滲透測試方案

成都國信安信息產(chǎn)業(yè)基地有限公司PAGE第3頁共16頁四川品勝安全性滲透測試測試方案成都國信安信息產(chǎn)業(yè)基地有限公司二〇一五年十二月 目錄 目錄 11. 引言 21.1. 項目概述 22. 測試概述 22.1. 測試簡介 22.2. 測試依據(jù) 22.3. 測試思路 32.3.1. 工作思路 32.3.2. 管理和技術(shù)要求 32.4. 人員及設(shè)備計劃 42.4.1. 人員分配 42.4.2. 測試設(shè)備 43. 測試范圍 54. 測試內(nèi)容 85. 測試方法 105.1. 滲透測試原理 105.2. 滲透測試的流程 105.3. 滲透測試的風(fēng)險規(guī)避 115.4. 滲透測試的收益 125.5. 滲透測試工具介紹 126. 我公司滲透測試優(yōu)勢 146.1. 專業(yè)化團(tuán)隊優(yōu)勢 146.2. 深入化的測試需求分析 146.3. 規(guī)范化的滲透測試流程 146.4. 全面化的滲透測試內(nèi)容 147. 后期服務(wù) 16人員及設(shè)備計劃人員分配本次測試組織機構(gòu)和人員分配如下：項目管理組：楊方秀現(xiàn)場測試組：屈緋穎、王洪斌、項目文檔組：龔正質(zhì)量控制組：楊方秀、屈緋穎測試設(shè)備序號設(shè)備或儀器名稱功能描述數(shù)量產(chǎn)地備注TestManager測試管理1IBMClearQuest缺陷跟蹤1IBMxscan用于安全測試的漏洞掃描工具1測試機測試機2國產(chǎn)測試范圍檢測分類檢測范圍Web網(wǎng)站SQL注入XSS跨站腳本網(wǎng)頁掛馬緩沖區(qū)溢出文件上傳漏洞源代碼泄露目錄瀏覽、遍歷漏洞數(shù)據(jù)庫泄露弱口令越權(quán)訪問會話驗證繞過管理地址泄露輿論信息檢測中間件漏洞支付安全驗證其他（如：寫入控制,防止批量添加數(shù)據(jù),是否使用驗證碼等）SOA服務(wù)端SQL注入緩沖區(qū)溢出文件上傳漏洞目錄瀏覽、遍歷漏洞弱口令越權(quán)訪問會話驗證繞過中間件漏洞其他（如：寫入控制,防止批量添加數(shù)據(jù),是否使用驗證碼等）APP源生客戶端組件安全檢測代碼安全檢測內(nèi)存安全檢測數(shù)據(jù)安全檢測業(yè)務(wù)安全檢測應(yīng)用管理檢測服務(wù)器身份鑒別自主訪問控制強制訪問控制可信路徑安全審計剩余信息保護(hù)入侵防范惡意代碼防范資源控制數(shù)據(jù)庫數(shù)據(jù)安全測試內(nèi)容檢測項目檢測子類類型掃描測試滲透測試當(dāng)日達(dá)前端SSO單點登錄網(wǎng)站W(wǎng)EB√√后端SSO單點登錄網(wǎng)站W(wǎng)EB√√當(dāng)日達(dá)商城4期前臺網(wǎng)站W(wǎng)EB√√當(dāng)日達(dá)商城3期后臺WEB√√當(dāng)日達(dá)商城4期后臺WEB√√砸金蛋活動WEB√砸金蛋后臺WEB√一元云購WEB√月月?lián)屔衿鱓EB√滴滴貼膜WEB√快遞查詢（PC端）WEB√快遞查詢（移動端）WEB√中國人民不斷電WEB√√千城通APPAPP√千機團(tuán)網(wǎng)站+APPWEB+APP√√進(jìn)銷存IMS進(jìn)銷存系統(tǒng)WEB√√IMS進(jìn)銷存管理工具WEB√√品勝云路由器固件升級后臺管理WEB√√品勝云3.2（手機版）APP√品勝云2.0（IPAD版）APP√品勝云3.3（手機版）APP√品勝商城1.0APP√WEB服務(wù)文件上傳服務(wù)WebService√√當(dāng)日達(dá)商城3期后臺服務(wù)WebService√√千城通APP調(diào)用服務(wù)WebService√√品勝云服務(wù)WebService√√品勝商城服務(wù)WebService√√路由器固件升級服務(wù)WebService√√服務(wù)器CentOS6.564bit(3臺)Server√CentOS7.064bit(3臺)Server√WindowsServer2012(2臺)Server√WindowsServer2008(8臺)Server√測試方法針對本次項目的測試范圍和內(nèi)容，我公司采取滲透測試的方法對整體系統(tǒng)進(jìn)行安全性評估。滲透測試原理滲透測試過程主要依據(jù)現(xiàn)今已經(jīng)掌握的安全漏洞信息，模擬黑客的真實攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測試，這里說有的滲透測試行為將在客戶的書面明確授權(quán)和監(jiān)督下進(jìn)行。滲透測試的流程方案制定：在獲取到業(yè)主單位的書面授權(quán)許可后，才進(jìn)行滲透測試的實施。并且將實施范圍、方法、時間、人員等具體的方案與業(yè)主單位進(jìn)行交流，并得到業(yè)主單位的認(rèn)同。在測試實施之前，會做到讓業(yè)主單位對滲透測試過程和風(fēng)險的知曉，使隨后的正式測試流程都在業(yè)主單位的控制下。信息收集：這包括：操作系統(tǒng)類型指紋收集；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析；端口掃描和目標(biāo)系統(tǒng)提供的服務(wù)識別等。可以采用一些商業(yè)安全評估系統(tǒng)（如：ISS、極光等）；免費的檢測工具（NESSUS、Nmap等）進(jìn)行收集測試實施：在規(guī)避防火墻、入侵檢測、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進(jìn)行：操作系統(tǒng)可檢測到的漏洞測試、應(yīng)用系統(tǒng)檢測到的漏洞測試（如：Web應(yīng)用），此階段如果成功的話，可能獲得普通權(quán)限。滲透測試人員可能用到的測試手段有：掃描分析、溢出測試、口令爆破、社會工程學(xué)、客戶端攻擊、中間人攻擊等，用于測試人員順利完成工程。在獲取到普通權(quán)限后，嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對系統(tǒng)的完全控制權(quán)。一旦成功控制一臺或多臺服務(wù)器后，測試人員將利用這些被控制的服務(wù)器作為跳板，繞過防火墻或其他安全設(shè)備的防護(hù)，從而對內(nèi)網(wǎng)其他服務(wù)器和客戶端進(jìn)行進(jìn)一步的滲透。此過程將循環(huán)進(jìn)行，直到測試完成。最后由滲透測試人員清除中間數(shù)據(jù)。報告輸出：滲透測試人員根據(jù)測試的過程結(jié)果編寫直觀的滲透測試服務(wù)報告。內(nèi)容包括：具體的操作步驟描述；響應(yīng)分析以及最后的安全修復(fù)建議安全復(fù)查：滲透測試完成后，某某協(xié)助業(yè)主單位對已發(fā)現(xiàn)的安全隱患進(jìn)行修復(fù)。修復(fù)完成后，滲透測試工程師對修復(fù)的成果再次進(jìn)行遠(yuǎn)程測試復(fù)查，對修復(fù)的結(jié)果進(jìn)行檢驗，確保修復(fù)結(jié)果的有效性。滲透測試的風(fēng)險規(guī)避在滲透測試過程中，雖然我們會盡量避免做影響正常業(yè)務(wù)運行的操作，也會實施風(fēng)險規(guī)避的計策，但是由于測試過程變化多端，滲透測試服務(wù)仍然有可能對網(wǎng)絡(luò)、系統(tǒng)運行造成一定不同程度的影響，嚴(yán)重的后果是可能造成服務(wù)停止，甚至是宕機。比如滲透人員實施系統(tǒng)權(quán)限提升操作時，突遇系統(tǒng)停電，再次重啟時可能會出現(xiàn)系統(tǒng)無法啟動的故障等。因此，我們會在滲透測試前與業(yè)主單位詳細(xì)討論滲透方案，并采取如下多條策略來規(guī)避滲透測試帶來的風(fēng)險。時間策略：為減輕滲透測試造成的壓力和預(yù)備風(fēng)險排除時間，一般的安排測試時間在業(yè)務(wù)量不高的時間段。測試策略：

為了防范測試導(dǎo)致業(yè)務(wù)的中斷，可以不做一些拒絕服務(wù)類的測試。非常重要的系統(tǒng)不建議做深入的測試，避免意外崩潰而造成不可挽回的損失；具體測試過程中，最終結(jié)果可以由測試人員做推測，而不實施危險的操作步驟加以驗證等。備份策略：為防范滲透過程中的異常問題，測試的目標(biāo)系統(tǒng)需要事先做一個完整的數(shù)據(jù)備份，以便在問題發(fā)生后能及時恢復(fù)工作。對于核心業(yè)務(wù)系統(tǒng)等不可接受可能風(fēng)險的系統(tǒng)的測試，可以采取對目標(biāo)副本進(jìn)行滲透的方式加以實施。這樣就需要完整的復(fù)制目標(biāo)系統(tǒng)的環(huán)境：硬件平臺、操作系統(tǒng)、應(yīng)用服務(wù)、程序軟件、業(yè)務(wù)訪問等；然后對該副本再進(jìn)行滲透測試。應(yīng)急策略：測試過程中，如果目標(biāo)系統(tǒng)出現(xiàn)無響應(yīng)、中斷或者崩潰等情況，我們會立即中止?jié)B透測試，并配合業(yè)主單位技術(shù)人員進(jìn)行修復(fù)處理等。在確認(rèn)問題、修復(fù)系統(tǒng)、防范此故障再重演后，經(jīng)業(yè)主單位方同意才能繼續(xù)進(jìn)行其余的測試。溝通策略：測試過程中，確定測試人員和業(yè)主單位方配合人員的聯(lián)系方式，便于及時溝通并解決工程中的難點。滲透測試的收益滲透測試是站在實戰(zhàn)角度對業(yè)主單位指定的目標(biāo)系統(tǒng)進(jìn)行的安全評估，可以讓業(yè)主單位相關(guān)人員直觀的了解到自己網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用中隱含的漏洞和危害發(fā)生時可能導(dǎo)致的損失。通過我們的滲透測試，可以獲得如下增益。安全缺陷：從黑客的角度發(fā)現(xiàn)業(yè)主單位安全體系中的漏洞（隱含缺陷），協(xié)助業(yè)主單位明確目前降低風(fēng)險的措施，為下一步的安全策略調(diào)整指明了方向。測試報告：能幫助業(yè)主單位以實際案例的形式來說明目前安全現(xiàn)狀，從而增加業(yè)主單位對信息安全的認(rèn)知度，提升業(yè)主單位人員的風(fēng)險危機意識，從而實現(xiàn)內(nèi)部安全等級的整體提升。交互式滲透測試：我們的滲透測試人員在業(yè)主單位約定的范圍、時間內(nèi)實施測試，而業(yè)主單位人員可以與此同時進(jìn)行相關(guān)的檢測監(jiān)控工作，測試自己能不能發(fā)現(xiàn)正在進(jìn)行的滲透測試過程，從中真實的評估自己的檢測預(yù)警能力。滲透測試工具介紹滲透測試人員模擬黑客入侵攻擊的過程中使用的是操作系統(tǒng)自帶網(wǎng)絡(luò)應(yīng)用、管理和診斷工具、黑客可以在網(wǎng)絡(luò)上免費下載的掃描器、遠(yuǎn)程入侵代碼和本地提升權(quán)限代碼以及某某自主開發(fā)的安全掃描工具。這些工具經(jīng)過全球數(shù)以萬計的程序員、網(wǎng)絡(luò)管理員、安全專家以及黑客的測試和實際應(yīng)用，在技術(shù)上已經(jīng)非常成熟，實現(xiàn)了網(wǎng)絡(luò)檢查和安全測試的高度可控性，能夠根據(jù)使用者的實際要求進(jìn)行有針對性的測試。但是安全工具本身也是一把雙刃劍，為了做到萬無一失，我們也將針對系統(tǒng)可能出現(xiàn)的不穩(wěn)定現(xiàn)象提出相應(yīng)對策，以確保服務(wù)器和網(wǎng)絡(luò)設(shè)備在進(jìn)行滲透測試的過程中保持在可信狀態(tài)。我公司滲透測試優(yōu)勢專業(yè)化團(tuán)隊優(yōu)勢我公司有滲透測試優(yōu)勢專業(yè)化的滲透測試團(tuán)隊。滲透測試服務(wù)開展相對較早，經(jīng)驗非常豐富，曾經(jīng)參與過很多大型網(wǎng)站的滲透測試工作。滲透測試團(tuán)隊會根據(jù)項目的規(guī)模有選擇性的申請部分漏洞研發(fā)團(tuán)隊專家參與到項目中，共同組成臨時的滲透測試小組，面向用戶提供深層次、多角度、全方位的滲透測試深入化的測試需求分析在滲透測試開展前期，會從技術(shù)層面（網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層）著手與用戶進(jìn)行廣泛溝通，對用戶當(dāng)前的一些重要資料進(jìn)行采集、匯總、梳理、掌握，以便為滲透測試工作地開展奠定良好的基礎(chǔ)。除了技術(shù)層面以外，某某也將會根據(jù)用戶滲透測試的目標(biāo)以及提出的需求著重對于用戶的業(yè)務(wù)層面進(jìn)行分析，并且將分析結(jié)果應(yīng)用于滲透測試當(dāng)中，做到明確所有需求的基礎(chǔ)上準(zhǔn)確而深入的貫徹用戶的意圖，將滲透測試的目標(biāo)與業(yè)務(wù)系統(tǒng)連續(xù)性運行保障緊密的結(jié)合起來。規(guī)范化的滲透測試流程滲透測試流程分為準(zhǔn)備、滲透以及加固三個基本階段，在每個階段都會生成階段文檔，最終在完成滲透測試整個流程以后將會由項目經(jīng)理將三個階段的文檔進(jìn)行整理、匯總、提交給用戶。并且針對過程中遇到的問題向用戶進(jìn)行匯報。某某提供的滲透測試流程特點就在于將滲透準(zhǔn)備階段及安全加固階段作為兩個獨立而重