考虑

People Hack

人的错误是一切安全问题的源头,人无法保证自己工作不失误

***测试

尝试挫败安全防御机制,发现系统安全弱点

从***者角度思考,测试安全防护的有效性

证明安全问题的存在是目的,而不是从事破坏。不断探查并证明该问题对企业的危害

敏感的道德与法律的约束,能力与责任

 

***测试标准(PETS

前期交互阶段

与客户沟通:

  • 确定***测试项目的范围:切分子系统并以子系统为单位分解工作量(这里的系统指具体的服务成份)

  • 确定***测试的测试实施方式:各种手段的采取情况,社工,DDOS等具体测试方式

 

情报收集阶段

  • 目标系统广泛的信息收集,员工信息,搜索引擎等外围搜索方式

  • 针对目标系统的主动信息探测

威胁建模阶段

  • 依据前期情报收集,分析并确定高效快捷的渗入途径

漏洞分析阶段

  • 前段漏洞挖掘,软件逆向,社工,

  • 编写POC

******阶段

  • 探查更深层的防御机制,尝试初步控制部分服务器

  • 通过漏洞充分暴露外部安全隐患

后***测试阶段

  • 利用前期***测试取得的服务器向内网***并暴露出更大的安全问题

***测试报告

  • 撰写报告展现漏洞发现过程,危害程度和问题解决方案

***测试项目

  • ***测试范围

  • 客户授权

  • ***测试方法

    • 是否允许社工

    • 是否允许DDOS

    • 非法的***窃密行为

 

对***测试的错误认识

  • 扫描器就是一切

    • 扫描器扫描结果很有限

    • 无法发现业务逻辑层漏洞(权限划分等等)

 

KALI LINUX                         

  • 基于Debianlinux发新版

  • 前生是BT backtrack 发布于201303

  • ***测试和安全审计平台

  • 安全工具超过600

  • FHS标准目录结构(Bt后期难以划分管理工具,故采取linuxFHS结构标准)

  • 支持众多单板,手机平台

  • 定制版内核  坑么(添加各种无线设施内核驱动)

开源免费哇

FHS

Filesystem Hierarchy Standard(文件系统目录标准),多数Linux版本采用这种文件组织形式,类似于Windows操作系统中c盘的文件目录,FHS采用树形结构组织文件。FHS定义了系统中每个区域的用途、所需要的最小构成的文件和目录,同时还给出了例外处理与矛盾处理。

KALI LINUX策略

  • Root用户策略

大多数工具需要root权限

官方建议以root权限工作

  • 网络服务策略

多数服务的默认自启脚本不会自动启动

  • 更新策略

基于debian的更新可直接安装

自带工具由OffensiveSecurity维护

 

该笔记为安全牛课堂学员笔记,想看此课程或者信息安全类干货可以移步到安全牛课堂

Security+认证为什么是互联网+时代最火爆的认证?

      牛妹先给大家介绍一下Security+

        Security+ 认证是一种中立第三方认证,其发证机构为美国计算机行业协会CompTIA ;是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一,和CISSP偏重信息安全管理相比,Security+ 认证更偏重信息安全技术和操作。

       通过该认证证明了您具备网络安全,合规性和操作安全,威胁和漏洞,应用程序、数据和主机安全,访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易,含金量较高,目前已被全球企业和安全专业人士所普遍采纳。

Security+认证如此火爆的原因?  

       原因一:在所有信息安全认证当中,偏重信息安全技术的认证是空白的, Security+认证正好可以弥补信息安全技术领域的空白 。

      目前行业内受认可的信息安全认证主要有CISP和CISSP,但是无论CISP还是CISSP都是偏重信息安全管理的,技术知识讲的宽泛且浅显,考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上,CISP也要求大专学历4年以上工作经验,这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中,无论是找工作还是升职加薪,或是投标时候报人员,认证都是必不可少的,这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍,由于Security+偏重信息安全技术,所以对工作经验没有特别的要求。只要你有IT相关背景,追求进步就可以学习和考试。

       原因二: IT运维人员工作与翻身的利器。

       在银行、证券、保险、信息通讯等行业,IT运维人员非常多,IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍,死亦写代码”的悲壮,但也有着“锄禾日当午,不如运维苦“的感慨。天天对着电脑和机器,时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识,掌握网络安全实践。职业发展朝着网络安全的方向发展,解决国内信息安全人才的匮乏问题。另外,即使不转型,要做好运维工作,学习安全知识取得安全认证也是必不可少的。

        原因三:接地气、国际范儿、考试方便、费用适中!

CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。

        在目前的信息安全大潮之下,人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的,相信Security+认证一定会成为最火爆的信息安全认证。