應(yīng)用安全測試方案

1、1 Web安全測試技術(shù)方案1.1 測試的目標l 更好的發(fā)現(xiàn)當前系統(tǒng)存在的可能的安全隱患，避免發(fā)生危害性的安全事件l 更好的為今后系統(tǒng)建設(shè)提供指導和有價值的意見及建議1.2 測試的范圍本期測試服務(wù)范圍包含如下各個系統(tǒng)：l Web系統(tǒng)： 1.3 測試的內(nèi)容1.3.1 WEB應(yīng)用針對網(wǎng)站及WEB系統(tǒng)的安全測試，我們將進行以下方面的測試：þ Web 服務(wù)器安全漏洞þ Web 服務(wù)器錯誤配置þ SQL 注入þ XSS（跨站腳本）þ CRLF 注入þ 目錄遍歷þ 文件包含þ 輸入驗證þ 認證þ 邏輯錯誤&#

2、254; Google Hackingþ 密碼保護區(qū)域猜測þ 字典攻擊þ 特定的錯誤頁面檢測þ 脆弱權(quán)限的目錄þ 危險的 HTTP 方法（如：PUT、DELETE）1.4 測試的流程方案制定部分：獲取到客戶的書面授權(quán)許可后，才進行安全測試的實施。并且將實施范圍、方法、時間、人員等具體的方案與客戶進行交流，并得到客戶的認同。在測試實施之前，讓客戶對安全測試過程和風險知曉，使隨后的正式測試流程都在客戶的控制下。信息收集部分：這包括：操作系統(tǒng)類型指紋收集；網(wǎng)絡(luò)拓撲結(jié)構(gòu)分析；端口掃描和目標系統(tǒng)提供的服務(wù)識別等。采用商業(yè)和開源的檢測工具（AWVS、bur

3、psuite、Nmap等）進行收集。測試實施部分：在規(guī)避防火墻、入侵檢測、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進行：操作系統(tǒng)可檢測到的漏洞測試、應(yīng)用系統(tǒng)檢測到的漏洞測試（如：Web應(yīng)用），此階段如果成功的話，可能獲得普通權(quán)限。安全測試人員可能用到的測試手段有：掃描分析、溢出測試、口令爆破、社會工程學、客戶端攻擊、中間人攻擊等，用于測試人員順利完成工程。在獲取到普通權(quán)限后，嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對系統(tǒng)的完全控制權(quán)。此過程將循環(huán)進行，直到測試完成。最后由安全測試人員清除中間數(shù)據(jù)。分析報告輸出：安全測試人員根據(jù)測試的過程結(jié)果編寫直觀的安全測試服務(wù)報告。內(nèi)容包括：具體的操作步驟描述；響應(yīng)分析以

4、及最后的安全修復(fù)建議。下圖是更為詳細的步驟拆分示意圖：1.5 測試的手段根據(jù)安全測試的實際需求，采取自動化測試與人工檢測與審核相結(jié)合的方式，大大的減少了自動化測試過程中的誤報問題。1.5.1 常用工具列表l 自動化掃描工具：AWVS、OWASP ZAP、Burpsuite等l 端口掃描、服務(wù)檢測：Nmap、THC-Amap等l 密碼、口令破解：Johntheripper、HASHCAT、Cain等l 漏洞利用工具：MetasploitFramework等l 應(yīng)用缺陷分析工具：Burpsuite、Sqlmap等1.6 測試的風險規(guī)避在安全測試過程中，雖然我們會盡量避免做影響正常業(yè)務(wù)運行的操作，也

5、會實施風險規(guī)避的計策，但是由于測試過程變化多端，安全測試服務(wù)仍然有可能對網(wǎng)絡(luò)、系統(tǒng)運行造成一定不同程度的影響，嚴重的后果是可能造成服務(wù)停止，甚至是宕機。比如滲透人員實施系統(tǒng)權(quán)限提升操作時，突遇系統(tǒng)停電，再次重啟時可能會出現(xiàn)系統(tǒng)無法啟動的故障等。因此，我們會在安全測試前與客戶詳細討論滲透方案，并采取如下多條策略來規(guī)避安全測試帶來的風險：1.6.1 需要客戶規(guī)避的風險 備份策略為防范安全測試過程中的異常問題，測試的目標系統(tǒng)需要事先做一個完整的數(shù)據(jù)備份，以便在問題發(fā)生后能及時恢復(fù)工作。對銀行轉(zhuǎn)帳、電信計費、電力調(diào)度等不可接受可能風險的系統(tǒng)的測試，可以采取對目標副本進行滲透的方式加以實施。這樣就需要完整的復(fù)制目標系統(tǒng)的環(huán)境：硬件平臺、操作系統(tǒng)、應(yīng)用服務(wù)、程序軟件、業(yè)務(wù)訪問等；然后對該副本再進行安全測試。 應(yīng)急策略測試過程中，如果目標系統(tǒng)出