滲透測(cè)試方案

.滲透測(cè)試服務(wù)（一）服務(wù)內(nèi)容滲透測(cè)試服務(wù)：通過(guò)定期滲透測(cè)試、工具掃描、風(fēng)險(xiǎn)評(píng)估等服務(wù)，從技術(shù)層面找出公安信息網(wǎng)目標(biāo)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、管理體系等方面的弱點(diǎn)、漏洞與脆弱性，作為進(jìn)行安全優(yōu)化和加固的依據(jù)。（二）服務(wù)方案滲透測(cè)試方案滲透測(cè)試主要是根據(jù)已有的安全漏洞知識(shí)庫(kù)，模擬黑客的攻擊方法，檢測(cè)網(wǎng)站、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患和漏洞。具體工作流程如下：測(cè)試方法滲透測(cè)試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵需要利用目

標(biāo)網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測(cè)試也是同樣的道理。以人工滲透為主，輔助以攻擊工具的使用，這樣保證了整個(gè)滲透測(cè)試過(guò)程都在可以控制和調(diào)整的范圍之內(nèi)。針對(duì)各應(yīng)用系統(tǒng)的滲透測(cè)試方法包括以下方法但不局限于以下方法：測(cè)試方法描述信息收集信息收集是滲透攻擊的前提，通過(guò)信息收集可以有針對(duì)性地制定模擬攻擊測(cè)試計(jì)劃，提高模擬攻擊的成功率，同時(shí)可以有效的降低攻擊測(cè)試對(duì)系統(tǒng)正常運(yùn)行造成的不利影響。信息收集的方法包括端口掃描、操作系統(tǒng)指紋判別、應(yīng)用判別、賬號(hào)掃描、配置判別等。端口掃描通過(guò)對(duì)目標(biāo)地址的TCP/UDP端口掃描，確定其所開(kāi)放的服務(wù)的數(shù)量和類(lèi)型，這是所有滲透測(cè)試的基礎(chǔ)。通過(guò)端口掃描，可以基本確定一個(gè)系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗(yàn)可以確定其可能存在以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)?？诹畈聹y(cè)本階段將對(duì)暴露在公網(wǎng)的所有登陸口進(jìn)行口令猜解的測(cè)試，找出各個(gè)系統(tǒng)可能存在的弱口令或易被猜解的口令。猜解成功后將繼續(xù)對(duì)系統(tǒng)進(jìn)行滲透測(cè)試，挖掘嵌套在登錄口背后的漏洞、尋找新的突破口以及可能泄漏的敏感信息，并評(píng)估相應(yīng)的危害性。猜解的對(duì)象包括：WEB登錄口、FTP端口、數(shù)據(jù)庫(kù)端口、遠(yuǎn)程管理端口等。遠(yuǎn)程溢出這是當(dāng)前出現(xiàn)的頻率最高、威脅最嚴(yán)重，同時(shí)又是最容易實(shí)現(xiàn)的一種滲透方法，一個(gè)具有一般網(wǎng)絡(luò)知識(shí)的入侵者就可以在很短的時(shí)間內(nèi)利用現(xiàn)成的工具實(shí)現(xiàn)遠(yuǎn)程溢出攻擊。對(duì)于在防火墻內(nèi)的系統(tǒng)存在同樣的風(fēng)險(xiǎn)，只要對(duì)跨接防火墻內(nèi)外的

一臺(tái)主機(jī)攻擊成功，那么通過(guò)這臺(tái)主機(jī)對(duì)防火墻內(nèi)的主機(jī)進(jìn)行攻擊就易如反掌。本地溢出本地溢出是指在擁有了一個(gè)普通用戶(hù)的賬號(hào)之后，通過(guò)一段特殊的指令代碼獲得管理員權(quán)限的方法。使用本地溢出的前提是首先要獲得一個(gè)普通用戶(hù)的密碼。也就是說(shuō)由于導(dǎo)致本地溢出的一個(gè)關(guān)鍵條件是設(shè)置不當(dāng)?shù)拿艽a策略。多年的實(shí)踐證明，在經(jīng)過(guò)前期的口令猜測(cè)階段獲取的普通賬號(hào)登錄系統(tǒng)之后，對(duì)系統(tǒng)實(shí)施本地溢出攻擊，就能獲取不進(jìn)行主動(dòng)安全防御的系統(tǒng)的控制管理權(quán)限。腳本測(cè)試腳本測(cè)試專(zhuān)門(mén)針對(duì)Web服務(wù)器進(jìn)行。根據(jù)最新的技術(shù)統(tǒng)計(jì)，腳本安全弱點(diǎn)為當(dāng)前Web系統(tǒng)尤其存在動(dòng)態(tài)內(nèi)容的Web系統(tǒng)存在的主要比較嚴(yán)重的安全弱點(diǎn)之一。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪(fǎng)問(wèn)權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對(duì)于含有動(dòng)態(tài)頁(yè)面的Web系統(tǒng)，腳本測(cè)試將是必不可少的一個(gè)環(huán)節(jié)。權(quán)限獲取通過(guò)初步信息收集分析，存在兩種可能性，一種是目標(biāo)系統(tǒng)存在重大的安全弱點(diǎn)，測(cè)試可以直接控制目標(biāo)系統(tǒng)；另一種是目標(biāo)系統(tǒng)沒(méi)有遠(yuǎn)程重大的安全弱點(diǎn)，但是可以獲得普通用戶(hù)權(quán)限，這時(shí)可以通過(guò)該普通用戶(hù)權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。接下來(lái)盡最大努力取得超級(jí)用戶(hù)權(quán)限、收集目標(biāo)主機(jī)資料信息，尋求本地權(quán)限提升的機(jī)會(huì)。這樣不停的進(jìn)行信息收集分析、權(quán)限提升的結(jié)果形成了整個(gè)的滲透測(cè)試過(guò)程。2.1.2）測(cè)試內(nèi)容本項(xiàng)目滲透測(cè)試包括但不限于以下內(nèi)容：測(cè)試大類(lèi)測(cè)試項(xiàng)測(cè)試目的身份驗(yàn)證用戶(hù)注冊(cè)檢查用戶(hù)注冊(cè)功能可能涉及的安全問(wèn)題

類(lèi)用戶(hù)登錄檢查用戶(hù)登錄功能可能涉及的安全問(wèn)題修改密碼檢查用戶(hù)修改密碼功能可能涉及的安全問(wèn)題密碼重置檢查忘記密碼、找回密碼、密碼重置功能可能涉及的安全問(wèn)題驗(yàn)證碼繞過(guò)檢測(cè)驗(yàn)證碼機(jī)制是否合理，是否可以被繞過(guò)用戶(hù)鎖定功能測(cè)試用戶(hù)鎖定功能相關(guān)的安全問(wèn)題會(huì)話(huà)管理類(lèi)Cookie重放攻擊檢測(cè)目標(biāo)系統(tǒng)是否僅依靠cookie來(lái)確認(rèn)會(huì)話(huà)身份，從而易受到cookie回放攻擊會(huì)話(huà)令牌分析Cookie具有明顯含義，或可被預(yù)測(cè)、可逆向，可被攻擊者分析出cookie結(jié)構(gòu)會(huì)話(huà)令牌泄露測(cè)試會(huì)話(huà)令牌是否存在泄露的可能會(huì)話(huà)固定攻擊測(cè)試目標(biāo)系統(tǒng)是否存在固定會(huì)話(huà)的缺陷跨站請(qǐng)求偽造檢測(cè)目標(biāo)系統(tǒng)是否存在CSRF漏洞訪(fǎng)問(wèn)控制類(lèi)功能濫用測(cè)試目標(biāo)系統(tǒng)是否由于設(shè)計(jì)不當(dāng)，導(dǎo)致合法功能非法利用垂直權(quán)限提升測(cè)試可能出現(xiàn)垂直權(quán)限提升的情況水平權(quán)限提升測(cè)試可能出現(xiàn)水平權(quán)限提升的情況輸入處理類(lèi)SQL注入檢測(cè)目標(biāo)系統(tǒng)是否存在SQL注入漏洞文件上傳檢測(cè)目標(biāo)系統(tǒng)的文件上傳功能是否存在缺陷，導(dǎo)致可以上傳非預(yù)期類(lèi)型和內(nèi)容的文件任意文件下載檢測(cè)目標(biāo)系統(tǒng)加載/下載文件功能是否可以造成任意文件下載問(wèn)題XML注入測(cè)試目標(biāo)系統(tǒng)-是否存在XML注入漏洞目錄穿越測(cè)試目標(biāo)系統(tǒng)是否存在目錄穿越漏洞SSRF檢測(cè)目標(biāo)系統(tǒng)是否存在服務(wù)端跨站請(qǐng)求偽造漏洞本地文件包含測(cè)試目標(biāo)站點(diǎn)是否存在LFI漏洞遠(yuǎn)程文件包含測(cè)試目標(biāo)站點(diǎn)是否存在RFI漏洞遠(yuǎn)程命令/代碼執(zhí)行測(cè)試目標(biāo)系統(tǒng)是否存在命令/代碼注入漏洞反射型跨站腳本檢測(cè)目標(biāo)系統(tǒng)是否存在反射型跨站腳本漏洞存儲(chǔ)型跨站腳本檢測(cè)目標(biāo)系統(tǒng)是否存在存儲(chǔ)型跨站腳本漏洞DOM-based跨站腳本檢測(cè)目標(biāo)系統(tǒng)是否存在DOM-based跨站腳本漏洞服務(wù)端URL重定向檢查目標(biāo)系統(tǒng)是否存在服務(wù)端URL重定向漏洞信息泄露類(lèi)errorcode測(cè)試目標(biāo)系統(tǒng)的錯(cuò)誤處理能力，是否會(huì)輸出詳盡的錯(cuò)誤信息StackTraces測(cè)試目標(biāo)系統(tǒng)是否開(kāi)啟了StackTraces調(diào)試信息敏感信息盡量收集目標(biāo)系統(tǒng)的敏感信息第三方應(yīng)用類(lèi)中間件測(cè)試目標(biāo)系統(tǒng)是否存在jboss、weblogic、tomcat等中間件CMS測(cè)試目標(biāo)系統(tǒng)是否存在dedecms、phpcms等CMS測(cè)試方式透測(cè)試服務(wù)根據(jù)測(cè)試的位置不同可以分為現(xiàn)場(chǎng)測(cè)試和遠(yuǎn)程測(cè)試；根據(jù)測(cè)試的方法不同分為黑盒測(cè)試和白盒測(cè)試兩類(lèi)；現(xiàn)場(chǎng)測(cè)試是指經(jīng)過(guò)用戶(hù)授權(quán)后，測(cè)試人員到達(dá)用戶(hù)工作現(xiàn)場(chǎng)或接入用戶(hù)工作內(nèi)網(wǎng)，根據(jù)用戶(hù)的期望測(cè)試的目標(biāo)直接接入到用戶(hù)的辦公網(wǎng)絡(luò)甚至業(yè)務(wù)網(wǎng)絡(luò)中。這種測(cè)試的好處就在于免去了測(cè)試人員從外部繞過(guò)防火墻、入侵保護(hù)等安全設(shè)備的工作。一般用于檢測(cè)內(nèi)部威脅源和路徑。遠(yuǎn)程測(cè)試與現(xiàn)場(chǎng)測(cè)試相反，測(cè)試人員無(wú)需到達(dá)客戶(hù)現(xiàn)場(chǎng)或接入用戶(hù)內(nèi)部網(wǎng)絡(luò)，直接從互聯(lián)網(wǎng)訪(fǎng)問(wèn)用戶(hù)的某個(gè)接入到互聯(lián)網(wǎng)的系統(tǒng)并進(jìn)行測(cè)試即可。這種測(cè)試往往是應(yīng)用于那些關(guān)注門(mén)戶(hù)站點(diǎn)和互聯(lián)網(wǎng)應(yīng)用的用戶(hù)，主要用于檢測(cè)外部威脅源和路徑。黑盒測(cè)試是指測(cè)試人員對(duì)除目標(biāo)系統(tǒng)的IP或域名以外的信息一無(wú)所知的情況下對(duì)系統(tǒng)發(fā)起的測(cè)試工作，這種方式可以較好的模擬黑客行為，了解外部惡意用戶(hù)可能對(duì)系統(tǒng)帶來(lái)的威脅。白盒測(cè)試則是指測(cè)試人員通過(guò)用戶(hù)授權(quán)獲取了部分信息的情況下進(jìn)行的測(cè)試，如：目標(biāo)系統(tǒng)的帳號(hào)、配置甚至源代碼。這種情況用戶(hù)模擬并檢測(cè)內(nèi)部的惡意用戶(hù)可能為系統(tǒng)帶來(lái)的威脅。交付成果（示例）滲透測(cè)試服務(wù)成果交付包括但不限于：《滲透測(cè)試方案》、《滲透測(cè)試報(bào)告》、《滲透測(cè)試復(fù)測(cè)報(bào)告》。滲透測(cè)試前必須提交《滲透測(cè)試方案》，并經(jīng)用戶(hù)方確認(rèn)。滲透測(cè)試后必須編制《滲透測(cè)試報(bào)告》，內(nèi)容至少包括：編號(hào)、用例、過(guò)程、工具、路徑、薄弱環(huán)節(jié)（位置、描述）等，通過(guò)必要的圖示方式，呈現(xiàn)風(fēng)險(xiǎn)點(diǎn)和風(fēng)險(xiǎn)鏈路視圖。在實(shí)施完現(xiàn)場(chǎng)滲透測(cè)試后，應(yīng)提交相應(yīng)的整改建議，配合用戶(hù)方制定整改方案并配置實(shí)施，在完成整改后對(duì)整改結(jié)果是否合規(guī)進(jìn)行復(fù)測(cè)和評(píng)估。在完成回歸測(cè)試服務(wù)后，出具《滲透測(cè)試復(fù)測(cè)報(bào)告》，并經(jīng)過(guò)用戶(hù)方簽字確認(rèn)。報(bào)告文檔示例如下

文檔信息項(xiàng)目名稱(chēng)安全檢測(cè)項(xiàng)目文檔名稱(chēng)安全檢測(cè)項(xiàng)目滲透測(cè)試報(bào)告文檔編號(hào)文件類(lèi)型項(xiàng)目文檔密級(jí)商業(yè)秘密創(chuàng)建人版本審核人審核日期批準(zhǔn)人批準(zhǔn)日期接收方接收日期保密申明版權(quán)說(shuō)明文檔修訂版本日期修改人員描述審核人員1.0摘要經(jīng)XX授權(quán)，XX公司于20xx年xx月xx日至20xx年xx月xx日對(duì)XX進(jìn)行了安全滲透測(cè)試。經(jīng)測(cè)試該門(mén)戶(hù)網(wǎng)站采用XX技術(shù)進(jìn)行開(kāi)發(fā)部署，測(cè)試過(guò)程中發(fā)現(xiàn)多處安全問(wèn)題需要及時(shí)進(jìn)行修復(fù)。滲透測(cè)試結(jié)果及風(fēng)險(xiǎn)分布圖如下：嚴(yán)重問(wèn)題：x個(gè)中等問(wèn)題：x個(gè)輕度問(wèn)題：x個(gè)安全風(fēng)險(xiǎn)匯總?cè)缦?威脅級(jí)別數(shù)量安全問(wèn)題名稱(chēng)嚴(yán)重問(wèn)題x個(gè)SQL注入x個(gè)任意SQL語(yǔ)句執(zhí)行x個(gè)密碼弱口令x個(gè)敏感信息讀取中等問(wèn)題x個(gè)文件上傳漏洞

x個(gè)敏感信息泄露輕度問(wèn)題x個(gè)CSRF跨站偽造請(qǐng)求漏洞類(lèi)型測(cè)試結(jié)果如下示例：測(cè)試分類(lèi)測(cè)試項(xiàng)測(cè)試結(jié)果WEB安全SQL注入存在跨站腳本攻擊（XSS）通過(guò)XML外部實(shí)體（XXE）注入通過(guò)跨站點(diǎn)偽造請(qǐng)求（CSRF）通過(guò)服務(wù)器端請(qǐng)求偽造（SSRF）通過(guò)任意文件上傳通過(guò)任意文件下載或讀取通過(guò)任意目錄遍歷通過(guò).svn/.git源代碼泄露通過(guò)信息泄露通過(guò)CRLF注入通過(guò)命令執(zhí)行注入存在URL重定向通過(guò)Json劫持通過(guò)第三方組件安全通過(guò)本地/遠(yuǎn)程文件包含通過(guò)任意代碼執(zhí)行存在Struts2遠(yuǎn)程命令執(zhí)行通過(guò)Spring遠(yuǎn)程命令執(zhí)行存在反序列化命令執(zhí)行通過(guò)業(yè)務(wù)邏輯安全用戶(hù)名枚舉通過(guò)用戶(hù)密碼枚舉通過(guò)用戶(hù)弱口令通過(guò)會(huì)話(huà)標(biāo)志固定攻擊存在平行越權(quán)訪(fǎng)問(wèn)通過(guò)垂直越權(quán)訪(fǎng)問(wèn)通過(guò)未授權(quán)訪(fǎng)問(wèn)通過(guò)驗(yàn)證碼缺陷通過(guò)中間件安全中間件配置缺陷通過(guò)中間件弱口令通過(guò)Webloigc反序列化命令執(zhí)行通過(guò)Jboss反序列化命令執(zhí)行通過(guò)Websphere反序列化命令執(zhí)行通過(guò)Jenkins反序列命令執(zhí)行通過(guò)JBoss遠(yuǎn)程代碼執(zhí)行通過(guò)文件解析代碼執(zhí)行通過(guò)

測(cè)試分類(lèi)測(cè)試項(xiàng)測(cè)試結(jié)果服務(wù)器安全域傳送漏洞通過(guò)Redis未授權(quán)訪(fǎng)問(wèn)通過(guò)MangoDB未授權(quán)訪(fǎng)問(wèn)通過(guò)操作系統(tǒng)弱口令通過(guò)數(shù)據(jù)庫(kù)弱口令通過(guò)本地權(quán)限提升通過(guò)已存在的腳本木馬通過(guò)應(yīng)用防護(hù)軟硬件缺陷通過(guò)整體而言，系統(tǒng)在本次滲透測(cè)試實(shí)施期間的安全風(fēng)險(xiǎn)狀況為“嚴(yán)重狀態(tài)”。（系統(tǒng)安全風(fēng)險(xiǎn)狀況等級(jí)的含義及說(shuō)明詳見(jiàn)附錄A）。項(xiàng)目信息委托單位信息單位名稱(chēng)XX委托項(xiàng)目名稱(chēng)XX安全檢測(cè)項(xiàng)目單位地址郵政編碼傳真聯(lián)系人聯(lián)系電話(huà)聯(lián)系人E-MAIL測(cè)評(píng)單位信息單位名稱(chēng)XX單位地址XX單位網(wǎng)址郵政編碼傳真聯(lián)系人聯(lián)系電話(huà)聯(lián)系人E-MAIL參與本次測(cè)試小組成員有：項(xiàng)目概述測(cè)試目的通過(guò)本項(xiàng)目的成功實(shí)施，在堅(jiān)持科學(xué)、客觀(guān)、公正原則的基礎(chǔ)上，全面、完整地了解當(dāng)前XX門(mén)戶(hù)網(wǎng)站的安全狀況，分析系統(tǒng)所面臨的各種風(fēng)險(xiǎn)，模擬攻擊者可能利用的漏洞，根據(jù)測(cè)試結(jié)果發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題，并對(duì)嚴(yán)重的問(wèn)題提出加固的建議。本次測(cè)試預(yù)期達(dá)到的目標(biāo)為：發(fā)現(xiàn)授權(quán)滲透測(cè)試目標(biāo)系統(tǒng)的安全漏洞針對(duì)發(fā)現(xiàn)的漏洞提供加固方案及防護(hù)建議測(cè)試范圍本次滲透測(cè)試的范圍如下：序號(hào)名稱(chēng)備注1XXhttp://123...測(cè)試依據(jù)安全測(cè)試服務(wù)將參考下列規(guī)范進(jìn)行工作。信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范(GB/T20984-2007)信息技術(shù)信息安全管理實(shí)用規(guī)則(GB/T19716-2005)(ISO/IEC17799:2000)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)(ISACA)OWASPOWASP_Testing_Guide_v3OWASPOWASP_Dev