滲透測(cè)試方案

四川品勝安全性滲透測(cè)試

測(cè)

試

方

案成都國(guó)信安信息產(chǎn)業(yè)基地有限公司二0一五年十二月精選精選TOC\o"1-5"\h\z目 錄 1\o"CurrentDocument"引言 2\o"CurrentDocument"項(xiàng)目概述 2\o"CurrentDocument"測(cè)試概述 2\o"CurrentDocument"測(cè)試簡(jiǎn)介 2\o"CurrentDocument"測(cè)試依據(jù) 2測(cè)試思路 3工作思路 3\o"CurrentDocument"管理和技術(shù)要求 3\o"CurrentDocument"人員及設(shè)備計(jì)劃 4\o"CurrentDocument"人員分配 4\o"CurrentDocument"測(cè)試設(shè)備 4測(cè)試范圍 5測(cè)試內(nèi)容 8\o"CurrentDocument"測(cè)試方法 10\o"CurrentDocument"滲透測(cè)試原理 10\o"CurrentDocument"滲透測(cè)試的流程 10\o"CurrentDocument"滲透測(cè)試的風(fēng)險(xiǎn)規(guī)避 11\o"CurrentDocument"滲透測(cè)試的收益 12\o"CurrentDocument"滲透測(cè)試工具介紹 12\o"CurrentDocument"我公司滲透測(cè)試優(yōu)勢(shì) 14\o"CurrentDocument"專(zhuān)業(yè)化團(tuán)隊(duì)優(yōu)勢(shì) 14\o"CurrentDocument"深入化的測(cè)試需求分析 14\o"CurrentDocument"規(guī)范化的滲透測(cè)試流程 14\o"CurrentDocument"全面化的滲透測(cè)試內(nèi)容 14\o"CurrentDocument"后期服務(wù) 16引言項(xiàng)目概述四川品勝品牌管理有限公司，是廣東品勝電子股份有限公司的全資子公司。依托遍布全國(guó)的5000家加盟專(zhuān)賣(mài)店，四川品牌管理有限公司打造了線上線下結(jié)合的O2O購(gòu)物平臺(tái)一一“品勝?當(dāng)日達(dá)”，建立了“線上線下同價(jià)”、“千城當(dāng)日達(dá)”、“向日葵隨身服務(wù)”三大服務(wù)體系，為消費(fèi)者帶來(lái)便捷的O2O購(gòu)物體驗(yàn)。2011年，品勝在成都溫江科技工業(yè)園建立起國(guó)內(nèi)首座終端客戶體驗(yàn)館，以人性化的互動(dòng)設(shè)計(jì)讓消費(fèi)者親身感受移動(dòng)電源、數(shù)碼配件與生活的智能互聯(lián)，為追求高品質(zhì)產(chǎn)品性能的用戶帶來(lái)便捷、現(xiàn)代化的操作體驗(yàn)。伴隨業(yè)務(wù)的發(fā)展，原有的網(wǎng)站、系統(tǒng)、APP等都進(jìn)行了不同程度的功能更新和系統(tǒng)投產(chǎn)，同時(shí)，系統(tǒng)安全要求越來(lái)越高，可能受到的惡意攻擊包括：信息篡改與重放、信息銷(xiāo)毀、信息欺詐與抵賴、非授權(quán)訪問(wèn)、網(wǎng)絡(luò)間諜、“黑客”入侵、病毒傳播、特洛伊木馬、蠕蟲(chóng)程序、邏輯炸彈、APT攻擊等。這些攻擊完全能造成信息系統(tǒng)癱瘓、重要信息流失。測(cè)試概述測(cè)試簡(jiǎn)介本次測(cè)試內(nèi)容為滲透測(cè)試。滲透測(cè)試：是為了證明網(wǎng)絡(luò)防御按照預(yù)期計(jì)劃正常運(yùn)行而提供的一種機(jī)制。測(cè)試依據(jù)派GB/T25000.51-2010《軟件工程軟件產(chǎn)品質(zhì)量要與評(píng)價(jià)(SQuaRE)商業(yè)現(xiàn)貨(COTS)軟件產(chǎn)品的質(zhì)量要求和測(cè)試細(xì)則》※GB/T16260-2006《軟件工程產(chǎn)品質(zhì)量》※GB/T18336-2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》※GB/T20274-2006《信息系統(tǒng)安全保障評(píng)估框架》※客戶提出的測(cè)試需求測(cè)試思路工作思路本次系統(tǒng)測(cè)試包括功能測(cè)試、性能測(cè)試、安全測(cè)試以及文檔測(cè)試，本次測(cè)試工作將系統(tǒng)測(cè)試對(duì)象進(jìn)行控制點(diǎn)劃分，依據(jù)項(xiàng)目建設(shè)要求和相關(guān)標(biāo)準(zhǔn)、規(guī)范進(jìn)行項(xiàng)目系統(tǒng)測(cè)試，并加強(qiáng)系統(tǒng)各階段測(cè)試和實(shí)施過(guò)程控制，完善項(xiàng)目目標(biāo)控制手段。管理和技術(shù)要求管理要求為了保證本項(xiàng)目系統(tǒng)綜合測(cè)試的順利進(jìn)行，將對(duì)項(xiàng)目實(shí)施事前評(píng)審和測(cè)試過(guò)程監(jiān)督測(cè)試管理工作，合理分配項(xiàng)目人員負(fù)責(zé)相應(yīng)的測(cè)試工作。技術(shù)要求為了保證本項(xiàng)目系統(tǒng)測(cè)試的順利進(jìn)行，在本次測(cè)試過(guò)程中將采取如下技術(shù)要求：※滲透測(cè)試：驗(yàn)證系統(tǒng)設(shè)計(jì)的安全性是否滿足客戶需求。人員及設(shè)備計(jì)劃人員分配本次測(cè)試組織機(jī)構(gòu)和人員分配如下：項(xiàng)目管理組：楊方秀現(xiàn)場(chǎng)測(cè)試組：屈緋穎、王洪斌、項(xiàng)目文檔組：龔正質(zhì)量控制組：楊方秀、屈緋穎測(cè)試設(shè)備序號(hào)設(shè)備或儀器名稱(chēng)功能描述數(shù)量產(chǎn)地備注1.TestManager測(cè)試管理1IBM2.ClearQuest缺陷跟蹤1IBM3.xscan用于安全測(cè)試的漏洞掃描工具14.測(cè)試機(jī)測(cè)試機(jī)2國(guó)產(chǎn)3.3.測(cè)試范圍精選精選檢測(cè)分類(lèi)檢測(cè)范圍Web網(wǎng)站SQL注入XSS跨站腳本網(wǎng)頁(yè)掛馬緩沖區(qū)溢出文件上傳漏洞源代碼泄露目錄瀏覽、遍歷漏洞數(shù)據(jù)庫(kù)泄露弱口令越權(quán)訪問(wèn)會(huì)話驗(yàn)證繞過(guò)管理地址泄露輿論信息檢測(cè)中間件漏洞支付安全驗(yàn)證其他（如：寫(xiě)入控制,防止批量添加數(shù)據(jù),是否使用驗(yàn)證碼等）SOA服務(wù)端SQL注入精選精選緩沖區(qū)溢出文件上傳漏洞目錄瀏覽、遍歷漏洞弱口令越權(quán)訪問(wèn)會(huì)話驗(yàn)證繞過(guò)中間件漏洞其他（如：寫(xiě)入控制,防止批量添加數(shù)據(jù),是否使用驗(yàn)證碼等）APP源生客戶端組件安全檢測(cè)代碼安全檢測(cè)內(nèi)存安全檢測(cè)數(shù)據(jù)安全檢測(cè)業(yè)務(wù)安全檢測(cè)應(yīng)用管理檢測(cè)服務(wù)器身份鑒別自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制可信路徑安全審計(jì)剩余信息保護(hù)入侵防范

惡意代碼防范資源控制數(shù)據(jù)庫(kù)數(shù)據(jù)安全精選精選4.4.測(cè)試內(nèi)容精選精選檢測(cè)項(xiàng)目檢測(cè)子類(lèi)類(lèi)型掃描測(cè)試滲透測(cè)試當(dāng)日達(dá)前端SSO單點(diǎn)登錄網(wǎng)站W(wǎng)EBVV后端SSO單點(diǎn)登錄網(wǎng)站W(wǎng)EBVV當(dāng)日達(dá)商城4期前臺(tái)網(wǎng)站W(wǎng)EBVV當(dāng)日達(dá)商城3期后臺(tái)WEBVV當(dāng)日達(dá)商城4期后臺(tái)WEBVV砸金蛋活動(dòng)WEBV砸金蛋后臺(tái)WEBV一元云購(gòu)WEBV月月?lián)屔衿鱓EBV滴滴貼膜WEBV快遞查詢（PC端）WEBV快遞查詢（移動(dòng)端）WEBV中國(guó)人民不斷電WEBVV干城通APPAPPV千機(jī)團(tuán)網(wǎng)站+APPWEB+APPVV進(jìn)銷(xiāo)存IMS進(jìn)銷(xiāo)存系統(tǒng)WEBVVIMS進(jìn)銷(xiāo)存管理工具WEBVV品勝云路由器固件升級(jí)后臺(tái)管理WEBVV

品勝云3.2（手機(jī)版）APPV品勝云2.0（IPAD版）APPV品勝云3.3（手機(jī)版）APPV品勝商城1.0APPVWEB服務(wù)文件上傳服務(wù)WebServiceVV當(dāng)日達(dá)商城3期后臺(tái)服務(wù)WebServiceVV干城通APP調(diào)用服務(wù)WebServiceVV品勝云服務(wù)WebServiceVV品勝商城服務(wù)WebServiceVV路由器固件升級(jí)服務(wù)WebServiceVV服務(wù)器CentOS6.564bit（3臺(tái)）ServerVCentOS7.064bit（3臺(tái)）ServerVWindowsServer2012（2臺(tái)）ServerVWindowsServer2008（8臺(tái)）ServerV測(cè)試方法針對(duì)本次項(xiàng)目的測(cè)試范圍和內(nèi)容，我公司采取滲透測(cè)試的方法對(duì)整體系統(tǒng)進(jìn)行安全性評(píng)估。滲透測(cè)試原理滲透測(cè)試過(guò)程主要依據(jù)現(xiàn)今已經(jīng)掌握的安全漏洞信息，模擬黑客的真實(shí)攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試，這里說(shuō)有的滲透測(cè)試行為將在客戶的書(shū)面明確授權(quán)和監(jiān)督下進(jìn)行。滲透測(cè)試的流程A方案制定：在獲取到業(yè)主單位的書(shū)面授權(quán)許可后，才進(jìn)行滲透測(cè)試的實(shí)施。并且將實(shí)施范圍、方法、時(shí)間、人員等具體的方案與業(yè)主單位進(jìn)行交流，并得到業(yè)主單位的認(rèn)同。在測(cè)試實(shí)施之前，會(huì)做到讓業(yè)主單位對(duì)滲透測(cè)試過(guò)程和風(fēng)險(xiǎn)的知曉，使隨后的正式測(cè)試流程都在業(yè)主單位的控制下。＞信息收集：這包括：操作系統(tǒng)類(lèi)型指紋收集；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析；端口掃描和目標(biāo)系統(tǒng)提供的服務(wù)識(shí)別等?？梢圆捎靡恍┥虡I(yè)安全評(píng)估系統(tǒng)（如：ISS、極光等）；免費(fèi)的檢測(cè)工具（NESSUS、Nmap等）進(jìn)行收集＞測(cè)試實(shí)施：在規(guī)避防火墻、入侵檢測(cè)、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進(jìn)行：操作系統(tǒng)可檢測(cè)到的漏洞測(cè)試、應(yīng)用系統(tǒng)檢測(cè)到的漏洞測(cè)試（如：Web應(yīng)用），此階段如果成功的話，可能獲得普通權(quán)限。滲透測(cè)試人員可能用到的測(cè)試手段有：掃描分析、溢出測(cè)試、口令爆破、社會(huì)工程學(xué)、客戶端攻擊、中間人攻擊等，用于測(cè)試人員順利完成工程。在獲取到普通權(quán)限后，嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對(duì)系統(tǒng)的完全控制權(quán)。一旦成功控制一臺(tái)或多臺(tái)服務(wù)器后，測(cè)試人員將利用這些被控制的服務(wù)器作為跳板，繞過(guò)防火墻或其他安全設(shè)備的防護(hù)，從而對(duì)內(nèi)網(wǎng)其他服務(wù)器和客戶端進(jìn)行進(jìn)一步的滲透。此過(guò)程將循環(huán)進(jìn)行，直到測(cè)試完成。最后由滲透測(cè)試人員清除中間數(shù)據(jù)。＞報(bào)告輸出：滲透測(cè)試人員根據(jù)測(cè)試的過(guò)程結(jié)果編寫(xiě)直觀的滲透測(cè)試服務(wù)報(bào)告。內(nèi)容包括：具體的操作步驟描述；響應(yīng)分析以及最后的安全修復(fù)建議＞安全復(fù)查：滲透測(cè)試完成后，某某協(xié)助業(yè)主單位對(duì)已發(fā)現(xiàn)的安全隱患進(jìn)行修復(fù)。修復(fù)完成后，滲透測(cè)試工程師對(duì)修復(fù)的成果再次進(jìn)行遠(yuǎn)程測(cè)試復(fù)查，對(duì)修復(fù)的結(jié)果進(jìn)行檢驗(yàn)，確保修復(fù)結(jié)果的有效性。滲透測(cè)試的風(fēng)險(xiǎn)規(guī)避在滲透測(cè)試過(guò)程中，雖然我們會(huì)盡量避免做影響正常業(yè)務(wù)運(yùn)行的操作，也會(huì)實(shí)施風(fēng)險(xiǎn)規(guī)避的計(jì)策，但是由于測(cè)試過(guò)程變化多端，滲透測(cè)試服務(wù)仍然有可能對(duì)網(wǎng)絡(luò)、系統(tǒng)運(yùn)行造成一定不同程度的影響，嚴(yán)重的后果是可能造成服務(wù)停止，甚至是宕機(jī)。比如滲透人員實(shí)施系統(tǒng)權(quán)限提升操作時(shí)，突遇系統(tǒng)停電，再次重啟時(shí)可能會(huì)出現(xiàn)系統(tǒng)無(wú)法啟動(dòng)的故障等。因此，我們會(huì)在滲透測(cè)試前與業(yè)主單位詳細(xì)討論滲透方案，并采取如下多條策略來(lái)規(guī)避滲透測(cè)試帶來(lái)的風(fēng)險(xiǎn)。＞時(shí)間策略：為減輕滲透測(cè)試造成的壓力和預(yù)備風(fēng)險(xiǎn)排除時(shí)間，一般的安排測(cè)試時(shí)間在業(yè)務(wù)量不高的時(shí)間段。＞測(cè)試策略：為了防范測(cè)試導(dǎo)致業(yè)務(wù)的中斷，可以不做一些拒絕服務(wù)類(lèi)的測(cè)試。非常重要的系統(tǒng)不建議做深入的測(cè)試，避免意外崩潰而造成不可挽回的損失；具體測(cè)試過(guò)程中，最終結(jié)果可以由測(cè)試人員做推測(cè)，而不實(shí)施危險(xiǎn)的操作步驟加以驗(yàn)證等。＞備份策略：為防范滲透過(guò)程中的異常問(wèn)題，測(cè)試的目標(biāo)系統(tǒng)需要事先做一個(gè)完整的數(shù)據(jù)備份，以便在問(wèn)題發(fā)生后能及時(shí)恢復(fù)工作。對(duì)于核心業(yè)務(wù)系統(tǒng)等不可接受可能風(fēng)險(xiǎn)的系統(tǒng)的測(cè)試，可以采取對(duì)目標(biāo)副本進(jìn)行滲透的方式加以實(shí)施。這樣就需要完整的復(fù)制目標(biāo)系統(tǒng)的環(huán)境：硬件平臺(tái)、操作系統(tǒng)、應(yīng)用服務(wù)、程序軟件、業(yè)務(wù)訪問(wèn)等；然后對(duì)該副本再進(jìn)行滲透測(cè)試。＞應(yīng)急策略：測(cè)試過(guò)程中，如果目標(biāo)系統(tǒng)出現(xiàn)無(wú)響應(yīng)、中斷或者崩潰等情況，我們會(huì)立即中止?jié)B透測(cè)試，并配合業(yè)主單位技術(shù)人員進(jìn)行修復(fù)處理等。在確認(rèn)問(wèn)題、修復(fù)系統(tǒng)、防范此故障再重演后，經(jīng)業(yè)主單位方同意才能繼續(xù)進(jìn)行其余的測(cè)試。＞溝通策略：測(cè)試過(guò)程中，確定測(cè)試人員和業(yè)主單位方配合人員的聯(lián)系方式，便于及時(shí)溝通并解決工程中的難點(diǎn)。滲透測(cè)試的收益滲透測(cè)試是站在實(shí)戰(zhàn)角度對(duì)業(yè)主單位指定的目標(biāo)系統(tǒng)進(jìn)行的安全評(píng)估，可以讓業(yè)主單位相關(guān)人員直觀的了解到自己網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用中隱含的漏洞和危害發(fā)生時(shí)可能導(dǎo)致的損失。通過(guò)我們的滲透測(cè)試，可以獲得如下增益。A安全缺陷：從黑客的角度發(fā)現(xiàn)業(yè)主單位安全體系中的漏洞（隱含缺陷），協(xié)助業(yè)主單位明確目前降低風(fēng)險(xiǎn)的措施，為下一步的安全策略調(diào)整指明了方向。＞測(cè)試報(bào)告：能幫助業(yè)主單位以實(shí)際案例的形式來(lái)說(shuō)明目前安全現(xiàn)狀，從而增加業(yè)主單位對(duì)信息安全的認(rèn)知度，提升業(yè)主單位人員的風(fēng)險(xiǎn)危機(jī)意識(shí)，從而實(shí)現(xiàn)內(nèi)部安全等級(jí)的整體提升。＞交互式滲透測(cè)試：我們的滲透測(cè)試人員在業(yè)主單位約定的范圍、時(shí)間內(nèi)實(shí)施測(cè)試，而業(yè)主單位人員可以與此同時(shí)進(jìn)行相關(guān)的檢測(cè)監(jiān)控工作，測(cè)試自己能不能發(fā)現(xiàn)正在進(jìn)行的滲透測(cè)試過(guò)程，從中真實(shí)的評(píng)估自己的檢測(cè)預(yù)警能力。滲透測(cè)試工具介紹滲透測(cè)試人員模擬黑客入侵攻擊的過(guò)程中使用的是操作系統(tǒng)自帶網(wǎng)絡(luò)應(yīng)用、管理和診斷工具、黑客可以在網(wǎng)絡(luò)上免費(fèi)下載的掃描器、遠(yuǎn)程入侵代碼和本地提升權(quán)限代碼以及某某自主開(kāi)發(fā)的安全掃描工具。這些工具經(jīng)過(guò)全球數(shù)以萬(wàn)計(jì)的程序員、網(wǎng)絡(luò)管理員、安全專(zhuān)家以及黑客的測(cè)試和實(shí)際應(yīng)用，在技術(shù)上已經(jīng)非常成熟，實(shí)現(xiàn)了網(wǎng)絡(luò)檢查和安全測(cè)試的高度可控性，能夠根據(jù)使用者的實(shí)際要求進(jìn)行有針對(duì)性的測(cè)試。但是安全工具本身也是一把雙刃劍，為了做到萬(wàn)無(wú)一失，我們也將針對(duì)系統(tǒng)可能出現(xiàn)的不穩(wěn)定現(xiàn)象提出相應(yīng)對(duì)策，以確保服務(wù)器和網(wǎng)絡(luò)設(shè)備在進(jìn)行滲透測(cè)試的過(guò)程中保持在可信狀態(tài)。我公司滲透測(cè)試優(yōu)勢(shì)專(zhuān)業(yè)化團(tuán)隊(duì)優(yōu)勢(shì)我公司有滲透測(cè)試優(yōu)勢(shì)專(zhuān)業(yè)化的滲透測(cè)試團(tuán)隊(duì)。滲透測(cè)試服務(wù)開(kāi)展相對(duì)較早，經(jīng)驗(yàn)非常豐富，曾經(jīng)參與過(guò)很多大型網(wǎng)站的滲透測(cè)試工作。滲透測(cè)試團(tuán)隊(duì)會(huì)根據(jù)項(xiàng)目的規(guī)模有選擇性的申請(qǐng)部分漏洞研發(fā)團(tuán)隊(duì)專(zhuān)家參與到項(xiàng)目中，共同組成臨時(shí)的滲透測(cè)試小組，面向用戶提供深層次、多角度、全方位的滲透測(cè)試深入化的測(cè)試需求分析在滲透測(cè)試開(kāi)展前期，會(huì)從技術(shù)層面（網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層）著手與用戶進(jìn)行廣泛溝通，對(duì)用戶當(dāng)前的一些重要資料進(jìn)行采集、匯總、梳理、掌握，以便為滲透測(cè)試工作地開(kāi)展奠定良好的基礎(chǔ)。除了技術(shù)層面以外，某某也將會(huì)根據(jù)用戶滲透測(cè)試的目標(biāo)以及提出的需求著重對(duì)于用戶的業(yè)務(wù)層面進(jìn)行分析，并且將分析結(jié)果應(yīng)用于滲透測(cè)試當(dāng)中，做到明確所有需求的基礎(chǔ)上準(zhǔn)確而深入的貫徹用戶的意圖，將滲透測(cè)試的目標(biāo)與業(yè)務(wù)系統(tǒng)連續(xù)性運(yùn)行保障緊密的結(jié)合起來(lái)。規(guī)范化的滲透測(cè)試流程滲透測(cè)試流程分為準(zhǔn)備、滲透以及加固三個(gè)基本階段，在每個(gè)階段都會(huì)生成階段文檔，最終在完成滲透測(cè)試整個(gè)流程以后將會(huì)由項(xiàng)目經(jīng)理將三個(gè)階段的文檔進(jìn)行整理、匯總、提交給用