渗透测试风险及事项_v1.1

1、本文档所包含的信息是受东方电气和上海帕科所签署的“保密信息交换协议”保护和限制。在未事先得到东方电气和上海帕科书面同意之前，本文档全部或部分内容不得用于其他任何用途或交与第三方。_ 东方电气项目渗透测试方案_ 渗透测试方案第 2 页共 7 页目录第 1 章? 概述 . 4? 1.1.? 测试范围 . 4? 1.2.? 测试方式 . 4? 1.3.? 参考标准 . 4? 第 2 章? 测试阶段描述 . 5? 2.1.? 信息收集及工具扫描阶段 . 5? 2.1.1.? 阶段描述 . 5 ? 2.1.2.? 测试规范 . 5 ? 2.1.3.? 测试风险说明. 5 ? 2.1.4.? 风险规避措施

2、. 6 ? 2.2.? 漏洞利用及风险评估阶段 . 6? 2.2.1.? 阶段描述 . 6 ? 2.2.2.? 测试规范 . 6 ? 2.2.3.? 测试风险说明. 7 ? 2.2.4.? 风险规避措施. 7 ? 渗透测试方案第 3 页共 7 页文档信息表文档基本信息项目名称东方电气项目文档名称渗透测试服务规范创建者马振创建时间2012/9/12 文档修订信息版本修正章节日期作者变更记录1.0 全部2012/9/12 马振创建渗透测试方案第 4 页共 7 页第 1章 概述1.1. 测试范围应用系统名称应用系统ip 1.2. 测试方式测试方式有如下两种：n外部测试模拟外部攻击者对东方电气应用应用

3、系统进行攻击尝试，通常以突破外部防线（ internet入口防火墙形成的）进入应用系统为目标，测试的发起位置是外部 internet。n内部测试模拟企移动内部攻击者对目标应用系统进行攻击尝试，通常以突破移动内部防线 (内部防火墙形成的 )进入应用系统区域为目标，测试的发起位置是 office。本次渗透测试仅在东方电气外部进行测试，因此，主要以外部测试为主1.3. 参考标准owasp testing guidenist sp800-115osstm(open-source security testing methodology) 渗透测试方案第 5 页共 7 页第 2章 测试阶段描述2.1.

4、信息收集及工具扫描阶段2.1.1. 阶段描述n进行必要的信息收集，如东方电气应用的ip 地址、dns 记录、软件版本信息、 ip 段和网络拓扑等n进行端口扫描及服务识别（nmap）n进行系统层漏洞扫描（ nessus ）n进行 web 应用层漏洞扫描（ wvs、ibm_appscan、hp_webinspect ）2.1.2. 测试规范n关闭 ddos、cc 等可能导致服务器无法正常工作的扫描策略2.1.3. 测试风险说明n如果应用系统存在一些文件写入方面的漏洞（如put 上传漏洞），扫描时可能会自动写入临时文件进行测试，但不对现有的文件进行修改、删除等操作n如果网站存在一些数据插入的功能模块

5、（如留言板、论坛发帖及新建帐号等） ，可能在扫描时插入大量测试数据n如果网站存在一些数据修改及删除的功能模块（如编辑留言、删贴或删帐号等） ，可能在扫描时提交修改和删除的操作n在扫描时，由于提交一定数量的http 请求，可能会引起服务器负载升高，如果服务器本身就负载较高，可能会导致服务器无响应n某些安全监控设备会可能会对扫描行为发出告警渗透测试方案第 6 页共 7 页2.1.4. 风险规避措施n建议在东方电气的测试环境或模拟环境中进行工具扫描n移动生产环境风险规避措施如下工具扫描尽量安排在非工作空闲时间扫描前，建议对应用等相关应用程序和数据库进行备份扫描时，请系统相关负责人进行应用状况监控，出

6、现异常时可以及时中断，也可以通过soc平台的监控功能进行监控扫描后，检查系统运行情况，清理临时文件和临时数据；如果没有权限操作，及时通知系统管理员进行清理（在提交的测试报告中会列出测试中可能留下测试文件和测试数据的地方）n如果不能接受本阶段带来的风险，可以跳过此阶段，但对整体的测试效果有一定影响，如下降低渗透测试效率漏洞测试不完整2.2. 漏洞利用及风险评估阶段2.2.1. 阶段描述n手工提交 http 请求，主要对东方电气应用系统进行漏洞的深度利用测试，评估已发现漏洞对网站带来的真实风险n当获得系统的普通访问权限时，上传测试工具，利用漏洞进行提权测试2.2.2. 测试规范n不使用 ddos、

7、cc 等可能导致服务器无法正常工作的手法渗透测试方案第 7 页共 7 页2.2.3. 测试风险说明n如果东方电气应用系统存在sql 注入等相关数据库方面的漏洞， 可能对数据库进行操作，如读取用户表、创建临时表、利用数据反向连接、执行存储过程等n利用本地缓冲区溢出漏洞提权时，可能会导致服务器无响应n测试中可能会上传一下测试文件，但不会删改已有的正常文件n某些安全监控设备会可能会对测试行为发出告警2.2.4. 风险规避措施n建议在东方电气应用系统测试环境或模拟环境中进行渗透测试n生产环境风险规避措施如下测试前，建议对web 应用程序和数据库进行备份测试时，请系统相关负责人进行应用状况监控，出现异常时可以及时中断测试后，检查系统运行情况，清理临时文件和临时数据；如果没有权限操作，及时通知系统管理员