渗透测试工作思路(安全渗透测试报告)
[size=2]传统的安全评估,渗透测试工作很多仅仅是发现漏洞、利用漏洞获取最高权限、漏洞统计等等没有太大意义的工作。经过在实践当中的摸索,我发现利用风险图与漏洞说明细节关联的方法能非常直观的
表现出客户网络的风险,而且在风险图上可以很直观的看到客户最关心的业务风险,这样就能非常有说
服力,而非仅仅像以前的安全评估工作大多是从漏洞数量、从漏洞危害、从获取的控制权上说明风险。
在阅读该风险文档的时候,只要以风险图为中心去通篇阅读该文档就能非常直观的了解整体的安全风
险。当然还可以考虑进一步完善,比如用另一张风险图来描述安全策略控制点等等。该文档仅仅用来提供
一个思路,到06年6月30号为止,目前我和我的同事们、朋友们还没发现国内有谁做过或者公开过这样思路
的文档。我想放出来给大家讨论讨论该方法是否可行,是否是一个不错的好思路,我希望能对将来的评估
或渗透工作起到一点好的作用
该文档只是一个渗透文档,如果是做评估的话可以把攻击路径画出来,不同路径能够带来的风险,
路径风险可分两大类,一种是可能的风险线是推演出来的并不一定发生或可以立即证明,第二种是通过
技术手段证实的客观存在的风险线。另外还需要标明上各风险点的风险指数等参数。
该文档只是演示思路,事实上我去掉了大量的内容并修改了很多内容.[/size]
[size=2][/size]
[size=2]Ps:以下附上文档...[/size]
[[i] 本帖最后由 chinix 于 2006-11-1 12:48 编辑 [/i]] 支持原创! 恩,不错
分享是一种美德
很好的参考文件
我发展的方向,嘿嘿,值得收藏,多谢搂主分享~~~ :handshake 呵呵思路很好~但是明显的实际操作经验不足~呵呵~ 支持!!!!!!!!!!!! 好东西 老帖雄起. 顶起来,8错 呵呵,学习了 顶一下......页:
[1]