某網(wǎng)站安全測試方案

1、某網(wǎng)站安全測試方案.xx檢測方案：版本：時間：名目一、檢測背景. - 3 -二、檢測目的. - 3 -三、檢測案 . - 3 -1. 案概況 . - 3 -2. 協(xié)作要求. - 3 -3. 檢測流程. - 3 -4. 檢測對象. - 4 -5. 檢測期 . - 5 -四、風險聲明. - 5 -1. 操作系統(tǒng)和常見應用破綻掃描 . - 5 -2. web應用破綻掃描 . - 6 - 一、檢測背景二、檢測目的三、檢測案1.案概況2.協(xié)作要求?人員協(xié)作要求?供應的資料文檔?供應的現(xiàn)場環(huán)境和條件3.檢測流程信息搜集：此階段中，浸透檢測小組進展必要的信息搜集，通過現(xiàn)場訪談確定檢測時間、檢測式、檢測地點、

2、留意事項等。通過互聯(lián)網(wǎng)搜集，獵取ip 地址、dns 域名、應用系統(tǒng)、軟硬件環(huán)境等。初步完成分析網(wǎng)絡拓撲、操作系統(tǒng)、數(shù)據(jù)庫版本等相關環(huán)境的目的。浸透檢測：此階段中，浸透檢測小組依據(jù)信息搜集階段分析的信息，從互聯(lián)網(wǎng)模擬黑客攻擊式，對外部網(wǎng)絡、系統(tǒng)進展浸透檢測。此階段假如發(fā)覺問題，進展搜集證據(jù)，簡潔利用破綻獵取非敏感信息，證明破綻可用；假如未發(fā)覺問題那么浸透檢測完畢。本次測試將大量用法自動化檢測設備進展測試，主要針對平安性，敏感字，網(wǎng)頁暗鏈進展檢測。輸出報告：此階段中，浸透檢測小組依據(jù)檢測的結果編寫直觀的浸透檢測效勞報告。4.檢測對象序號名稱域名ip地址備注12345.檢測期四、風險聲明1.操作系統(tǒng)

3、和常見應用破綻掃描在用法掃描器對目的系統(tǒng)掃描的過程中，可能會出現(xiàn)以下的風險：?占用帶寬風險不高。?進程、系統(tǒng)崩潰。由于目的系統(tǒng)的多樣性及脆弱性，或是目的系統(tǒng)上某些特別效勞本身存在的缺陷，對掃描器發(fā)送的探測包或者浸透測試工具發(fā)出的測試數(shù)據(jù)不能正常響應，可能會出現(xiàn)系統(tǒng)崩潰或程序進程的崩潰。?登錄界面鎖死。掃描器可以對某些常用應用程序系統(tǒng)登錄、ftp，telnet，snmp，ssh，weblogic的登錄口令進展弱口令猜想驗證，假如目的系統(tǒng)對登錄失敗次數(shù)進展了限制，嘗試登錄次數(shù)超過限定次數(shù)系統(tǒng)可能會鎖死登錄界面。風險躲避法：?依據(jù)目的系統(tǒng)的網(wǎng)絡、應用情況，調(diào)整掃描測試時間段，實行避峰掃描；?對掃描器

4、掃描策略進展配置，適當調(diào)整掃描器的并發(fā)任務數(shù)和掃描的強度，可使削減掃描器工作時占用的帶寬，降低對目的系統(tǒng)影響；?依據(jù)目的系統(tǒng)及目的系統(tǒng)上運行的應用程序，通過與測評托付相關人員協(xié)商，定制針對本系統(tǒng)測試的掃描插件、端口等配置，盡量合理設置掃描強度，降低目的系統(tǒng)或進程崩潰的風險；?如目的系統(tǒng)對登錄某些相關程序的嘗試次數(shù)進展了限制，在進展掃描時，可屏蔽暴力猜解功能，以避開登錄界面鎖死的狀況發(fā)生。2.web應用破綻掃描在用法web應用破綻掃描器對目的系統(tǒng)掃描的過程中，可能會存在以下的風險：?占用帶寬風險不高。?登錄界面鎖死。web應用破綻掃描會對登錄頁面進展弱口令猜想，猜想過程可能會造成應用系統(tǒng)某些帳號鎖死。風險躲避法：?依據(jù)目的系統(tǒng)的網(wǎng)絡、應用情況，調(diào)整掃描測試時間段，