渗透测试方案_第1页
渗透测试方案_第2页
渗透测试方案_第3页
渗透测试方案_第4页
渗透测试方案_第5页
已阅读5页,还剩13页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

成都国信安信息产业基地有限公司PAGE第3页共16页四川品胜安全性渗透测试测试方案成都国信安信息产业基地有限公司二〇一五年十二月 目录 目录 11. 引言 21.1. 项目概述 22. 测试概述 22.1. 测试简介 22.2. 测试依据 22.3. 测试思路 32.3.1. 工作思路 32.3.2. 管理和技术要求 32.4. 人员及设备计划 42.4.1. 人员分配 42.4.2. 测试设备 43. 测试范围 54. 测试内容 85. 测试方法 105.1. 渗透测试原理 105.2. 渗透测试的流程 105.3. 渗透测试的风险规避 115.4. 渗透测试的收益 125.5. 渗透测试工具介绍 126. 我公司渗透测试优势 146.1. 专业化团队优势 146.2. 深入化的测试需求分析 146.3. 规范化的渗透测试流程 146.4. 全面化的渗透测试内容 147. 后期服务 16人员及设备计划人员分配本次测试组织机构和人员分配如下:项目管理组:杨方秀现场测试组:屈绯颖、王洪斌、项目文档组:龚正质量控制组:杨方秀、屈绯颖测试设备序号设备或仪器名称功能描述数量产地备注TestManager测试管理1IBMClearQuest缺陷跟踪1IBMxscan用于安全测试的漏洞扫描工具1测试机测试机2国产测试范围检测分类检测范围Web网站SQL注入XSS跨站脚本网页挂马缓冲区溢出文件上传漏洞源代码泄露目录浏览、遍历漏洞数据库泄露弱口令越权访问会话验证绕过管理地址泄露舆论信息检测中间件漏洞支付安全验证其他(如:写入控制,防止批量添加数据,是否使用验证码等)SOA服务端SQL注入缓冲区溢出文件上传漏洞目录浏览、遍历漏洞弱口令越权访问会话验证绕过中间件漏洞其他(如:写入控制,防止批量添加数据,是否使用验证码等)APP源生客户端组件安全检测代码安全检测内存安全检测数据安全检测业务安全检测应用管理检测服务器身份鉴别自主访问控制强制访问控制可信路径安全审计剩余信息保护入侵防范恶意代码防范资源控制数据库数据安全测试内容检测项目检测子类类型扫描测试渗透测试当日达前端SSO单点登录网站WEB√√后端SSO单点登录网站WEB√√当日达商城4期前台网站WEB√√当日达商城3期后台WEB√√当日达商城4期后台WEB√√砸金蛋活动WEB√砸金蛋后台WEB√一元云购WEB√月月抢神器WEB√滴滴贴膜WEB√快递查询(PC端)WEB√快递查询(移动端)WEB√中国人民不断电WEB√√千城通APPAPP√千机团网站+APPWEB+APP√√进销存IMS进销存系统WEB√√IMS进销存管理工具WEB√√品胜云路由器固件升级后台管理WEB√√品胜云3.2(手机版)APP√品胜云2.0(IPAD版)APP√品胜云3.3(手机版)APP√品胜商城1.0APP√WEB服务文件上传服务WebService√√当日达商城3期后台服务WebService√√千城通APP调用服务WebService√√品胜云服务WebService√√品胜商城服务WebService√√路由器固件升级服务WebService√√服务器CentOS6.564bit(3台)Server√CentOS7.064bit(3台)Server√WindowsServer2012(2台)Server√WindowsServer2008(8台)Server√测试方法针对本次项目的测试范围和内容,我公司采取渗透测试的方法对整体系统进行安全性评估。渗透测试原理渗透测试过程主要依据现今已经掌握的安全漏洞信息,模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试,这里说有的渗透测试行为将在客户的书面明确授权和监督下进行。渗透测试的流程方案制定:在获取到业主单位的书面授权许可后,才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与业主单位进行交流,并得到业主单位的认同。在测试实施之前,会做到让业主单位对渗透测试过程和风险的知晓,使随后的正式测试流程都在业主单位的控制下。信息收集:这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。可以采用一些商业安全评估系统(如:ISS、极光等);免费的检测工具(NESSUS、Nmap等)进行收集测试实施:在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web应用),此阶段如果成功的话,可能获得普通权限。渗透测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。一旦成功控制一台或多台服务器后,测试人员将利用这些被控制的服务器作为跳板,绕过防火墙或其他安全设备的防护,从而对内网其他服务器和客户端进行进一步的渗透。此过程将循环进行,直到测试完成。最后由渗透测试人员清除中间数据。报告输出:渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。内容包括:具体的操作步骤描述;响应分析以及最后的安全修复建议安全复查:渗透测试完成后,某某协助业主单位对已发现的安全隐患进行修复。修复完成后,渗透测试工程师对修复的成果再次进行远程测试复查,对修复的结果进行检验,确保修复结果的有效性。渗透测试的风险规避在渗透测试过程中,虽然我们会尽量避免做影响正常业务运行的操作,也会实施风险规避的计策,但是由于测试过程变化多端,渗透测试服务仍然有可能对网络、系统运行造成一定不同程度的影响,严重的后果是可能造成服务停止,甚至是宕机。比如渗透人员实施系统权限提升操作时,突遇系统停电,再次重启时可能会出现系统无法启动的故障等。因此,我们会在渗透测试前与业主单位详细讨论渗透方案,并采取如下多条策略来规避渗透测试带来的风险。时间策略:为减轻渗透测试造成的压力和预备风险排除时间,一般的安排测试时间在业务量不高的时间段。测试策略:

为了防范测试导致业务的中断,可以不做一些拒绝服务类的测试。非常重要的系统不建议做深入的测试,避免意外崩溃而造成不可挽回的损失;具体测试过程中,最终结果可以由测试人员做推测,而不实施危险的操作步骤加以验证等。备份策略:为防范渗透过程中的异常问题,测试的目标系统需要事先做一个完整的数据备份,以便在问题发生后能及时恢复工作。对于核心业务系统等不可接受可能风险的系统的测试,可以采取对目标副本进行渗透的方式加以实施。这样就需要完整的复制目标系统的环境:硬件平台、操作系统、应用服务、程序软件、业务访问等;然后对该副本再进行渗透测试。应急策略:测试过程中,如果目标系统出现无响应、中断或者崩溃等情况,我们会立即中止渗透测试,并配合业主单位技术人员进行修复处理等。在确认问题、修复系统、防范此故障再重演后,经业主单位方同意才能继续进行其余的测试。沟通策略:测试过程中,确定测试人员和业主单位方配合人员的联系方式,便于及时沟通并解决工程中的难点。渗透测试的收益渗透测试是站在实战角度对业主单位指定的目标系统进行的安全评估,可以让业主单位相关人员直观的了解到自己网络、系统、应用中隐含的漏洞和危害发生时可能导致的损失。通过我们的渗透测试,可以获得如下增益。安全缺陷:从黑客的角度发现业主单位安全体系中的漏洞(隐含缺陷),协助业主单位明确目前降低风险的措施,为下一步的安全策略调整指明了方向。测试报告:能帮助业主单位以实际案例的形式来说明目前安全现状,从而增加业主单位对信息安全的认知度,提升业主单位人员的风险危机意识,从而实现内部安全等级的整体提升。交互式渗透测试:我们的渗透测试人员在业主单位约定的范围、时间内实施测试,而业主单位人员可以与此同时进行相关的检测监控工作,测试自己能不能发现正在进行的渗透测试过程,从中真实的评估自己的检测预警能力。渗透测试工具介绍渗透测试人员模拟黑客入侵攻击的过程中使用的是操作系统自带网络应用、管理和诊断工具、黑客可以在网络上免费下载的扫描器、远程入侵代码和本地提升权限代码以及某某自主开发的安全扫描工具。这些工具经过全球数以万计的程序员、网络管理员、安全专家以及黑客的测试和实际应用,在技术上已经非常成熟,实现了网络检查和安全测试的高度可控性,能够根据使用者的实际要求进行有针对性的测试。但是安全工具本身也是一把双刃剑,为了做到万无一失,我们也将针对系统可能出现的不稳定现象提出相应对策,以确保服务器和网络设备在进行渗透测试的过程中保持在可信状态。我公司渗透测试优势专业化团队优势我公司有渗透测试优势专业化的渗透测试团队。渗透测试服务开展相对较早,经验非常丰富,曾经参与过很多大型网站的渗透测试工作。渗透测试团队会根据项目的规模有选择性的申请部分漏洞研发团队专家参与到项目中,共同组成临时的渗透测试小组,面向用户提供深层次、多角度、全方位的渗透测试深入化的测试需求分析在渗透测试开展前期,会从技术层面(网络层、系统层、应用层)着手与用户进行广泛沟通,对用户当前的一些重要资料进行采集、汇总、梳理、掌握,以便为渗透测试工作地开展奠定良好的基础。除了技术层面以外,某某也将会根据用户渗透测试的目标以及提出的需求着重对于用户的业务层面进行分析,并且将分析结果应用于渗透测试当中,做到明确所有需求的基础上准确而深入的贯彻用户的意图,将渗透测试的目标与业务系统连续性运行保障紧密的结合起来。规范化的渗透测试流程渗透测试流程分为准备、渗透以及加固三个基本阶段,在每个阶段都会生成阶段文档,最终在完成渗透测试整个流程以后将会由项目经理将三个阶段的文档进行整理、汇总、提交给用户。并且针对过程中遇到的问题向用户进行汇报。某某提供的渗透测试流程特点就在于将渗透准备阶段及安全加固阶段作为两个独立而重

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论