下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、1 Web安全测试技术方案1.1 测试的目标更好的发现当前系统存在的可能的安全隐患,避免发生危害性的安全事件更好的为今后系统建设提供指导和有价值的意见及建议1.2 测试的范围本期测试服务范围包含如下各个系统:Web系统:1.3 测试的内容WEB应用针对网站及WEB系统的安全测试,我们将进行以下方面的测试:Web 服务器安全漏洞Web 服务器错误配置SQL 注入XSS(跨站脚本)CRLF 注入目录遍历文件包含输入验证认证逻辑错误Google Hacking密码保护区域猜测字典攻击特定的错误页面检测脆弱权限的目录危险的 HTTP 方法(如: PUT、 DELETE)1.4 测试的流程方案制定部分:
2、获取到客户的书面授权许可后,才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流,并得到客户的认同。在测试实施之前,让客户对安全测试过程和风险知晓,使随后的正式测试流程都在客户的控制下。信息收集部分:这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具( AWVS、 burpsuite 、Nmap等)进行收集。测试实施部分:在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web应用),此阶段如果成功的话,可能获得普通权限。安全测试人员可能用到
3、的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。此过程将循环进行,直到测试完成。最后由安全测试人员清除中间数据。分析报告输出:安全测试人员根据测试的过程结果编写直观的安全测试服务报告。内容包括:具体的操作步骤描述;响应分析以及最后的安全修复建议。下图是更为详细的步骤拆分示意图:1.5 测试的手段根据安全测试的实际需求,采取自动化测试与人工检测与审核相结合的方式,大大的减少了自动化测试过程中的误报问题。常用工具列表自动化扫描工具:AWVS、 OWASP ZAP、
4、 Burpsuite等端口扫描、服务检测:Nmap、THC-Amap等密码、口令破解:Johntheripper、 HASHCAT、 Cain 等漏洞利用工具:MetasploitFramework等应用缺陷分析工具:Burpsuite、 Sqlmap 等1.6 测试的风险规避在安全测试过程中,虽然我们会尽量避免做影响正常业务运行的操作,也会实施风险规避的计策, 但是由于测试过程变化多端,安全测试服务仍然有可能对网络、系统运行造成一定不同程度的影响,严重的后果是可能造成服务停止,甚至是宕机。比如渗透人员实施系统权限提升操作时,突遇系统停电,再次重启时可能会出现系统无法启动的故障等。因此,我们会在安全测试前与客户详细讨论渗透方案,并采取如下多条策略来规避安全测试带来的风险:需要客户规避的风险备份策略为防范安全测试过程中的异常问题,测试的目标系统需要事先做一个完整的数据备份,以便在问题发生后能及时恢复工作。对银行转帐、电信计费、电力调度等不可接受可能风险的系统的测试,可以采取对目标副本进行渗透的方式加以实施。这样就需要完整的复制目标系统的环境:硬件平台、 操作系统、 应用服务、程序软件、业务访问等;然后对该副本再进行安全测试。应急策略测试过程中,如果目标系统出现无响应、中断或
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2023九年级语文上册 第二单元 综合性学习 君子自强不息教案 新人教版
- 统编版《道德与法治》六年级下册第2课《学会宽容》精美课件(第2课时)
- 专题5.11 相交线与平行线章末八大题型总结(拔尖篇)(人教版)(解析版)
- 砂(砂石)换土回填单元工程质量评定表
- 海上船抛石方筑堤施工工法
- 七年级数学上册数学 6.3余角、补角、对顶角(三大题型)(解析版)
- 结构力学优化算法:遗传算法(GA):遗传算法的收敛性分析
- 结构力学数值方法:谐波平衡法:高级谐波平衡法技术
- 2019年良品铺子公司财务分析总结性研究报告
- 2023华宁县国有资本运营集团有限责任公司招聘试题及答案解析
- 埋弧焊施工要领
- 部编版初中语文七至九年级语文教材各册人文主题与语文要素汇总一览表合集单元目标能力点
- 矩形容器计算(ABCDE型通用)V1.1
- 新生儿坏死性小肠结肠炎
- 公共建筑节能计算
- GB/T 20657-2022石油天然气工业套管、油管、钻杆和用作套管或油管的管线管性能公式及计算
- 新苏教版六年级下册《科学》全一册全部课件(共16课)
- GB/T 39892-2021汽车产品缺陷线索报告及处理规范
- JB-T 10767-2022 装载机铜基湿式粉末冶金摩擦片 技术规范
- GB/T 20041.1-2015电缆管理用导管系统第1部分:通用要求
- 2.2神经调节的基本方式课件2022-2023学年高二上学期生物人教版选择性必修1
评论
0/150
提交评论