滲透測(cè)試方案

成都國(guó)信安信息產(chǎn)業(yè)基地有限公司PAGE第3頁(yè)共16頁(yè)四川品勝安全性滲透測(cè)試測(cè)試方案成都國(guó)信安信息產(chǎn)業(yè)基地有限公司二〇一五年十二月 目錄 目錄 11. 引言 21.1. 項(xiàng)目概述 22. 測(cè)試概述 22.1. 測(cè)試簡(jiǎn)介 22.2. 測(cè)試依據(jù) 22.3. 測(cè)試思路 32.3.1. 工作思路 32.3.2. 管理和技術(shù)要求 32.4. 人員及設(shè)備計(jì)劃 42.4.1. 人員分配 42.4.2. 測(cè)試設(shè)備 43. 測(cè)試范圍 54. 測(cè)試內(nèi)容 85. 測(cè)試方法 105.1. 滲透測(cè)試原理 105.2. 滲透測(cè)試的流程 105.3. 滲透測(cè)試的風(fēng)險(xiǎn)規(guī)避 115.4. 滲透測(cè)試的收益 125.5. 滲透測(cè)試工具介紹 126. 我公司滲透測(cè)試優(yōu)勢(shì) 146.1. 專業(yè)化團(tuán)隊(duì)優(yōu)勢(shì) 146.2. 深入化的測(cè)試需求分析 146.3. 規(guī)范化的滲透測(cè)試流程 146.4. 全面化的滲透測(cè)試內(nèi)容 147. 后期服務(wù) 16人員及設(shè)備計(jì)劃人員分配本次測(cè)試組織機(jī)構(gòu)和人員分配如下：項(xiàng)目管理組：楊方秀現(xiàn)場(chǎng)測(cè)試組：屈緋穎、王洪斌、項(xiàng)目文檔組：龔正質(zhì)量控制組：楊方秀、屈緋穎測(cè)試設(shè)備序號(hào)設(shè)備或儀器名稱功能描述數(shù)量產(chǎn)地備注TestManager測(cè)試管理1IBMClearQuest缺陷跟蹤1IBMxscan用于安全測(cè)試的漏洞掃描工具1測(cè)試機(jī)測(cè)試機(jī)2國(guó)產(chǎn)測(cè)試范圍檢測(cè)分類檢測(cè)范圍Web網(wǎng)站SQL注入XSS跨站腳本網(wǎng)頁(yè)掛馬緩沖區(qū)溢出文件上傳漏洞源代碼泄露目錄瀏覽、遍歷漏洞數(shù)據(jù)庫(kù)泄露弱口令越權(quán)訪問(wèn)會(huì)話驗(yàn)證繞過(guò)管理地址泄露輿論信息檢測(cè)中間件漏洞支付安全驗(yàn)證其他（如：寫入控制,防止批量添加數(shù)據(jù),是否使用驗(yàn)證碼等）SOA服務(wù)端SQL注入緩沖區(qū)溢出文件上傳漏洞目錄瀏覽、遍歷漏洞弱口令越權(quán)訪問(wèn)會(huì)話驗(yàn)證繞過(guò)中間件漏洞其他（如：寫入控制,防止批量添加數(shù)據(jù),是否使用驗(yàn)證碼等）APP源生客戶端組件安全檢測(cè)代碼安全檢測(cè)內(nèi)存安全檢測(cè)數(shù)據(jù)安全檢測(cè)業(yè)務(wù)安全檢測(cè)應(yīng)用管理檢測(cè)服務(wù)器身份鑒別自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制可信路徑安全審計(jì)剩余信息保護(hù)入侵防范惡意代碼防范資源控制數(shù)據(jù)庫(kù)數(shù)據(jù)安全測(cè)試內(nèi)容檢測(cè)項(xiàng)目檢測(cè)子類類型掃描測(cè)試滲透測(cè)試當(dāng)日達(dá)前端SSO單點(diǎn)登錄網(wǎng)站W(wǎng)EB√√后端SSO單點(diǎn)登錄網(wǎng)站W(wǎng)EB√√當(dāng)日達(dá)商城4期前臺(tái)網(wǎng)站W(wǎng)EB√√當(dāng)日達(dá)商城3期后臺(tái)WEB√√當(dāng)日達(dá)商城4期后臺(tái)WEB√√砸金蛋活動(dòng)WEB√砸金蛋后臺(tái)WEB√一元云購(gòu)WEB√月月?lián)屔衿鱓EB√滴滴貼膜WEB√快遞查詢（PC端）WEB√快遞查詢（移動(dòng)端）WEB√中國(guó)人民不斷電WEB√√千城通APPAPP√千機(jī)團(tuán)網(wǎng)站+APPWEB+APP√√進(jìn)銷存IMS進(jìn)銷存系統(tǒng)WEB√√IMS進(jìn)銷存管理工具WEB√√品勝云路由器固件升級(jí)后臺(tái)管理WEB√√品勝云3.2（手機(jī)版）APP√品勝云2.0（IPAD版）APP√品勝云3.3（手機(jī)版）APP√品勝商城1.0APP√WEB服務(wù)文件上傳服務(wù)WebService√√當(dāng)日達(dá)商城3期后臺(tái)服務(wù)WebService√√千城通APP調(diào)用服務(wù)WebService√√品勝云服務(wù)WebService√√品勝商城服務(wù)WebService√√路由器固件升級(jí)服務(wù)WebService√√服務(wù)器CentOS6.564bit(3臺(tái))Server√CentOS7.064bit(3臺(tái))Server√WindowsServer2012(2臺(tái))Server√WindowsServer2008(8臺(tái))Server√測(cè)試方法針對(duì)本次項(xiàng)目的測(cè)試范圍和內(nèi)容，我公司采取滲透測(cè)試的方法對(duì)整體系統(tǒng)進(jìn)行安全性評(píng)估。滲透測(cè)試原理滲透測(cè)試過(guò)程主要依據(jù)現(xiàn)今已經(jīng)掌握的安全漏洞信息，模擬黑客的真實(shí)攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試，這里說(shuō)有的滲透測(cè)試行為將在客戶的書(shū)面明確授權(quán)和監(jiān)督下進(jìn)行。滲透測(cè)試的流程方案制定：在獲取到業(yè)主單位的書(shū)面授權(quán)許可后，才進(jìn)行滲透測(cè)試的實(shí)施。并且將實(shí)施范圍、方法、時(shí)間、人員等具體的方案與業(yè)主單位進(jìn)行交流，并得到業(yè)主單位的認(rèn)同。在測(cè)試實(shí)施之前，會(huì)做到讓業(yè)主單位對(duì)滲透測(cè)試過(guò)程和風(fēng)險(xiǎn)的知曉，使隨后的正式測(cè)試流程都在業(yè)主單位的控制下。信息收集：這包括：操作系統(tǒng)類型指紋收集；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析；端口掃描和目標(biāo)系統(tǒng)提供的服務(wù)識(shí)別等?？梢圆捎靡恍┥虡I(yè)安全評(píng)估系統(tǒng)（如：ISS、極光等）；免費(fèi)的檢測(cè)工具（NESSUS、Nmap等）進(jìn)行收集測(cè)試實(shí)施：在規(guī)避防火墻、入侵檢測(cè)、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進(jìn)行：操作系統(tǒng)可檢測(cè)到的漏洞測(cè)試、應(yīng)用系統(tǒng)檢測(cè)到的漏洞測(cè)試（如：Web應(yīng)用），此階段如果成功的話，可能獲得普通權(quán)限。滲透測(cè)試人員可能用到的測(cè)試手段有：掃描分析、溢出測(cè)試、口令爆破、社會(huì)工程學(xué)、客戶端攻擊、中間人攻擊等，用于測(cè)試人員順利完成工程。在獲取到普通權(quán)限后，嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對(duì)系統(tǒng)的完全控制權(quán)。一旦成功控制一臺(tái)或多臺(tái)服務(wù)器后，測(cè)試人員將利用這些被控制的服務(wù)器作為跳板，繞過(guò)防火墻或其他安全設(shè)備的防護(hù)，從而對(duì)內(nèi)網(wǎng)其他服務(wù)器和客戶端進(jìn)行進(jìn)一步的滲透。此過(guò)程將循環(huán)進(jìn)行，直到測(cè)試完成。最后由滲透測(cè)試人員清除中間數(shù)據(jù)。報(bào)告輸出：滲透測(cè)試人員根據(jù)測(cè)試的過(guò)程結(jié)果編寫直觀的滲透測(cè)試服務(wù)報(bào)告。內(nèi)容包括：具體的操作步驟描述；響應(yīng)分析以及最后的安全修復(fù)建議安全復(fù)查：滲透測(cè)試完成后，某某協(xié)助業(yè)主單位對(duì)已發(fā)現(xiàn)的安全隱患進(jìn)行修復(fù)。修復(fù)完成后，滲透測(cè)試工程師對(duì)修復(fù)的成果再次進(jìn)行遠(yuǎn)程測(cè)試復(fù)查，對(duì)修復(fù)的結(jié)果進(jìn)行檢驗(yàn)，確保修復(fù)結(jié)果的有效性。滲透測(cè)試的風(fēng)險(xiǎn)規(guī)避在滲透測(cè)試過(guò)程中，雖然我們會(huì)盡量避免做影響正常業(yè)務(wù)運(yùn)行的操作，也會(huì)實(shí)施風(fēng)險(xiǎn)規(guī)避的計(jì)策，但是由于測(cè)試過(guò)程變化多端，滲透測(cè)試服務(wù)仍然有可能對(duì)網(wǎng)絡(luò)、系統(tǒng)運(yùn)行造成一定不同程度的影響，嚴(yán)重的后果是可能造成服務(wù)停止，甚至是宕機(jī)。比如滲透人員實(shí)施系統(tǒng)權(quán)限提升操作時(shí)，突遇系統(tǒng)停電，再次重啟時(shí)可能會(huì)出現(xiàn)系統(tǒng)無(wú)法啟動(dòng)的故障等。因此，我們會(huì)在滲透測(cè)試前與業(yè)主單位詳細(xì)討論滲透方案，并采取如下多條策略來(lái)規(guī)避滲透測(cè)試帶來(lái)的風(fēng)險(xiǎn)。時(shí)間策略：為減輕滲透測(cè)試造成的壓力和預(yù)備風(fēng)險(xiǎn)排除時(shí)間，一般的安排測(cè)試時(shí)間在業(yè)務(wù)量不高的時(shí)間段。測(cè)試策略：

為了防范測(cè)試導(dǎo)致業(yè)務(wù)的中斷，可以不做一些拒絕服務(wù)類的測(cè)試。非常重要的系統(tǒng)不建議做深入的測(cè)試，避免意外崩潰而造成不可挽回的損失；具體測(cè)試過(guò)程中，最終結(jié)果可以由測(cè)試人員做推測(cè)，而不實(shí)施危險(xiǎn)的操作步驟加以驗(yàn)證等。備份策略：為防范滲透過(guò)程中的異常問(wèn)題，測(cè)試的目標(biāo)系統(tǒng)需要事先做一個(gè)完整的數(shù)據(jù)備份，以便在問(wèn)題發(fā)生后能及時(shí)恢復(fù)工作。對(duì)于核心業(yè)務(wù)系統(tǒng)等不可接受可能風(fēng)險(xiǎn)的系統(tǒng)的測(cè)試，可以采取對(duì)目標(biāo)副本進(jìn)行滲透的方式加以實(shí)施。這樣就需要完整的復(fù)制目標(biāo)系統(tǒng)的環(huán)境：硬件平臺(tái)、操作系統(tǒng)、應(yīng)用服務(wù)、程序軟件、業(yè)務(wù)訪問(wèn)等；然后對(duì)該副本再進(jìn)行滲透測(cè)試。應(yīng)急策略：測(cè)試過(guò)程中，如果目標(biāo)系統(tǒng)出現(xiàn)無(wú)響應(yīng)、中斷或者崩潰等情況，我們會(huì)立即中止?jié)B透測(cè)試，并配合業(yè)主單位技術(shù)人員進(jìn)行修復(fù)處理等。在確認(rèn)問(wèn)題、修復(fù)系統(tǒng)、防范此故障再重演后，經(jīng)業(yè)主單位方同意才能繼續(xù)進(jìn)行其余的測(cè)試。溝通策略：測(cè)試過(guò)程中，確定測(cè)試人員和業(yè)主單位方配合人員的聯(lián)系方式，便于及時(shí)溝通并解決工程中的難點(diǎn)。滲透測(cè)試的收益滲透測(cè)試是站在實(shí)戰(zhàn)角度對(duì)業(yè)主單位指定的目標(biāo)系統(tǒng)進(jìn)行的安全評(píng)估，可以讓業(yè)主單位相關(guān)人員直觀的了解到自己網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用中隱含的漏洞和危害發(fā)生時(shí)可能導(dǎo)致的損失。通過(guò)我們的滲透測(cè)試，可以獲得如下增益。安全缺陷：從黑客的角度發(fā)現(xiàn)業(yè)主單位安全體系中的漏洞（隱含缺陷），協(xié)助業(yè)主單位明確目前降低風(fēng)險(xiǎn)的措施，為下一步的安全策略調(diào)整指明了方向。測(cè)試報(bào)告：能幫助業(yè)主單位以實(shí)際案例的形式來(lái)說(shuō)明目前安全現(xiàn)狀，從而增加業(yè)主單位對(duì)信息安全的認(rèn)知度，提升業(yè)主單位人員的風(fēng)險(xiǎn)危機(jī)意識(shí)，從而實(shí)現(xiàn)內(nèi)部安全等級(jí)的整體提升。交互式滲透測(cè)試：我們的滲透測(cè)試人員在業(yè)主單位約定的范圍、時(shí)間內(nèi)實(shí)施測(cè)試，而業(yè)主單位人員可以與此同時(shí)進(jìn)行相關(guān)的檢測(cè)監(jiān)控工作，測(cè)試自己能不能發(fā)現(xiàn)正在進(jìn)行的滲透測(cè)試過(guò)程，從中真實(shí)的評(píng)估自己的檢測(cè)預(yù)警能力。滲透測(cè)試工具介紹滲透測(cè)試人員模擬黑客入侵攻擊的過(guò)程中使用的是操作系統(tǒng)自帶網(wǎng)絡(luò)應(yīng)用、管理和診斷工具、黑客可以在網(wǎng)絡(luò)上免費(fèi)下載的掃描器、遠(yuǎn)程入侵代碼和本地提升權(quán)限代碼以及某某自主開(kāi)發(fā)的安全掃描工具。這些工具經(jīng)過(guò)全球數(shù)以萬(wàn)計(jì)的程序員、網(wǎng)絡(luò)管理員、安全專家以及黑客的測(cè)試和實(shí)際應(yīng)用，在技術(shù)上已經(jīng)非常成熟，實(shí)現(xiàn)了網(wǎng)絡(luò)檢查和安全測(cè)試的高度可控性，能夠根據(jù)使用者的實(shí)際要求進(jìn)行有針對(duì)性的測(cè)試。但是安全工具本身也是一把雙刃劍，為了做到萬(wàn)無(wú)一失，我們也將針對(duì)系統(tǒng)可能出現(xiàn)的不穩(wěn)定現(xiàn)象提出相應(yīng)對(duì)策，以確保服務(wù)器和網(wǎng)絡(luò)設(shè)備在進(jìn)行滲透測(cè)試的過(guò)程中保持在可信狀態(tài)。我公司滲透測(cè)試優(yōu)勢(shì)專業(yè)化團(tuán)隊(duì)優(yōu)勢(shì)我公司有滲透測(cè)試優(yōu)勢(shì)專業(yè)化的滲透測(cè)試團(tuán)隊(duì)。滲透測(cè)試服務(wù)開(kāi)展相對(duì)較早，經(jīng)驗(yàn)非常豐富，曾經(jīng)參與過(guò)很多大型網(wǎng)站的滲透測(cè)試工作。滲透測(cè)試團(tuán)隊(duì)會(huì)根據(jù)項(xiàng)目的規(guī)模有選擇性的申請(qǐng)部分漏洞研發(fā)團(tuán)隊(duì)專家參與到項(xiàng)目中，共同組成臨時(shí)的滲透測(cè)試小組，面向用戶提供深層次、多角度、全方位的滲透測(cè)試深入化的測(cè)試需求分析在滲透測(cè)試開(kāi)展前期，會(huì)從技術(shù)層面（網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層）著手與用戶進(jìn)行廣泛溝通，對(duì)用戶當(dāng)前的一些重要資料進(jìn)行采集、匯總、梳理、掌握，以便為滲透測(cè)試工作地開(kāi)展奠定良好的基礎(chǔ)。除了技術(shù)層面以外，某某也將會(huì)根據(jù)用戶滲透測(cè)試的目標(biāo)以及提出的需求著重對(duì)于用戶的業(yè)務(wù)層面進(jìn)行分析，并且將分析結(jié)果應(yīng)用于滲透測(cè)試當(dāng)中，做到明確所有需求的基礎(chǔ)上準(zhǔn)確而深入的貫徹用戶的意圖，將滲透測(cè)試的目標(biāo)與業(yè)務(wù)系統(tǒng)連續(xù)性運(yùn)行保障緊密的結(jié)合起來(lái)。規(guī)范化的滲透測(cè)試流程滲透測(cè)試流程分為準(zhǔn)備、滲透以及加固三個(gè)基本階段，在每個(gè)階段都會(huì)生成階段文檔，最終在完成滲透測(cè)試整個(gè)流程以后將會(huì)由項(xiàng)目經(jīng)理將三個(gè)階段的文檔進(jìn)行整理、匯總、提交給用戶。并且針對(duì)過(guò)程中遇到的問(wèn)題向用戶進(jìn)行匯報(bào)。某某提供的滲透測(cè)試流程特點(diǎn)就在于將滲透準(zhǔn)備階段及安全加固階段作為兩個(gè)獨(dú)立而重