NISP官网|国家信息安全水平考试NISP运营管理中心|国家网络空间安全人才培养基地欢迎您!

图片展示
搜索

图片展示

ISAT

信息安全意识培训

【立即报名】

NISP一级

国家信息安全水平考试

【立即报名】

NISP二级

国家信息安全水平考试

【立即报名】

NISP三级

国家信息安全水平考试

【立即报名】

CISP

注册信息安全专业人员

【立即报名】

NISP一级考试预约

 

图片展示

2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍

 

       2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。

       本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:

1.1.全国初

初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。

☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛

☑ 参赛资格:全国各类高、中等院校在校学生

☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。

☑ 比赛题型:初赛为50道单选题。

☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。

☑ 通过条件:满分100分,竞赛成绩达到70分及以上。

 

1.2.全国复赛

全国复赛主要考察参赛选手网络安全基础知识和基本技能。

☑ 比赛时间:9月24日全国复赛

☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。

☑ 比赛题型:复赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。

☑ 通过条件:全国前100名通过参加线下总决赛

 

1.3.全国总决赛

全国总决赛为线下知识竞赛形式。

☑ 比赛时间:10月11日全国线下总决赛

☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。

☑ 比赛题型:总决赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。

☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。

 

1.4.奖项设置

2021年第二届大学生网络安全竞赛共设奖金20万元。

金奖:10人,奖金10000元/人

银奖:10人,奖金5000元/人

铜奖:20人,奖金2500元/人

获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。

 

4. 大赛同期其他活动

本次大赛同期将进行一系列与相关的活动,主要活动如下:

1.1大学生网络安全知识精英赛校园大使招募

第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:

 1.1.1.招募标准

具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。

1.1.2.招募平台

抖音APP

1.1.3.报名方式

1、开通抖音账号,并关注抖音官方号“网安精英赛”。

2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。

4、发动同学为自己的短视频点赞。

1.1.4.评选

大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。

1.1.5.公布

最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。

1.1.6.表彰

成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。

 

1.2大学生网络安全知识精英赛答题接龙活动

校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。

活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。

在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。

奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。

 

渗透测试指南(一)前期交互

作者:nobodyshome 来源:国家网络空间安全人才培养基地

第一章 渗透测试简介

什么是道德黑客(Ethical hacking)

我理解的黑客是指技术精湛的人,能发现漏洞并利用,黑客本身是中性的,没有褒贬的意思。换句话说就是一个技术精湛的人,可以做坏事也可以做好事。而道德黑客是指那些负责人的,有担当的,正义,善良,有职业荣誉感的黑客,简单的说就是做好事的黑客。有关道德的论述,本文不再多说,引用一句著名的哲言

“头顶有群星璀璨, 心中有道德法庭”。   -- 康德

为什么需要渗透测试

书中有这么一句话

We need to determine what it is we are protecting and whether our defenses can hold up to the threats that are imposed on them.

就是说渗透测试不仅仅要评估目标的脆弱性,还要在各种防御机制基础上,验证防御机制是否有效。我印象很深的是有一次我做固件分析,发现固件是经过加密的,我就直接让甲方提供一个未加密的固件。如果只是想进行漏洞识别,那也没什么问题,只是这么以来,就不能再称之为渗透测试了,只能说是漏洞识别或者脆弱性分析。

渗透测试的一部分内容就是绕WAF,IDS,IPC,Anti Virus等防御机制,所以渗透测试比漏洞识别更难,所有也更耗时,资费也更贵。

威胁及漏洞

引用CC认证文档 CCPART1V3.1R5中的描述

威胁主体带来威胁,这些威胁针对资产来说增加了风险,而资产所有者希望通过措施去减小风险。

威胁可以理解为一种有意识/无意识的“动机”。所有带来威胁的主体叫威胁主体。

漏洞/脆弱点可以理解为一种脆弱的状态。

利用以及后利用是一种动作/行为。

风险是威胁达成的概率。

一般而言,可以把威胁主体分为以下几类

1. 有组织的犯罪

2. 黑客行为主义者

3. 国家支持的黑客(大部分都是APT)

4. 内部威胁

5. 脚本小子

以一个例子来说明这些概念之间的关系

再举一个例子

所以说威胁主体和威胁是没办法控制的,以上面的例子来说,你不能控制别人偷盗的想法,不能控制下不下冰雹。

唯一能做的是减少漏洞,以及增加利用难度。还是以上面的例子来说

减少漏洞:检测所有门窗都是安全的; 把车停在车库中

增加利用难度:在客厅放置全景摄像头实时监控移动侦测。增加安全红外感应有人闯入则发起警报。

这就是渗透测试的职能,首先去挖掘安全漏洞,其次验证防护机制是否完善到能抵御威胁。

渗透测试方法论

渗透测试可以分为:黑盒,灰盒,白盒测试。黑->灰->白 根据测试人员获取到的信息由小到大来分类。黑盒是啥都不知道,白盒是啥都知道,其他都可归类为灰盒。一般由时间和预算决定采用什么方式测试

Time and money are typically deciding factors in the determination of which type of penetration test to complete.

已知的成熟的渗透测试方法论如下

PTES(Penetration Testing Execution Standard)

PCI-DSS

Penetration Testing Framework

NIST SP 800-115

OSSTMM(Open Source Security Testing Methodology Manual)

ISSAF(Information Systems Security Assessment Framework)

OWASP Testing Project

测试之外

要知道要想把产品做安全,只依赖渗透测试是完全不够的,在OWASP Testing Guide 也说了“The SDLC is King”。

另外,渗透测试不只是发现漏洞并利用就足够了,渗透测试人员还需要透彻理解漏洞原理及漏洞修复/缓解方案,协助产品开发人员排查漏洞并修复。

In many insances, if you find a vulnerability in one area, it may indicate weakness in process or development practices that may have replicated or enabled similar vulnerabilities in other areas of the organization. It is therefore important for your client or the organization that hired you to carefully investigate weak systems or applications that are the results of ineffective security controls when remediating and not to simply deploy "point fixes"

渗透测试技能培训,给产品相关人员进行技能培训,让他们有安全漏洞意识,在开发过程能自测漏洞,并了解漏洞解决方案

第二章 前期交互

本章节内容包括测试计划,测试范围,协议签定等测试前期需要执行的过程。

以渗透测试执行者为乙方,渗透测试需求方为甲方,站在乙方的角度,需要在前期交互过程做

我把本章节主要内容,整理成两份表格,一份是调查问卷表,一份是前期交互表

其中调查问卷表的目标是让乙方通过调查问卷,初步了解甲方的需求和测试目标,为后期的范围,目标定义做铺垫

调查问卷表

前期交互表

注:

技术限制指:渗透测试不能做什么,比如不能用sqlmap跑,不能对xx系统进行拒绝服务测试等。

可提供的材料:API文档,SDK,产品说明书,产品架构文档,等

渗透评估日期声明:因为漏洞实时在变动,需要声明测试的截至日期

漏洞报告声明:报告仅以xx形式提供,并且不为甲方漏洞报告的遗失或泄露负责,并且不为漏洞被泄露后的利用负责

测试计划

确认范围和目标

渗透测试可以分为两类,一类是基于目标,一类是基于兼容性

基于目标是指针对一个目标进行渗透测试,比如目标是数据库账户信息,那么渗透测试就是要评估是否有方式可能泄露或者破解数据库信息数据

基于兼容性是指针对一个法律/法规的兼容性测试,比如GDPR,等保2.0

确认是否关闭一些防御机制比如IPS,IDS,NAC,WAF等

确认测试范围是否覆盖无线网络

渗透测试策略:黑盒/灰盒/白盒

测试范围:黑名单 / 白名单

渗透测试涉及到的法律术语

合同(Contracts)

书面授权(Written Authorization)

工作说明书(SOW:Statement Of Work)

主要服务协议(MSA:Master Service Agreements)

保密协议(NDA:Non-Disclosure Agreement)

出口限制(Export Restrictions)

公司政策(Corporte Policies)

如果测试范围涉及到第三方(比如云服务厂商)的产品,也应该考虑法律层面授权问题

前期交互总结

本章节可以用以下几个词语概括:授权 --> 范围 --> 目标 --> 计划


参考文献

[1] Pentest+ Cert Guide


文章转自:FreeBuf.COM


0
NISP管理中心

渗透测试指南(一)前期交互

作者:nobodyshome 浏览: 发表时间:2020-11-27 09:15:34 来源:国家网络空间安全人才培养基地

第一章 渗透测试简介

什么是道德黑客(Ethical hacking)

我理解的黑客是指技术精湛的人,能发现漏洞并利用,黑客本身是中性的,没有褒贬的意思。换句话说就是一个技术精湛的人,可以做坏事也可以做好事。而道德黑客是指那些负责人的,有担当的,正义,善良,有职业荣誉感的黑客,简单的说就是做好事的黑客。有关道德的论述,本文不再多说,引用一句著名的哲言

“头顶有群星璀璨, 心中有道德法庭”。   -- 康德

为什么需要渗透测试

书中有这么一句话

We need to determine what it is we are protecting and whether our defenses can hold up to the threats that are imposed on them.

就是说渗透测试不仅仅要评估目标的脆弱性,还要在各种防御机制基础上,验证防御机制是否有效。我印象很深的是有一次我做固件分析,发现固件是经过加密的,我就直接让甲方提供一个未加密的固件。如果只是想进行漏洞识别,那也没什么问题,只是这么以来,就不能再称之为渗透测试了,只能说是漏洞识别或者脆弱性分析。

渗透测试的一部分内容就是绕WAF,IDS,IPC,Anti Virus等防御机制,所以渗透测试比漏洞识别更难,所有也更耗时,资费也更贵。

威胁及漏洞

引用CC认证文档 CCPART1V3.1R5中的描述

威胁主体带来威胁,这些威胁针对资产来说增加了风险,而资产所有者希望通过措施去减小风险。

威胁可以理解为一种有意识/无意识的“动机”。所有带来威胁的主体叫威胁主体。

漏洞/脆弱点可以理解为一种脆弱的状态。

利用以及后利用是一种动作/行为。

风险是威胁达成的概率。

一般而言,可以把威胁主体分为以下几类

1. 有组织的犯罪

2. 黑客行为主义者

3. 国家支持的黑客(大部分都是APT)

4. 内部威胁

5. 脚本小子

以一个例子来说明这些概念之间的关系

再举一个例子

所以说威胁主体和威胁是没办法控制的,以上面的例子来说,你不能控制别人偷盗的想法,不能控制下不下冰雹。

唯一能做的是减少漏洞,以及增加利用难度。还是以上面的例子来说

减少漏洞:检测所有门窗都是安全的; 把车停在车库中

增加利用难度:在客厅放置全景摄像头实时监控移动侦测。增加安全红外感应有人闯入则发起警报。

这就是渗透测试的职能,首先去挖掘安全漏洞,其次验证防护机制是否完善到能抵御威胁。

渗透测试方法论

渗透测试可以分为:黑盒,灰盒,白盒测试。黑->灰->白 根据测试人员获取到的信息由小到大来分类。黑盒是啥都不知道,白盒是啥都知道,其他都可归类为灰盒。一般由时间和预算决定采用什么方式测试

Time and money are typically deciding factors in the determination of which type of penetration test to complete.

已知的成熟的渗透测试方法论如下

PTES(Penetration Testing Execution Standard)

PCI-DSS

Penetration Testing Framework

NIST SP 800-115

OSSTMM(Open Source Security Testing Methodology Manual)

ISSAF(Information Systems Security Assessment Framework)

OWASP Testing Project

测试之外

要知道要想把产品做安全,只依赖渗透测试是完全不够的,在OWASP Testing Guide 也说了“The SDLC is King”。

另外,渗透测试不只是发现漏洞并利用就足够了,渗透测试人员还需要透彻理解漏洞原理及漏洞修复/缓解方案,协助产品开发人员排查漏洞并修复。

In many insances, if you find a vulnerability in one area, it may indicate weakness in process or development practices that may have replicated or enabled similar vulnerabilities in other areas of the organization. It is therefore important for your client or the organization that hired you to carefully investigate weak systems or applications that are the results of ineffective security controls when remediating and not to simply deploy "point fixes"

渗透测试技能培训,给产品相关人员进行技能培训,让他们有安全漏洞意识,在开发过程能自测漏洞,并了解漏洞解决方案

第二章 前期交互

本章节内容包括测试计划,测试范围,协议签定等测试前期需要执行的过程。

以渗透测试执行者为乙方,渗透测试需求方为甲方,站在乙方的角度,需要在前期交互过程做

我把本章节主要内容,整理成两份表格,一份是调查问卷表,一份是前期交互表

其中调查问卷表的目标是让乙方通过调查问卷,初步了解甲方的需求和测试目标,为后期的范围,目标定义做铺垫

调查问卷表

前期交互表

注:

技术限制指:渗透测试不能做什么,比如不能用sqlmap跑,不能对xx系统进行拒绝服务测试等。

可提供的材料:API文档,SDK,产品说明书,产品架构文档,等

渗透评估日期声明:因为漏洞实时在变动,需要声明测试的截至日期

漏洞报告声明:报告仅以xx形式提供,并且不为甲方漏洞报告的遗失或泄露负责,并且不为漏洞被泄露后的利用负责

测试计划

确认范围和目标

渗透测试可以分为两类,一类是基于目标,一类是基于兼容性

基于目标是指针对一个目标进行渗透测试,比如目标是数据库账户信息,那么渗透测试就是要评估是否有方式可能泄露或者破解数据库信息数据

基于兼容性是指针对一个法律/法规的兼容性测试,比如GDPR,等保2.0

确认是否关闭一些防御机制比如IPS,IDS,NAC,WAF等

确认测试范围是否覆盖无线网络

渗透测试策略:黑盒/灰盒/白盒

测试范围:黑名单 / 白名单

渗透测试涉及到的法律术语

合同(Contracts)

书面授权(Written Authorization)

工作说明书(SOW:Statement Of Work)

主要服务协议(MSA:Master Service Agreements)

保密协议(NDA:Non-Disclosure Agreement)

出口限制(Export Restrictions)

公司政策(Corporte Policies)

如果测试范围涉及到第三方(比如云服务厂商)的产品,也应该考虑法律层面授权问题

前期交互总结

本章节可以用以下几个词语概括:授权 --> 范围 --> 目标 --> 计划


参考文献

[1] Pentest+ Cert Guide


文章转自:FreeBuf.COM


渗透测试指南(一)前期交互
渗透测试不仅仅要评估目标的脆弱性,还要在各种防御机制基础上,验证防御机制是否有效。
长按图片保存/分享
0

 

网安世纪科技有限公司-国家信息安全水平考试(NISP)管理中心 © 2001-2020  ICP备案号:京ICP备18045154号-6

网站地图

全部课程

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了
京ICP备18045154号-6