2019年互聯(lián)網(wǎng)安全眾測項(xiàng)目需求說明書

2019年互聯(lián)網(wǎng)安全眾測項(xiàng)目需求說明書一、項(xiàng)目內(nèi)容2017年6月《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施，為進(jìn)一步做好全市系統(tǒng)網(wǎng)絡(luò)信息安全工作，提升互聯(lián)網(wǎng)應(yīng)用系統(tǒng)防御能力。根據(jù)國家法律法規(guī)，國家稅務(wù)總局、寧波市網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組辦公室關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全的有關(guān)工作部署，《稅務(wù)工作人員網(wǎng)絡(luò)安全管理規(guī)定》和總局績效指標(biāo)體系的內(nèi)容，寧波市稅務(wù)局需進(jìn)行互聯(lián)網(wǎng)應(yīng)用自測與加固。中標(biāo)人應(yīng)利用各類滲透測試工具和人工方式模擬黑客攻擊，查找寧波市稅務(wù)局互聯(lián)網(wǎng)各應(yīng)用是否存在安全漏洞。一、服務(wù)要求★服務(wù)實(shí)施方需調(diào)動(dòng)專業(yè)的測試人員團(tuán)隊(duì)，測試人員需在國內(nèi)知名漏洞響應(yīng)平臺(tái)排名前200名，篩選基數(shù)不少于4萬人。提供官方網(wǎng)站人員截圖，提供鏈接地址證明，在投標(biāo)時(shí)提供。★具備獨(dú)立運(yùn)營的漏洞響應(yīng)平臺(tái)，提供網(wǎng)站URL鏈接，具備漏洞響應(yīng)平臺(tái)上擁有至少4000家的企業(yè)運(yùn)營經(jīng)驗(yàn)。提供平臺(tái)服務(wù)企業(yè)數(shù)量截圖和鏈接地址，在投標(biāo)時(shí)提供?！锓?wù)方需在技術(shù)監(jiān)管下遠(yuǎn)程對(duì)寧波市稅務(wù)局互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行安全檢測測試，測試人員全部通過具有動(dòng)態(tài)驗(yàn)證口令的VPN安全接入統(tǒng)一輸出固定IP，全程記錄安全測試人員操作行為并可提供全程監(jiān)控日志，檢測服務(wù)過程應(yīng)由自身審計(jì)設(shè)備進(jìn)行全程監(jiān)督記錄并提供截圖。為避免信息泄漏，平臺(tái)賬號(hào)支持全程雙因子認(rèn)證，必須以定向邀請(qǐng)的方式進(jìn)行虛擬服務(wù)團(tuán)隊(duì)的組建，提供邀請(qǐng)機(jī)制證明。需保證被評(píng)估目標(biāo)的覆蓋面、真實(shí)性、深入性，深度發(fā)現(xiàn)應(yīng)用系統(tǒng)所存在的網(wǎng)絡(luò)安全問題和面臨的網(wǎng)絡(luò)安全威脅，每次測試參與測試人員不少于20人，時(shí)間不少于1個(gè)月。測試驗(yàn)收時(shí)需保證至少發(fā)現(xiàn)10個(gè)以上導(dǎo)致業(yè)務(wù)嚴(yán)重危害的高危等級(jí)漏洞(高危漏洞等級(jí)標(biāo)準(zhǔn)請(qǐng)見下文)。服務(wù)實(shí)施方組織的安全檢測，測試內(nèi)容包括但不限于網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、業(yè)務(wù)流程等層面，同時(shí)應(yīng)根據(jù)各層面特征有針對(duì)性的制定測試方案和測試策略，內(nèi)容包括但不限于測試手法、測試工具、風(fēng)險(xiǎn)規(guī)避措施等。服務(wù)實(shí)施方應(yīng)組織針對(duì)寧波市稅務(wù)局互聯(lián)網(wǎng)應(yīng)用的安全檢測，保證測試的全面性，測試內(nèi)容包括但不限于SQL注入、權(quán)限繞過、弱□令、邏輯設(shè)計(jì)、程序、密碼與安全策略評(píng)估、權(quán)限與界面安全評(píng)估等，并提供安全加固建議。服務(wù)實(shí)施方可按寧波市稅務(wù)局要求，就緊急、疑難問題提供遠(yuǎn)程電話或社交工具技術(shù)支持。測試過程需全部采用手工檢測，測試方法包括但不限于如下：設(shè)計(jì)缺陷對(duì)關(guān)鍵業(yè)務(wù)邏輯進(jìn)行測試，檢查業(yè)務(wù)流程中是否存在相互矛盾或使用了脆弱驗(yàn)證方法控制業(yè)務(wù)。通過該方法可以測試出相關(guān)業(yè)務(wù)設(shè)計(jì)/架構(gòu)人員的安全意識(shí)，并可以為深層次的滲透提供方法與思路。權(quán)限繞過越權(quán)漏洞主要包括水平越權(quán)和垂直越權(quán)。水平越權(quán)可以導(dǎo)致獲取系統(tǒng)權(quán)限所有用戶的信息，而垂直越權(quán)則可以將普通用戶的權(quán)限提升成為系統(tǒng)管理員級(jí)別。未進(jìn)行登錄憑證驗(yàn)證有些業(yè)務(wù)的接口，因?yàn)槿鄙倭藢?duì)用戶的登陸憑證的效驗(yàn)或者是驗(yàn)證存在缺陷，導(dǎo)致黑客可以未經(jīng)授權(quán)訪問這些敏感信息甚至是越權(quán)操作。接口無限枚舉有些關(guān)鍵性的接口因?yàn)闆]有做驗(yàn)證或者其它預(yù)防機(jī)制，容易遭到枚舉攻擊。Cookie和session設(shè)計(jì)檢查Cookie的效驗(yàn)值過于簡單。有些web對(duì)于cookie的生成過于單一或者簡單，導(dǎo)致黑客可以對(duì)cookie的效驗(yàn)值進(jìn)行一個(gè)枚舉。用戶輸入合規(guī)性檢查檢查服務(wù)器程序是否可以篩選出用戶的非法輸入，并且做出對(duì)應(yīng)的正確處理。業(yè)務(wù)流程檢查檢查廠商業(yè)務(wù)流程是否能按照正確的程序流程進(jìn)行執(zhí)行，檢查是否存在發(fā)生漏洞的業(yè)務(wù)環(huán)節(jié)。文件上傳通過對(duì)存在缺陷的網(wǎng)址或者參數(shù)進(jìn)行精心構(gòu)造操作，可以獲取任意文件的代碼，包括但不限于網(wǎng)站的文件。一旦下載或讀取相關(guān)配置文件，將造成重大信息泄露。信息泄露源代碼可直接在網(wǎng)站獲取，例如github上屢有程序員在上面上傳開發(fā)代碼，造成核心代碼泄露，對(duì)web應(yīng)用系統(tǒng)和app應(yīng)用的正常使用造成威脅。命令執(zhí)行攻擊者可能會(huì)通過遠(yuǎn)調(diào)用的方式來攻擊或控制服務(wù)器，對(duì)整個(gè)內(nèi)網(wǎng)造成極大的隱患。ApacheStruts系列(st2-016、st2-017、st2-019、st2-032)、Java反序列化漏洞(WebLogic、WebSphere、JBoss、Jenkins)、FFmpeg組件命令執(zhí)行、ImageTragick組件命令執(zhí)行、Joomla1.5-3.4版本遠(yuǎn)程命令執(zhí)行等解析漏洞IIS5.x/6.0解析漏洞、IIS7.0/IIS7.5/Nginx<8.03畸形解析漏洞、Apache解析漏洞等服務(wù)組件的安全配置問題FTP、MySQL、MSSQL、Memcached、MongoDB、Redis、docker、rsync、Snmp、Zabbix、NFS、Hadoop、ElasticSearch安全配置SQL注入可造成讀取、篡改、添加、刪除數(shù)據(jù)庫中的數(shù)據(jù)；獲取用戶的各類敏感信息；通過修改數(shù)據(jù)庫的內(nèi)容；添加或刪除賬號(hào);可根據(jù)實(shí)際配置對(duì)進(jìn)一步獲取系統(tǒng)權(quán)限。滲透測試測試過程中覆蓋SQL注入、OS命令注入、XPATH注入、LDAP注入、JSON注入、xml實(shí)習(xí)注入等類型。XXE注入當(dāng)允許引用外部實(shí)體時(shí)，通過構(gòu)造惡意內(nèi)容，可導(dǎo)致讀取任意文件、執(zhí)行系統(tǒng)命令、探測內(nèi)網(wǎng)端口、攻擊內(nèi)網(wǎng)網(wǎng)站等危害。XSS漏洞可獲取各類用戶帳號(hào)，如系統(tǒng)登錄帳號(hào)、用戶帳號(hào)、各類管理員帳號(hào)；蠕蟲傳播信息；獲取用戶重要的具有商業(yè)價(jià)值的資料等。包括反射式XSS、存儲(chǔ)式XSS、基于DOM的XSS等類型的測試。CSRF可造成利用合法用戶的身份，在合法用戶的終端調(diào)用請(qǐng)求。這些請(qǐng)求可能是轉(zhuǎn)賬、充值、修改管理員密碼等高危敏感操作SSRF可以對(duì)外網(wǎng)、服務(wù)器所在內(nèi)網(wǎng)、本地進(jìn)行端口掃描，獲取一些服務(wù)的banner信息;攻擊運(yùn)行在內(nèi)網(wǎng)或本地的應(yīng)用程序(比如溢出)；對(duì)內(nèi)網(wǎng)web應(yīng)用進(jìn)行指紋識(shí)別，通過訪問默認(rèn)文件實(shí)現(xiàn);攻擊內(nèi)外網(wǎng)的web應(yīng)用，主要是使用get參數(shù)就可以實(shí)現(xiàn)的攻擊(比如struts2，sqli等)；利用file協(xié)議讀取本地文件等。端口掃描通過對(duì)目標(biāo)地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測試的基礎(chǔ)。通過端口掃描，可以基本確定一個(gè)系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗(yàn)可以確定其可能存在以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)。其它除以上滲透方法外，白帽子還會(huì)運(yùn)用一些自身開發(fā)的擁有專利的檢測工具。漏洞定級(jí)標(biāo)準(zhǔn):漏洞評(píng)級(jí)標(biāo)準(zhǔn)是參考國際組織OWASP漏洞標(biāo)準(zhǔn)制定，具體要求如下：高危等級(jí)漏洞定義1）直接獲取權(quán)限的漏洞（服務(wù)器權(quán)限、移動(dòng)app客戶端權(quán)限）。包括但不限于遠(yuǎn)程任意命令執(zhí)行、可利用遠(yuǎn)程緩沖區(qū)溢出、可利用的ActiveX堆棧溢出、可利用瀏覽器useafterfree漏洞、可利用遠(yuǎn)程內(nèi)核代碼執(zhí)行漏洞以及其它因邏輯問題導(dǎo)致的可利用的遠(yuǎn)程代碼執(zhí)行漏洞、可任意命令執(zhí)行、可上傳webshell、可任意代碼執(zhí)行2）直接導(dǎo)致嚴(yán)重的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞、重要業(yè)務(wù)的重點(diǎn)頁面的存儲(chǔ)型XSS漏洞3）直接導(dǎo)致嚴(yán)重影響的邏輯漏洞。包括但不限于任意帳號(hào)密碼更改漏洞4）移動(dòng)客戶端app產(chǎn)品的自身開發(fā)功能的漏洞（不含Android系統(tǒng)漏洞）.以遠(yuǎn)程方式獲取移動(dòng)客戶端權(quán)限執(zhí)行任意命令和代碼，漏洞場景包括但不僅限于遠(yuǎn)程端口連接、瀏覽網(wǎng)頁和關(guān)聯(lián)文件打開等遠(yuǎn)程利用方式。5）越權(quán)訪問。包括但不限于繞過認(rèn)證訪問管理后臺(tái)、后臺(tái)登錄弱口令、修改任意用戶密碼6）高風(fēng)險(xiǎn)的信息泄漏漏洞。包括但不限于源代碼壓縮包泄漏7）客戶軟件本地任意代碼執(zhí)行。包括但不限于本地可利用的堆棧溢出、UAF、doublefree、formatstring、本地提權(quán)、文件關(guān)聯(lián)的DLL劫持（不包括加載不存在的DLL文件及加載正常DLL未校驗(yàn)合法性）以及客戶端產(chǎn)品的遠(yuǎn)程DoS漏洞、其它邏輯問題導(dǎo)致的本地代碼執(zhí)行漏洞8）直接獲取客戶端權(quán)限的漏洞。包括但不限于遠(yuǎn)程任意命令執(zhí)行、遠(yuǎn)程緩沖區(qū)溢出、可利用的ActiveX堆棧溢出、瀏覽器useafterfree漏洞、遠(yuǎn)程內(nèi)核代碼執(zhí)行漏洞以及其它因邏輯問題導(dǎo)致的遠(yuǎn)程代碼執(zhí)行漏洞9）屬于移動(dòng)app客戶端產(chǎn)品的自身開發(fā)功能的漏洞（不含Android系統(tǒng)漏洞），第三方應(yīng)用可以跨應(yīng)用調(diào)用移動(dòng)客戶端產(chǎn)品的功能完成一些高危操作，包括但不僅限于文件讀寫，短信讀寫，客戶端自身數(shù)據(jù)讀寫等。中危等級(jí)漏洞定義1）需交互才能獲取用戶身份信息的漏洞。包括但不限于反射型XSS（包括反射型DOM-XSS）、JSONHijacking、重要敏感操作的CSRF、普通業(yè)務(wù)的存儲(chǔ)型XSS。2）遠(yuǎn)程應(yīng)用拒絕服務(wù)漏洞、產(chǎn)品本地應(yīng)用拒絕服務(wù)漏洞、敏感信息泄露、內(nèi)核拒絕服務(wù)漏洞、可獲取敏感信息或者執(zhí)行敏感操作的客戶端產(chǎn)品的XSS漏洞。3）導(dǎo)致移動(dòng)app客戶端敏感信息泄露的漏洞（不含Android系統(tǒng)漏洞），漏洞場景包括但不僅限于調(diào)試信息，邏輯漏洞，功能訪問等導(dǎo)致的信息泄露。敏感信息包括但不僅限于用戶名、密碼、密鑰、手機(jī)串號(hào)等移動(dòng)客戶端產(chǎn)品自身重要數(shù)據(jù)和隱私信息。4）越權(quán)訪問，包括但不限于繞過限制修改用戶資料、執(zhí)行用戶操作，參與不在有效時(shí)間范圍內(nèi)的活動(dòng)業(yè)務(wù)，及參與自身?xiàng)l件受限的活動(dòng)業(yè)務(wù)。5）重要信息的泄露，包含但不限于加密密鑰串泄露，其他業(yè)務(wù)系統(tǒng)賬戶信息的泄露。6）直接獲取客戶端權(quán)限的漏洞。包括但不限于遠(yuǎn)程任意命令執(zhí)行、遠(yuǎn)程緩沖區(qū)溢出、可利用的ActiveX堆棧溢出、瀏覽器useafterfree漏洞、遠(yuǎn)程內(nèi)核代碼執(zhí)行漏洞以及其它因邏輯問題導(dǎo)致的遠(yuǎn)程代碼執(zhí)行漏洞。低危等級(jí)漏洞定義1）PC客戶端及移動(dòng)客戶端本地拒絕服務(wù)漏洞。包括但不限于組件權(quán)限導(dǎo)致的本地拒絕服務(wù)漏洞。2）越權(quán)訪問。包括但不限于繞過登陸驗(yàn)證訪問敏感功能。3）難以利用但又可能存在安全隱患的問題。包括但不限于可能引起傳播和利用的Self-XSS以及非重要敏感操作的CSRF。4）導(dǎo)致移動(dòng)app客戶端拒絕服務(wù)的漏洞（不含Android系統(tǒng)漏洞），利用該漏洞可以直接結(jié)束移動(dòng)客戶端進(jìn)程。漏洞利用場景包括但不僅限于跨應(yīng)用調(diào)用、遠(yuǎn)程瀏覽網(wǎng)頁等本地或遠(yuǎn)程利用方法。在服務(wù)實(shí)施方檢測出漏洞后，其安全專家需審核漏洞是否真正存在，如若存則第一時(shí)間進(jìn)行郵件和短信告警寧波市稅務(wù)局對(duì)接人。三、服務(wù)內(nèi)容對(duì)寧波市稅務(wù)局轄內(nèi)互聯(lián)網(wǎng)地址段進(jìn)行全面細(xì)致的掃描和測試，發(fā)現(xiàn)寧波市稅務(wù)局互聯(lián)網(wǎng)各應(yīng)用存在的安全問題，并提出改進(jìn)建議，并協(xié)助完成修復(fù)效果檢驗(yàn)。服務(wù)期為1年，服務(wù)內(nèi)容包括對(duì)系統(tǒng)的滲透測試服務(wù)和整改修復(fù)后的復(fù)測服務(wù)，主要系統(tǒng)包括：寧波市稅務(wù)局門戶網(wǎng)站（含所有子鏈接）、寧波市稅務(wù)