Web應(yīng)用安全測(cè)試方案

1、1 Web安全測(cè)試技術(shù)方案1.1 測(cè)試的目標(biāo) 更好的發(fā)現(xiàn)當(dāng)前系統(tǒng)存在的可能的安全隱患，避免發(fā)生危害性的安全事件 更好的為今后系統(tǒng)建設(shè)提供指導(dǎo)和有價(jià)值的意見及建議1.2 測(cè)試的范圍本期測(cè)試服務(wù)范圍包含如下各個(gè)系統(tǒng)：Web系統(tǒng)：1.3 測(cè)試的內(nèi)容1.3.1 WEB 用針對(duì)網(wǎng)站及WEB系統(tǒng)的安全測(cè)試，我們將進(jìn)行以下方面的測(cè)試：Web 服務(wù)器安全漏洞Web 服務(wù)器錯(cuò)誤配置SQL 注入XSS （跨站腳本）CRLF 注入目錄遍歷文件包含輸入驗(yàn)證認(rèn)證邏輯錯(cuò)誤Google Hacking 密碼保護(hù)區(qū)域猜測(cè) 字典攻擊 特定的錯(cuò)誤頁面檢測(cè) 脆弱權(quán)限的目錄 危險(xiǎn)的 HTTP 方法（如： PUT、 DELETE）1.

2、4 測(cè)試的流程方案制定部分：獲取到客戶的書面授權(quán)許可后，才進(jìn)行安全測(cè)試的實(shí)施。并且將實(shí)施范圍、方法、時(shí)間、人員等具體 的方案與客戶進(jìn)行交流，并得到客戶的認(rèn)同。在測(cè)試實(shí)施之前，讓客戶對(duì)安全測(cè)試過程和風(fēng)險(xiǎn)知曉，使隨后的正式測(cè)試流程都在客戶的控制下。信息收集部分： 這包括：操作系統(tǒng)類型指紋收集；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析；端口掃描和目標(biāo)系統(tǒng)提供的服務(wù)識(shí)別等。采用商業(yè)和開源的檢測(cè)工具（ AWVS burpsuite、Nmap等）進(jìn)行收集。測(cè)試實(shí)施部分：在規(guī)避防火墻、入侵檢測(cè)、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進(jìn)行：操作系統(tǒng)可檢測(cè)到的漏洞測(cè)試、 應(yīng)用系統(tǒng)檢測(cè)到的漏洞測(cè)試（如：Web應(yīng)用），此階段如果成功的話，可能獲得

3、普通權(quán)限。安全測(cè)試人員可能用到的測(cè)試手段有：掃描分析、溢出測(cè)試、口令爆破、社會(huì)工程學(xué)、客戶端攻擊、 中間人攻擊等，用于測(cè)試人員順利完成工程。在獲取到普通權(quán)限后，嘗試由普通權(quán)限提升為管理員權(quán)限， 獲得對(duì)系統(tǒng)的完全控制權(quán)。此過程將循環(huán)進(jìn)行，直到測(cè)試完成。最后由安全測(cè)試人員清除中間數(shù)據(jù)。分析報(bào)告輸出： 安全測(cè)試人員根據(jù)測(cè)試的過程結(jié)果編寫直觀的安全測(cè)試服務(wù)報(bào)告。內(nèi)容包括：具體的操作步驟描述； 響應(yīng)分析以及最后的安全修復(fù)建議。下圖是更為詳細(xì)的步驟拆分示意圖：1.5 測(cè)試的手段根據(jù)安全測(cè)試的實(shí)際需求， 采取自動(dòng)化測(cè)試與人工檢測(cè)與審核相結(jié)合的方式， 大大的減少了自動(dòng)化測(cè) 試過程中的誤報(bào)問題。1.5.1 常用

4、工具列表自動(dòng)化掃描工具： AWV、S OWASP ZA、PBurpsuite 等端口掃描、服務(wù)檢測(cè)： Nmap THC-Amap等 密碼、口令破解： Johntheripper 、 HASHCA、T Cain 等 漏洞利用工具： MetasploitFramework 等 應(yīng)用缺陷分析工具： Burpsuite 、 Sqlmap 等1.6 測(cè)試的風(fēng)險(xiǎn)規(guī)避在安全測(cè)試過程中， 雖然我們會(huì)盡量避免做影響正常業(yè)務(wù)運(yùn)行的操作， 也會(huì)實(shí)施風(fēng)險(xiǎn)規(guī)避的計(jì)策， 但 是由于測(cè)試過程變化多端，安全測(cè)試服務(wù)仍然有可能對(duì)網(wǎng)絡(luò)、系統(tǒng)運(yùn)行造成一定不同程度的影響，嚴(yán)重的 后果是可能造成服務(wù)停止，甚至是宕機(jī)。比如滲透人員實(shí)施系

5、統(tǒng)權(quán)限提升操作時(shí)，突遇系統(tǒng)停電，再次重 啟時(shí)可能會(huì)出現(xiàn)系統(tǒng)無法啟動(dòng)的故障等。因此，我們會(huì)在安全測(cè)試前與客戶詳細(xì)討論滲透方案，并采取如下多條策略來規(guī)避安全測(cè)試帶來的風(fēng) 險(xiǎn)：1.6.1 需要客戶規(guī)避的風(fēng)險(xiǎn) 備份策略為防范安全測(cè)試過程中的異常問題，測(cè)試的目標(biāo)系統(tǒng)需要事先做一個(gè)完整的數(shù)據(jù)備份，以便在問題發(fā) 生后能及時(shí)恢復(fù)工作。對(duì)銀行轉(zhuǎn)帳、電信計(jì)費(fèi)、電力調(diào)度等不可接受可能風(fēng)險(xiǎn)的系統(tǒng)的測(cè)試，可以采取對(duì)目標(biāo)副本進(jìn)行滲透 的方式加以實(shí)施。這樣就需要完整的復(fù)制目標(biāo)系統(tǒng)的環(huán)境：硬件平臺(tái)、操作系統(tǒng)、應(yīng)用服務(wù)、程序軟件、 業(yè)務(wù)訪問等；然后對(duì)該副本再進(jìn)行安全測(cè)試。 應(yīng)急策略測(cè)試過程中，如果目標(biāo)系統(tǒng)出現(xiàn)無響應(yīng)、中