使用管理员用户权限执行漏洞评估测试是否有意义？

Question

我们有一个管理门户网站，我们使用它来配置和监视我们的系统，我们最近让一位安全顾问扫描我们的服务器上的漏洞。我们的管理门户是通过用户名和密码认证以及双因素身份验证来保护的。

问题是，安全顾问正在对获得完全授权的完全身份验证的用户进行漏洞评估和渗透测试。这是有意义的，但由于用户已经完全通过身份验证，扫描正在改变配置，以至于系统将不再运行。

所以，用这种方式做扫描对吗？

Answer 1

这里确实发生了几件事。

第一个问题是确定安全测试所需的身份验证(如果有的话)。这取决于您的威胁模型。例如，我正在使用的系统使用各种最终用户凭据进行扫描，而不是使用与公司员工拥有的权限级别相关的凭据进行扫描。我们已经决定，如果存在恶意的内部用户，这些问题的类型将远远超出漏洞扫描器所能捕捉到的范围。重点是确保终端用户，无论是否恶意，都有有限的机会来伤害或绕过系统的正常运行。这种方法可能适用于所有组织，也可能不适用于所有组织，因此要由每个组织来确定扫描和渗透测试的不同配置的风险和好处。

安全顾问，无论是使用自动化工具，还是通过与系统交互的手动过程，都在更改配置，使系统无法正常工作。首先，安全顾问可能需要与其身份验证的任何用户角色相关联的系统文档。这是我参与过的所有渗透测试中的一个常见要求。这应该能帮助他们理解为了不破坏系统而做的不同的事情。第二，他们应该在模拟生产但不是生产的环境中进行测试。根据我的经验，安全测试人员所做的事情可能会破坏系统，包括试图发送恶意负载。安全测试不应干扰系统的正常运行。

我的建议是，您应该花一些时间进行威胁建模，并与您的安全顾问合作了解系统，以便他们能够根据您所面临的风险执行适当的测试，从而使任何发现都具有相关性。

Answer 2

我假设您只有一个级别或特权，例如:管理员，没有其他人可以登录和混乱的系统，对吗？因此，如果测试人员没有以Admin身份登录，他就无法模拟真正的攻击，因为我们都知道这种安全性(用户名、pass和2FA)可能会受到破坏，如果攻击者获得Admin特权，没有人知道他能进入系统有多远。基本上，测试人员试图做的是，即使有人获得了他在系统中不能获得的管理特权，例如，上传一个shell并控制整个服务器，获得根特权，例如，删除所有内容。如果测试人员没有管理员权限，我肯定他只能检查敏感文件夹/文件--一些常见的攻击XSS、LFI、RFI、SQLi、过时的服务等等。