证券行业网站及WEB交易系统安全评估方案

上海交通大学信息安全效劳技术争论试验室 XX证券公司网站及WEB交易交易系统安全评估方案上海交通大学信息安全效劳技术争论试验室日期：2023522日名目\l“_TOC_250038“概述 1\l“_TOC_250037“评估对象 1\l“_TOC_250036“评估目标 1\l“_TOC_250035“评估范围 1\l“_TOC_250034“评估方法 2\l“_TOC_250033“评估原则 2\l“_TOC_250032“标准性原则 2\l“_TOC_250031“可控性原则 3\l“_TOC_250030“完整性原则 3\l“_TOC_250029“最小影响原则 3\l“_TOC_250028“保密原则 3\l“_TOC_250027“扫描策略 3\l“_TOC_250026“资源需求 4\l“_TOC_250025“人员需求 4\l“_TOC_250024“评估工具 4\l“_TOC_250023“网站及WEB交易系统评估工具 4\l“_TOC_250022“数据库弱点评估工具 4\l“_TOC_250021“网站效劳器漏洞评估工具 5\l“_TOC_250020“渗透测试评估工具 5\l“_TOC_250019“其它资源 5\l“_TOC_250018“检测打算 5\l“_TOC_250017“网站及WEB交易系统评估 6\l“_TOC_250016“检测对象 6\l“_TOC_250015“检测内容 6\l“_TOC_250014“数据库弱点评估 6\l“_TOC_250013“检测对象 6\l“_TOC_250012“检测内容 7\l“_TOC_250011“网站效劳器漏洞评估 7\l“_TOC_250010“检测对象 7\l“_TOC_250009“检测内容 7\l“_TOC_250008“渗透测试 7\l“_TOC_250007“测试范围 8\l“_TOC_250006“渗透测试流程 9\l“_TOC_250005“信息收集 9\l“_TOC_250004“权限提升 9\l“_TOC_250003“工程治理 10\l“_TOC_250002“工程组成员 10\l“_TOC_250001“主要内容与打算 10\l“_TOC_250000“提交文档 10 上海交通大学信息安全效劳技术争论试验室 1010页概述评估对象XX证券有限责任公司〔XX〕WEB交易系统〔“://bocichina/“://bocichina。XX证券的网站是公司宣传及开展网上证券业务的重要平台，目前有sun6—7oracleWEB交Windows平台的效劳器。上海交通大学信息安全效劳技术争论试验室〔LabofInformationSecurityServic，以下简称“试验室”或“LIS〕XXWEB析，并对安全加固供给意见与建议等。评估目标XXWEB交易系统的当前安全状况〔安全隐患需要进展相关扫描和安全弱点分析，最终工作目标为：WEB交易可能存在的安全漏洞；全漏洞；通过基于网络的扫描工具及人工分析检测网站效劳器可能存在的安全漏洞；XXWEB交易系统安全的重要参考依据。评估范围此次评估检测的对象为：WEB交易应用系统；后台数据库；网站效劳器。评估方法此次评估的工作方法如下：确定检测对象；拟定检测方案；用自动检测工具及人工分析检测受测对象存在的安全漏洞；通过渗透测试方法分析检测结果，并给出适宜的建议。评估原则XXWEB交易系统评估工程高效、顺当地进展，我们的评估工作将遵循以下原则进展。标准性原则LISS供给信息安全效劳的一贯原则。括：ISO17799ISO13335ISO15408/GB18336SSE-CMMISO13569〔GB17895－1999〕这些标准和商定包括：CVE公共漏洞和暴露PMI工程治理方法学可控性原则LISSXX证券，以便到达XX证券对评估工作的可控性。这些可控性包括：人员可控性LISSXXXX证券的认可。并确保工程组成员工作的连续性。工具可控性LISSXX证券。确保不使用对现有网络的运行和业务的正常有重大影响的工具。工程过程可控性PMI工程治理方法学，突出“沟通治理过程的可控性。完整性原则LISSXX证券的要求。最小影响原则LISSXX证券网站及交常供给产生显著影响。保密原则LISSXX证券签署的相关保密协议。扫描策略为降低评估工作的安全风险，本次评估承受如下扫描策略：扫描时机避开业务顶峰期；选用适宜的扫描工具；重要数据、效劳器等应备份；最小资源开销；使用最的安全漏洞库；影响，尽量使用其它方法进展信息收集。资源需求评估工程组评估工程师、受测机构帮助人员、检测工具及检测对象。人员需求受测机构帮助人员：评估网站及交易系统时，需要系统安全治理员、应用系统治理员备份重要数据，供给相应测试帐号，确定扫描工具接口；图，帮助在网络中确定并接入扫描工具。评估工具WEB交易系统评估工具应用平台应用平台操作系统网站、WEBsunsolaris评估工具MatriXay2.0数据库弱点评估工具应用平台数据库

平台类型 评估工具ShadowDatabaseScannerMSSQLAppDetectivePro数据 Oracle ShadowDatabaseScanner库库DAS-DBSCA网站效劳器漏洞评估工具应用平台应用平台评估工具NESSUS效劳器600渗透测试评估工具渗透阶段渗透阶段评估工具目的Curl、nmap、FWtester、hping3、搜预攻击阶段根本网络信息猎取索引擎WebProxy、SPIKEProxy、webscarab、对Web预攻击阶段ParosProxyAbsintheEthereal分析webscan、fuzzerMetasploitFramework基于通用设备、数据库、攻击阶段操作系统和应用的攻击攻击阶段NBSI2SQL攻击阶段X-Scan、Brutus、Hydra、溯雪口令猜解其它资源分析预备阶段所猎取的资料可知，实施安全评估还需如下信息：网络拓扑图及主要检测对象〔如效劳器〕的IP地址。有评估结果等。检测打算WEB交易系统的应用安全评估、数据库弱点评估、网络设备漏洞的安全评估，以及基于此的渗透测试。WEB交易系统评估LISS承受特地的webWEB应用弱点评估。其原理是承受攻击技术的原理和渗透性测试的方法，对WEB应用进展深度漏洞探测，可帮助应用开发者和治理者了解应用系统存在的WEB应用效劳。检测对象XXWEB交易系统检测内容WEB弱点评估范围包括：SQL注入网页木马表单绕过跨站脚本登录口令破解源码泄露CGI弱点ActiveX弱点数据库弱点评估全漏洞，提高数据库的安全。检测对象XX证券网站数据库和相关支持数据库。检测内容数据库弱点扫描工程包括：检查数据库是否承受弱密码或默认密码；检查数据库中具有各种操作权限的用户列表；对数据库规章扫描；对数据库补丁扫描；对数据库对象扫描。网站效劳器漏洞评估针对网站效劳器的安全评估一般分为两个步骤进展。第一步利用现有的优秀的扫描结果进展分析由评估小组的工程师对网络设备安全检查列表某些项进展法找到的安全漏洞即消退漏报状况。检测对象XX证券网站效劳器。检测内容网站效劳器的检测内容如下：现有版本、补丁状况脆弱口令开放的端口与效劳可远程访问或执行的权限缓冲区溢出安全漏洞CGI安全漏洞渗透测试渗透测试是一种从攻击者的角度来对主机系统的安全程度进展安全评估的手国际/国内信息安全业界的认可和重视。为了解本工程主机系统的安全现状，在一个重要组成局部。测试范围XXLISS进展渗透测试的必要条件。LISS将尽最大努力做到使XX证券对渗透测试全部细节和风险的知晓、全部过程都在XX证券的掌握下进展LISS的专业效劳与黑客攻击入侵的本质不同。LISS承诺不会对授权范围之外的主机及网络设备进展测试和模拟攻击。注：全部攻击测试将在XX证券的授权和监视下进展。渗透测试流程信息收集信息收集分析几乎是全部入侵攻击的前提/前奏/根底信息收集分析就是完成的这个任务。通过信息收集分析，攻击者〔测试者〕可以的几率。信息收集的方法包括主机网络扫描、端口扫描、操作类型判别、应用判别、账号扫描、配置判别等等。入侵攻击常用的工具包括nmap、nessus、ISSInternetScanner等，有时，操作系统中内置的很多工具〔例如telnet〕也可以成为格外有效的攻击入侵武器。权限提升通过收集信息和分析，存在两种可能性，其一是目标系统存在重大弱点：测这些不停的信息收集分析、权限升级的结果构成了整个渗透测试过程的输出。工程治理工程组成员工程组长：银鹰工程组成员：周宁、张竞、王京峰、施勇主要内容与打算类型地