證券行業(yè)網(wǎng)站及WEB交易系統(tǒng)安全評(píng)估方案

上海交通大學(xué)信息安全效勞技術(shù)爭(zhēng)論試驗(yàn)室 XX證券公司網(wǎng)站及WEB交易交易系統(tǒng)安全評(píng)估方案上海交通大學(xué)信息安全效勞技術(shù)爭(zhēng)論試驗(yàn)室日期：2023522日名目\l“_TOC_250038“概述 1\l“_TOC_250037“評(píng)估對(duì)象 1\l“_TOC_250036“評(píng)估目標(biāo) 1\l“_TOC_250035“評(píng)估范圍 1\l“_TOC_250034“評(píng)估方法 2\l“_TOC_250033“評(píng)估原則 2\l“_TOC_250032“標(biāo)準(zhǔn)性原則 2\l“_TOC_250031“可控性原則 3\l“_TOC_250030“完整性原則 3\l“_TOC_250029“最小影響原則 3\l“_TOC_250028“保密原則 3\l“_TOC_250027“掃描策略 3\l“_TOC_250026“資源需求 4\l“_TOC_250025“人員需求 4\l“_TOC_250024“評(píng)估工具 4\l“_TOC_250023“網(wǎng)站及WEB交易系統(tǒng)評(píng)估工具 4\l“_TOC_250022“數(shù)據(jù)庫(kù)弱點(diǎn)評(píng)估工具 4\l“_TOC_250021“網(wǎng)站效勞器漏洞評(píng)估工具 5\l“_TOC_250020“滲透測(cè)試評(píng)估工具 5\l“_TOC_250019“其它資源 5\l“_TOC_250018“檢測(cè)打算 5\l“_TOC_250017“網(wǎng)站及WEB交易系統(tǒng)評(píng)估 6\l“_TOC_250016“檢測(cè)對(duì)象 6\l“_TOC_250015“檢測(cè)內(nèi)容 6\l“_TOC_250014“數(shù)據(jù)庫(kù)弱點(diǎn)評(píng)估 6\l“_TOC_250013“檢測(cè)對(duì)象 6\l“_TOC_250012“檢測(cè)內(nèi)容 7\l“_TOC_250011“網(wǎng)站效勞器漏洞評(píng)估 7\l“_TOC_250010“檢測(cè)對(duì)象 7\l“_TOC_250009“檢測(cè)內(nèi)容 7\l“_TOC_250008“滲透測(cè)試 7\l“_TOC_250007“測(cè)試范圍 8\l“_TOC_250006“滲透測(cè)試流程 9\l“_TOC_250005“信息收集 9\l“_TOC_250004“權(quán)限提升 9\l“_TOC_250003“工程治理 10\l“_TOC_250002“工程組成員 10\l“_TOC_250001“主要內(nèi)容與打算 10\l“_TOC_250000“提交文檔 10 上海交通大學(xué)信息安全效勞技術(shù)爭(zhēng)論試驗(yàn)室 1010頁(yè)概述評(píng)估對(duì)象XX證券有限責(zé)任公司〔XX〕WEB交易系統(tǒng)〔“://bocichina/“://bocichina。XX證券的網(wǎng)站是公司宣傳及開(kāi)展網(wǎng)上證券業(yè)務(wù)的重要平臺(tái)，目前有sun6—7oracleWEB交Windows平臺(tái)的效勞器。上海交通大學(xué)信息安全效勞技術(shù)爭(zhēng)論試驗(yàn)室〔LabofInformationSecurityServic，以下簡(jiǎn)稱“試驗(yàn)室”或“LIS〕XXWEB析，并對(duì)安全加固供給意見(jiàn)與建議等。評(píng)估目標(biāo)XXWEB交易系統(tǒng)的當(dāng)前安全狀況〔安全隱患需要進(jìn)展相關(guān)掃描和安全弱點(diǎn)分析，最終工作目標(biāo)為：WEB交易可能存在的安全漏洞；全漏洞；通過(guò)基于網(wǎng)絡(luò)的掃描工具及人工分析檢測(cè)網(wǎng)站效勞器可能存在的安全漏洞；XXWEB交易系統(tǒng)安全的重要參考依據(jù)。評(píng)估范圍此次評(píng)估檢測(cè)的對(duì)象為：WEB交易應(yīng)用系統(tǒng)；后臺(tái)數(shù)據(jù)庫(kù)；網(wǎng)站效勞器。評(píng)估方法此次評(píng)估的工作方法如下：確定檢測(cè)對(duì)象；擬定檢測(cè)方案；用自動(dòng)檢測(cè)工具及人工分析檢測(cè)受測(cè)對(duì)象存在的安全漏洞；通過(guò)滲透測(cè)試方法分析檢測(cè)結(jié)果，并給出適宜的建議。評(píng)估原則XXWEB交易系統(tǒng)評(píng)估工程高效、順當(dāng)?shù)剡M(jìn)展，我們的評(píng)估工作將遵循以下原則進(jìn)展。標(biāo)準(zhǔn)性原則LISS供給信息安全效勞的一貫原則。括：ISO17799ISO13335ISO15408/GB18336SSE-CMMISO13569〔GB17895－1999〕這些標(biāo)準(zhǔn)和商定包括：CVE公共漏洞和暴露PMI工程治理方法學(xué)可控性原則LISSXX證券，以便到達(dá)XX證券對(duì)評(píng)估工作的可控性。這些可控性包括：人員可控性LISSXXXX證券的認(rèn)可。并確保工程組成員工作的連續(xù)性。工具可控性LISSXX證券。確保不使用對(duì)現(xiàn)有網(wǎng)絡(luò)的運(yùn)行和業(yè)務(wù)的正常有重大影響的工具。工程過(guò)程可控性PMI工程治理方法學(xué)，突出“溝通治理過(guò)程的可控性。完整性原則LISSXX證券的要求。最小影響原則LISSXX證券網(wǎng)站及交常供給產(chǎn)生顯著影響。保密原則LISSXX證券簽署的相關(guān)保密協(xié)議。掃描策略為降低評(píng)估工作的安全風(fēng)險(xiǎn)，本次評(píng)估承受如下掃描策略：掃描時(shí)機(jī)避開(kāi)業(yè)務(wù)頂峰期；選用適宜的掃描工具；重要數(shù)據(jù)、效勞器等應(yīng)備份；最小資源開(kāi)銷；使用最的安全漏洞庫(kù)；影響，盡量使用其它方法進(jìn)展信息收集。資源需求評(píng)估工程組評(píng)估工程師、受測(cè)機(jī)構(gòu)幫助人員、檢測(cè)工具及檢測(cè)對(duì)象。人員需求受測(cè)機(jī)構(gòu)幫助人員：評(píng)估網(wǎng)站及交易系統(tǒng)時(shí)，需要系統(tǒng)安全治理員、應(yīng)用系統(tǒng)治理員備份重要數(shù)據(jù)，供給相應(yīng)測(cè)試帳號(hào)，確定掃描工具接口；圖，幫助在網(wǎng)絡(luò)中確定并接入掃描工具。評(píng)估工具WEB交易系統(tǒng)評(píng)估工具應(yīng)用平臺(tái)應(yīng)用平臺(tái)操作系統(tǒng)網(wǎng)站、WEBsunsolaris評(píng)估工具M(jìn)atriXay2.0數(shù)據(jù)庫(kù)弱點(diǎn)評(píng)估工具應(yīng)用平臺(tái)數(shù)據(jù)庫(kù)

平臺(tái)類型 評(píng)估工具ShadowDatabaseScannerMSSQLAppDetectivePro數(shù)據(jù) Oracle ShadowDatabaseScanner庫(kù)庫(kù)DAS-DBSCA網(wǎng)站效勞器漏洞評(píng)估工具應(yīng)用平臺(tái)應(yīng)用平臺(tái)評(píng)估工具NESSUS效勞器600滲透測(cè)試評(píng)估工具滲透階段滲透階段評(píng)估工具目的Curl、nmap、FWtester、hping3、搜預(yù)攻擊階段根本網(wǎng)絡(luò)信息獵取索引擎WebProxy、SPIKEProxy、webscarab、對(duì)Web預(yù)攻擊階段ParosProxyAbsintheEthereal分析webscan、fuzzerMetasploitFramework基于通用設(shè)備、數(shù)據(jù)庫(kù)、攻擊階段操作系統(tǒng)和應(yīng)用的攻擊攻擊階段NBSI2SQL攻擊階段X-Scan、Brutus、Hydra、溯雪口令猜解其它資源分析預(yù)備階段所獵取的資料可知，實(shí)施安全評(píng)估還需如下信息：網(wǎng)絡(luò)拓?fù)鋱D及主要檢測(cè)對(duì)象〔如效勞器〕的IP地址。有評(píng)估結(jié)果等。檢測(cè)打算WEB交易系統(tǒng)的應(yīng)用安全評(píng)估、數(shù)據(jù)庫(kù)弱點(diǎn)評(píng)估、網(wǎng)絡(luò)設(shè)備漏洞的安全評(píng)估，以及基于此的滲透測(cè)試。WEB交易系統(tǒng)評(píng)估LISS承受特地的webWEB應(yīng)用弱點(diǎn)評(píng)估。其原理是承受攻擊技術(shù)的原理和滲透性測(cè)試的方法，對(duì)WEB應(yīng)用進(jìn)展深度漏洞探測(cè)，可幫助應(yīng)用開(kāi)發(fā)者和治理者了解應(yīng)用系統(tǒng)存在的WEB應(yīng)用效勞。檢測(cè)對(duì)象XXWEB交易系統(tǒng)檢測(cè)內(nèi)容WEB弱點(diǎn)評(píng)估范圍包括：SQL注入網(wǎng)頁(yè)木馬表單繞過(guò)跨站腳本登錄口令破解源碼泄露CGI弱點(diǎn)ActiveX弱點(diǎn)數(shù)據(jù)庫(kù)弱點(diǎn)評(píng)估全漏洞，提高數(shù)據(jù)庫(kù)的安全。檢測(cè)對(duì)象XX證券網(wǎng)站數(shù)據(jù)庫(kù)和相關(guān)支持?jǐn)?shù)據(jù)庫(kù)。檢測(cè)內(nèi)容數(shù)據(jù)庫(kù)弱點(diǎn)掃描工程包括：檢查數(shù)據(jù)庫(kù)是否承受弱密碼或默認(rèn)密碼；檢查數(shù)據(jù)庫(kù)中具有各種操作權(quán)限的用戶列表；對(duì)數(shù)據(jù)庫(kù)規(guī)章掃描；對(duì)數(shù)據(jù)庫(kù)補(bǔ)丁掃描；對(duì)數(shù)據(jù)庫(kù)對(duì)象掃描。網(wǎng)站效勞器漏洞評(píng)估針對(duì)網(wǎng)站效勞器的安全評(píng)估一般分為兩個(gè)步驟進(jìn)展。第一步利用現(xiàn)有的優(yōu)秀的掃描結(jié)果進(jìn)展分析由評(píng)估小組的工程師對(duì)網(wǎng)絡(luò)設(shè)備安全檢查列表某些項(xiàng)進(jìn)展法找到的安全漏洞即消退漏報(bào)狀況。檢測(cè)對(duì)象XX證券網(wǎng)站效勞器。檢測(cè)內(nèi)容網(wǎng)站效勞器的檢測(cè)內(nèi)容如下：現(xiàn)有版本、補(bǔ)丁狀況脆弱口令開(kāi)放的端口與效勞可遠(yuǎn)程訪問(wèn)或執(zhí)行的權(quán)限緩沖區(qū)溢出安全漏洞CGI安全漏洞滲透測(cè)試滲透測(cè)試是一種從攻擊者的角度來(lái)對(duì)主機(jī)系統(tǒng)的安全程度進(jìn)展安全評(píng)估的手國(guó)際/國(guó)內(nèi)信息安全業(yè)界的認(rèn)可和重視。為了解本工程主機(jī)系統(tǒng)的安全現(xiàn)狀，在一個(gè)重要組成局部。測(cè)試范圍XXLISS進(jìn)展?jié)B透測(cè)試的必要條件。LISS將盡最大努力做到使XX證券對(duì)滲透測(cè)試全部細(xì)節(jié)和風(fēng)險(xiǎn)的知曉、全部過(guò)程都在XX證券的掌握下進(jìn)展LISS的專業(yè)效勞與黑客攻擊入侵的本質(zhì)不同。LISS承諾不會(huì)對(duì)授權(quán)范圍之外的主機(jī)及網(wǎng)絡(luò)設(shè)備進(jìn)展測(cè)試和模擬攻擊。注：全部攻擊測(cè)試將在XX證券的授權(quán)和監(jiān)視下進(jìn)展。滲透測(cè)試流程信息收集信息收集分析幾乎是全部入侵攻擊的前提/前奏/根底信息收集分析就是完成的這個(gè)任務(wù)。通過(guò)信息收集分析，攻擊者〔測(cè)試者〕可以的幾率。信息收集的方法包括主機(jī)網(wǎng)絡(luò)掃描、端口掃描、操作類型判別、應(yīng)用判別、賬號(hào)掃描、配置判別等等。入侵攻擊常用的工具包括nmap、nessus、ISSInternetScanner等，有時(shí)，操作系統(tǒng)中內(nèi)置的很多工具〔例如telnet〕也可以成為格外有效的攻擊入侵武器。權(quán)限提升通過(guò)收集信息和分析，存在兩種可能性，其一是目標(biāo)系統(tǒng)存在重大弱點(diǎn)：測(cè)這些不停的信息收集分析、權(quán)限升級(jí)的結(jié)果構(gòu)成了整個(gè)滲透測(cè)試過(guò)程的輸出。工程治理工程組成員工程組長(zhǎng)：銀鷹工程組成員：周寧、張競(jìng)、王京峰、施勇主要內(nèi)容與打算類型地