渗透测试-方案

渗透测试1.概述1.1实施目的信息安全越来越成为保障企业网络的稳定运行的重要元素。以对公司的应用系统及内网进行安全测试，以便于发现潜在的漏洞，提供整改报告，同时可以检查公司的安全监控及安全防护能力。2．远程渗透测试介绍2.1 渗透测试原理 渗透测试过程主要依据渗透测试人员已经掌握的安全漏洞信息，模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。2.2 渗透测试流程 方案制定 并且将实施范围、方法、时间、人员等具体的方案与XXX进行交流，并得到XXX的认同。 信息收集 这包括：操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。可以采用一些商业安全评估系统（如：ISS、极光等）；免费的检测工具（NESSUS、Nmap等）进行收集。 测试实施 在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行：操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试（如：Web应用），此阶段如果成功的话，可能获得普通权限。 渗透测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺利完成工程。在获取到普通权限后，尝试由普通权限提升为管理员权限，获得对系统的完全控制权。一旦成功控制一台或多台服务器后，测试人员将利用这些被控制的服务器作为跳板，绕过防火墙或其他安全设备的防护，从而对内网其他服务器和客户端进行进一步的渗透。此过程将循环进行，直到测试完成。最后由渗透测试人员清除中间数据。 报告输出 渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。内容包括：具体的操作步骤描述；响应分析以及最后的安全修复建议。 安全复查 渗透测试完成后，渗透测试人员协助技术创新群对已发现的安全隐患进行修复。修复完成后，渗透测试工程师对修复的成果再次进行远程测试复查，对修复的结果进行检验，确保修复结果的有效性。  下图是更为详细的步骤拆分示意图：开始开始《渗透测试初稿》确定渗透测试范围(域名/IP/其他信息)《渗透测试初稿》确定渗透测试范围(域名/IP/其他信息)研究/修改渗透测试方案（数据备份与风险规避）研究/修改渗透测试方案（数据备份与风险规避）准备阶段N准备阶段N是否通过是否通过YY《渗透测试方案》《渗透测试方案》渗透测试报备渗透测试报备信息采集信息采集应用层网络层系统层应用层网络层系统层应用平台信息域名信息端口扫描应用平台信息域名信息端口扫描版本信息网络架构信息补丁扫描版本信息网络架构信息补丁扫描Google信息Google信息应用漏洞渗透网络漏洞渗透系统漏洞渗透漏洞基础库应用漏洞渗透网络漏洞渗透系统漏洞渗透漏洞基础库NN存在漏洞存在漏洞YY获取访问权限获取访问权限提升控制权限提升控制权限渗透阶段渗透阶段扩充资源远程控制信息截取扩充资源远程控制信息截取保存数据保存数据《信息采集记录》《信息采集记录》《渗透测试记录》原始数据提交《渗透测试报告》提交《渗透测试报告》NN是否加固是否加固YY加固跟踪配合技术创新群加固加固阶段加固跟踪配合技术创新群加固加固阶段完成加固N完成加固N提交《渗透复查报告》结束Y提交《渗透复查报告》结束Y2.3 渗透测试的风险规避 在渗透测试过程中，虽然会尽量避免做影响正常业务运行的操作，也会实施风险规避的计策，但是由于测试过程变化多端，渗透测试服务仍然有可能对网络、系统运行造成一定不同程度的影响，严重的后果是可能造成服务停止，甚至是宕机。比如渗透人员实施系统权限提升操作时，突遇系统停电，再次重启时可能会出现系统无法启动的故障等。 因此，在渗透测试前与开发和运维详细讨论渗透方案，并采取如下多条策略来规避渗透测试带来的风险：（1）先从测试环境开始测试，通过测试环境发现生产环境的问题。测试环境发生问题不会影响到业务。（2）时间策略： 为减轻渗透测试造成的压力和预备风险排除时间，一般的安排测试时间在业务量不高的时间段。 （3）测试策略： 为了防范测试导致业务的中断，可以不做一些拒绝服务类的测试。非常重要的系统不建议做深入的测试，避免意外崩溃而造成不可挽回的损失；具体测试过程中，最终结果可以由测试人员做推测，而不实施危险的操作步骤加以验证等。 （4）备份策略： 为防范渗透过程中的异常问题，测试的目标系统需要事先做一个完整的数据备份，以便在问题发生后能及时恢复工作。 对于核心业务系统等不可接受可能风险的系统的测试，可以采取对目标副本进行渗透的方式加以实施。这样就需要完整的复制目标系统的环境：硬件平台、操作系统、应用服务、程序软件、业务访问等；然后对该副本再进行渗透测试。 （5）应急策略： 测试过程中，如果目标系统出现无响应、中断或者崩溃等情况，应立即中止渗透测试，并配合开发和运维进行修复处理等。在确认问题、修复系统、防范此故障再重演后，经系统负责人同意才能继续进行其余的测试。（6）沟通策略： 测试过程中，确定测试人员和开发和运维人员的联系方式，便于及时沟通并解决工程中的难点。 2.4 渗透测试的收益 渗透测试是站在实战角度对目标系统进行的安全评估，可以让公司的相关人员直观的了解到自己网络、系统、应用中隐含的漏洞和危害发生时可能导致的损失。 通过我们的渗透测试，可以获得如下增益：  安全缺陷： 从黑客的角度发现公司安全体系中的漏洞（隐含缺陷），协助公司明确目前降低风险的措施，为下一步的安全策略调整指明了方向。 测试报告： 能帮助公司以实际案例的形式来说明目前安全现状，从而增加公司对信息安全的认知度，提升公司人员的风险危机意识，从而实现内部安全等级的整体提升。 交互式渗透测试： 渗透测试人员在约定的范围、时间内实施测试，而公司的其他人员可以与此同时进行相关的检测监控工作，测试自己能不能发现正在进行的渗透测试过程，从中真实的评估自己的检测预警能力。 2.5 渗透工具介绍 渗透测试人员模拟黑客入侵攻击的过程中使用的是操作系统自带网络应用、管理和诊断工具、黑客可以在网络上免费下载的扫描器、远程入侵代码和本地提升权限代码以及自主开发的安全扫描工具。 这些工具经过全球数以万计的程序员、网络管理员、安全专家以及黑客的测试和实际应用，在技术上已经非常成熟，实现了网络检查和安全测试的高度可控性，能够根据使用者的实际要求进行有针对性的测试。但是安全工具本身也是一把双刃剑，为了做到万无一失，将针对系统可能出现的不稳定现象提出相应对策，以确保服务器和网络设备在进行渗透测试的过程中保持在可信状态。 2.5.1 系统自带工具 以下列出了主要应用到的系统自带网络应用、管理和诊断工具，渗透测试工程师将用到但不限于只使用以下系统命令进行渗透测试。工具名称风险等级获取途径主要用途存在风险描述风险控制方法Ping无系统自带获取主机信息无无Telnet无系统自带传输文件无无ftp无系统自带获取网络信息无无Tracert无系统自带建立连接无无netuse无系统自带查看系统用户无无echo无系统自带文件输出无无nslookup无系统自带获取主机信息无无Edge无系统自带获取web信息无无2.5.2 自由软件和渗透测试工具 以下列出了渗透测试中常用到的网络扫描工具、网络管理软件等工具，这些工具都是网络上的免费软件。某某渗透测试工程师将可能利用到但是不限于利用以下工具。远程溢出代码和本地溢出代码需要根据具体系统的版本和漏洞情况来选择，由于种类繁杂并且没有代表性，在这里不会一一列出。工具名称风险等级获取途径主要用途存在风险描述风险控制方法Nmap无获取主机开发的服务、端口信息无无Nessus低对主机进行漏洞扫描可能造成网络资源占用如果主机负载过高，停止扫描Retina低对主机进行漏洞扫描可能造成网络资源占用如果主机负载过高，停止扫描nc无端口连接工具无无Chrome无下载安装获得web信息无无Burpsuit无下载安装攻击web应用集成平台无无Wireshark无下载安装用于抓取流量无无3．项目实施计划 根据项目服务目标和项目服务内容，可将整个项目包括项目沟通、方案制定、信息收集、测试实施、报告输出和安全复查，项目实施计划表如下：项目阶段实施内容启动阶段项目启动协调会实施阶段方案制定根据信息系统实际情况制定详细测试方案、测试方法以及测试工具的准备。信息收集利用公开域查询、扫描、嗅探以及社会工程学等手段收集信息系统大量信息，从中提取有用信息；或者运维组提供资产信息。测试实施对前期收集的敏感或者漏洞信息进行利用，控制部分服务器；然后利用被控制的服务器作为跳板，绕过安全设备的限制，对内网进行渗透。报告输出对前期的工作和测试成果进行汇总，并制定安全修复建议，最后编写相应报告。安全复查修复完成后对修复结果进行复查，检测修复效果，并完成复查报告。验收阶段项目验收报告会3.1 方案制定 渗透工程师根据信息系统的规模和实际业务情况制定详细的渗透测试方案，包括测试方法的选择、测试工具的准备已经分析测试过程中可能带来的风险分析和相应的风险规避方法。3.2 信息收集 在信息收集阶段的测试方法、测试内容以及可能存在的风险情况如下表所示：测试方法测试内容风险等级存在风险风险控制方法公开域信息收集通过whois、nslookup、baidu、google等方法搜索公司信息系统的公开域信息。无无无扫描对公司信息系统暴露在互联网的网络、系统、主机和应用程序进行远程漏洞扫描，并对扫描结果进行分析。低特别是对应用程序的扫描会使用海量的测试用例进行测试，可能消耗服务器一定性能。终止扫描社会工程学利用社会工程学原理获取信息系统敏感信息无无无3.3 测试实施 测试实施阶段主要分为两个阶段。在第一阶段，渗透测试人员根据前期收集的信息对公司直接暴露在互联网系统进行测试，利用目前前沿的入侵技术控制部分目标系统。第一阶段完成后，渗透测试人员与开发和运维相关人员进行沟通。第一阶段的测试对象和测试方法以及可能出现的风险情况如下表：测试对象测试方案风险等级存在风险风险控制方法网络设备口令破解、嗅探中口令破解可能会消耗服务器性能停止破解远程溢出类高可能出现未知错误而宕机重启设备协议攻击，如路由欺骗、二层攻击等高可能导致路由错误，导致正常路由不可达重启设备无线网络攻击中口令破解可能会消耗服务器性能停止破解VPN攻击中口令破解可能会消耗服务器性能停止破解WEB统层漏洞，如口令破解、嗅探、远程溢出以及已知木马后门探测和利用等中口令破解可能会消耗服务器性能停止破解WEB系统认证授权类，包括暴力攻击、认证不充分、会话定置、会话期限不充分、凭证/会话预测和授权不充分等中口令破解可能会消耗服务器性能停止破解WEB系统命令执行类，包括LDAP注入、SSI注入、SQL注入、Xpath注入、操作系统命令、格式字符串攻击和缓冲区溢出等高注入类测试可能导致页面或数据篡改测试时实时沟通，对于可能出现篡改时事先做好数据备份，并制定数据恢复方案WEB系统逻辑攻击类，包括功能滥用和拒绝服务等高拒绝服务可能导致服务器反应缓慢停止测试WEB系统客户端攻击类，包括跨站点脚本编制和内容电子欺骗等  高对服务器无影响无WEB系统信息泄露类，包括可预测资源定位、路径遍历、目录索引和信息泄露等中   无无APPAPP脱壳低无无经过第一阶段的测试，如果控制部分服务器后则进入第二阶段的测试；如果第一阶段测试的目标服务器处于较安全的状态，测试人员未能控制部分部分服务器，则选取一台外网服务器，假设已被控制，再进入第二阶段测试。 第二阶段的测试对象和测试方法以及可能出现的风险情况如下表：测试对象测试方案风险等级存在风险风险控制方法内网服务器口令破解、嗅探中口令破解可能会消耗服务器性能；网络嗅探可能出现短暂断网现象 停止破解或者停止嗅探远程溢出类高可能出现未知错误而宕机重启服务器内网客户端口令破解、嗅探中口令破解可能会影响网络性能；网络嗅探可能出现短暂断网现象停止破解或者停止嗅探远程溢出类高可能出现未知错误而宕机重启客户端3.4 报告