DB21-T 3660-2022 信息系統(tǒng)滲透測試技術(shù)規(guī)范

21SpecificationforpenetrationtesttechnologyofinformationI 2 2 2 3 3 3 3 4 4 9 9 9 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件起草單位：北方實(shí)驗(yàn)室（沈陽）股份有限公司、遼寧省檢驗(yàn)檢測認(rèn)證張建宇、石紹群、王明俊、牛曉雷、何永建、李開、曹明、張東志、邱學(xué)思、葉歸口管理部門通訊地址：遼寧省工業(yè)和信息化廳（沈陽市皇姑區(qū)北陵大街45-2號），聯(lián)系電話：聯(lián)系電話81信息系統(tǒng)滲透測試技術(shù)規(guī)范穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性漏洞掃描vulnerabilitys2好的查詢語句的結(jié)尾上添加額外的SQL語句，在管理員不知情的情況下實(shí)現(xiàn)非法操作，以此來實(shí)現(xiàn)欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢，從而進(jìn)一步得到相應(yīng)的數(shù)據(jù)安全配置錯(cuò)誤securityconf注：包括網(wǎng)絡(luò)服務(wù)、平臺(tái)、web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫、框架、自定義的代碼、預(yù)安裝的虛擬機(jī)、容器、存4.1測試目的4.2測試原則4.2.1標(biāo)準(zhǔn)性原則應(yīng)按照GB/T31509和GB/T36627的流程進(jìn)行4.2.2全面性原則在規(guī)定的測試范圍內(nèi)，應(yīng)覆蓋指定目標(biāo)信息系統(tǒng)中的全部服務(wù)及每個(gè)服務(wù)中的全部功能。4.2.3分級原則4.2.4可控性原則4.2.5最小影響原則4.2.6保密性原則34.2.7及時(shí)性原則4.3測試形式4.3.2滲透測試實(shí)施的組織形式包括但不限于個(gè)5.1測試環(huán)境及準(zhǔn)備要求a)滲透測試應(yīng)提供與生產(chǎn)環(huán)境相似的仿真環(huán)境，以便進(jìn)行部分可能影響數(shù)據(jù)完整性及穩(wěn)定性的侵入式測試，測試方在生產(chǎn)環(huán)境中應(yīng)避免使用可能導(dǎo)致數(shù)據(jù)完整性及業(yè)務(wù)穩(wěn)定性遭受破b)委托方應(yīng)預(yù)先準(zhǔn)備功能與數(shù)據(jù)均完備的賬號以保證測試的有效性，若完成測試涉及必要的專有設(shè)備，如控件、證書等軟硬件設(shè)備，委托方應(yīng)給予必要的配合d)通過仿真環(huán)境測試時(shí)，委托方應(yīng)提f)測試環(huán)境提供方應(yīng)及時(shí)與測試方同步系統(tǒng)更新、維護(hù)及測試計(jì)劃等信息，以保證測試環(huán)境穩(wěn)g)如測試對象為應(yīng)用接口，測試環(huán)境提供方應(yīng)向測試方提供足以用來構(gòu)造并完成接口請求的說5.2測試工具及準(zhǔn)備要求b)測試方應(yīng)使用獲得網(wǎng)絡(luò)安全主管部門或行業(yè)主管部門認(rèn)可的漏洞掃描工具進(jìn)行測試，同時(shí)提c)委托方應(yīng)建立運(yùn)行類測試工具審核機(jī)制，對測試方所提供的運(yùn)行類測試工具d)對于新引入的測試工具，應(yīng)建立嚴(yán)格的審批及測試機(jī)制，確保不存在木馬后門程序或嚴(yán)重的軟件缺陷；對于已引入的滲透測試工具，應(yīng)重點(diǎn)關(guān)注測試工具本身的安全性，及時(shí)4e)對于完成當(dāng)次滲透測試后不再使用的運(yùn)行類測試工具應(yīng)在測試完成前徹底刪除，防止運(yùn)行類f)測試方應(yīng)從在信息系統(tǒng)中上傳或部署運(yùn)行類測試工具開始，到通知測試環(huán)境提供方并徹底刪針對測試過程的具體記錄方式應(yīng)以測試相關(guān)方的協(xié)商意愿g)在未經(jīng)授權(quán)的情況下，嚴(yán)禁使用公開的平臺(tái)進(jìn)行存在數(shù)據(jù)外發(fā)的漏洞利用測試，如采用公開的平臺(tái)測試遠(yuǎn)程命令執(zhí)行、XXS和SQL注入等漏洞。5.3測試對象a)主機(jī)操作系統(tǒng)：Windows、Solab)數(shù)據(jù)庫系統(tǒng)：MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、達(dá)夢等數(shù)據(jù)庫管理系統(tǒng)；c)中間件：Weblogic、Tomcat、IIS、JBoss、Apachee)網(wǎng)絡(luò)安全設(shè)備：防火墻、入侵檢測系統(tǒng)、交f)重要數(shù)據(jù)：業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)、個(gè)人隱私數(shù)據(jù)、日志數(shù)據(jù)等敏感數(shù)據(jù)。5.4測試內(nèi)容和方法滲透測試過程中使用到的基本測試內(nèi)容和方法描述見5.4.2至5.4.16，測試方應(yīng)結(jié)合測試對象類型“可”要求選擇測試內(nèi)容。5.4.2指紋識(shí)別c)應(yīng)對數(shù)據(jù)庫進(jìn)行指紋識(shí)別測試，方法包5.4.3漏洞掃描a)應(yīng)進(jìn)行網(wǎng)絡(luò)安全漏洞掃描測試，發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)，搜集目標(biāo)信息，根據(jù)搜集到的信息判5b)應(yīng)進(jìn)行主機(jī)漏洞掃描測試，從系統(tǒng)用戶的角度檢測計(jì)算機(jī)系統(tǒng)的漏洞，包括應(yīng)用軟件、運(yùn)行c)應(yīng)進(jìn)行數(shù)據(jù)庫漏洞掃描測試，通過自動(dòng)掃描和手動(dòng)輸入發(fā)現(xiàn)數(shù)據(jù)庫，經(jīng)授權(quán)掃描、非授權(quán)掃描、弱口令、滲透攻擊等檢測方式發(fā)現(xiàn)數(shù)據(jù)庫安全隱患，形成修復(fù)建議報(bào)告提供給d)可基于網(wǎng)絡(luò)安全漏洞研究和挖掘的能力構(gòu)建安全漏洞庫，并使用漏洞庫進(jìn)行定向漏洞掃描，c)應(yīng)通過測試確認(rèn)不存在能夠使用弱口令登錄a)應(yīng)對下載的文件類型、目錄做合理嚴(yán)a)應(yīng)通過測試確認(rèn)系統(tǒng)不存在可以直接部署網(wǎng)頁腳本的文件上b)應(yīng)通過測試確認(rèn)存儲(chǔ)上傳文件的Web應(yīng)用服務(wù)不存b)應(yīng)禁止使用第三方運(yùn)維的域名解析記錄平臺(tái)進(jìn)行帶外注入測試；65.4.9跨站腳本c)應(yīng)禁止使用第三方運(yùn)維的跨站腳本反向代理d)可通過測試確認(rèn)輸入過濾及輸出編5.4.10跨站請求偽造b)如使用Referer校驗(yàn)，則應(yīng)通過測試確認(rèn)不存在域內(nèi)的CSRF漏洞；e)如使用圖形驗(yàn)證碼，則應(yīng)通過測試確認(rèn)圖形驗(yàn)證碼不可f)可通過測試確認(rèn)目標(biāo)系統(tǒng)無法進(jìn)行JSON和JSONP劫持攻擊。5.4.11失效的身份認(rèn)證5.4.12失效的訪問控制5.4.13安全配置錯(cuò)誤75.4.14已知漏洞組件使用5.4.15業(yè)務(wù)邏輯缺陷b)應(yīng)針對Cookie內(nèi)的參數(shù)進(jìn)行修改，5.4.16信息泄露a)應(yīng)測試連接數(shù)據(jù)庫的賬號密碼所在的配置文件，查看配置文件中的賬號密碼是否被加題；常見異常處理包括不存在的URL、非法字符e)應(yīng)測試存儲(chǔ)在服務(wù)器上的配置文件、日志、源代碼5.5測試流程漏洞探測漏洞驗(yàn)證權(quán)限提升內(nèi)網(wǎng)漏洞探測漏洞驗(yàn)證權(quán)限提升內(nèi)網(wǎng)滲透信息整理痕跡清理報(bào)告輸出信息收集85.5.3漏洞探測5.5.3.1漏洞探測方法5.5.3.2漏洞探測內(nèi)容5.5.4漏洞驗(yàn)證行試驗(yàn)，成功后再應(yīng)用于目標(biāo)中。漏洞的驗(yàn)證方法：：a)自動(dòng)化驗(yàn)證：結(jié)合自動(dòng)化掃描工具對系統(tǒng)進(jìn)行掃描，提b)手工驗(yàn)證：根據(jù)公開資源進(jìn)行手動(dòng)驗(yàn)d)登錄猜解：嘗試猜解登錄口的賬號密碼等信f)公開資源的利用：exploit-db、滲透測試代碼/網(wǎng)站、通用或缺省口令、廠5.5.5權(quán)限提升5.5.7信息整理9b)整理收集信息：整理滲透測試過程中收集的信告編寫。滲透測試報(bào)告包括執(zhí)行層面的內(nèi)容、技術(shù)層面a)執(zhí)行層面的內(nèi)容：業(yè)務(wù)說明、測試策略方法說明、項(xiàng)目風(fēng)險(xiǎn)6.1.2用戶應(yīng)對滲透測試所有細(xì)節(jié)和風(fēng)險(xiǎn)知曉、所有過程都在委托方的控制下進(jìn)6.1.3委托方和測試方應(yīng)簽署書面的甲乙雙方滲透測試授權(quán)書，格式a)測試方應(yīng)針對滲透測試工作各個(gè)相關(guān)角色明確定義和職b)測試方應(yīng)針對滲透測試工作各個(gè)相關(guān)角色制定明確的操作規(guī)程；d)委托方應(yīng)對滲透測試方的身份、背景及專業(yè)資質(zhì)進(jìn)行審查，并f)委托方和測試方均應(yīng)設(shè)置緊急聯(lián)系人,以便滲透測試授權(quán)書2、甲方允許乙方在測試過程中對所獲取的信息進(jìn)3、甲方相關(guān)技術(shù)人員應(yīng)當(dāng)全程參與漏洞掃描工作，漏洞掃描所涉及甲方的設(shè)備上4、若甲方要求乙方提供相關(guān)測試工具，則甲方不可使用乙方所提供的工具從事危害網(wǎng)絡(luò)5、甲方在未經(jīng)乙方允許的情況下，不得泄露乙方在工作過程中所使用的工2）對被測主機(jī)上的各種系統(tǒng)服務(wù)和應(yīng)用程序造成異常運(yùn)行或終4）漏洞掃描期間，網(wǎng)絡(luò)的處理能力和傳輸速度可能7、甲方在進(jìn)行滲透測試之前針對滲透測試可能對系統(tǒng)帶來的影響和后果已做好充8、乙方在授權(quán)許可范圍內(nèi)開展?jié)B透測試活動(dòng)而對甲方產(chǎn)生任何不良后果，甲方同意承擔(dān)相