DB21-T 3660-2022 信息系统渗透测试技术规范

21SpecificationforpenetrationtesttechnologyofinformationI 2 2 2 3 3 3 3 4 4 9 9 9 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定本文件起草单位：北方实验室（沈阳）股份有限公司、辽宁省检验检测认证张建宇、石绍群、王明俊、牛晓雷、何永建、李开、曹明、张东志、邱学思、叶归口管理部门通讯地址：辽宁省工业和信息化厅（沈阳市皇姑区北陵大街45-2号），联系电话：联系电话81信息系统渗透测试技术规范稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性漏洞扫描vulnerabilitys2好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据安全配置错误securityconf注：包括网络服务、平台、web服务器、应用服务器、数据库、框架、自定义的代码、预安装的虚拟机、容器、存4.1测试目的4.2测试原则4.2.1标准性原则应按照GB/T31509和GB/T36627的流程进行4.2.2全面性原则在规定的测试范围内，应覆盖指定目标信息系统中的全部服务及每个服务中的全部功能。4.2.3分级原则4.2.4可控性原则4.2.5最小影响原则4.2.6保密性原则34.2.7及时性原则4.3测试形式4.3.2渗透测试实施的组织形式包括但不限于个5.1测试环境及准备要求a)渗透测试应提供与生产环境相似的仿真环境，以便进行部分可能影响数据完整性及稳定性的侵入式测试，测试方在生产环境中应避免使用可能导致数据完整性及业务稳定性遭受破b)委托方应预先准备功能与数据均完备的账号以保证测试的有效性，若完成测试涉及必要的专有设备，如控件、证书等软硬件设备，委托方应给予必要的配合d)通过仿真环境测试时，委托方应提f)测试环境提供方应及时与测试方同步系统更新、维护及测试计划等信息，以保证测试环境稳g)如测试对象为应用接口，测试环境提供方应向测试方提供足以用来构造并完成接口请求的说5.2测试工具及准备要求b)测试方应使用获得网络安全主管部门或行业主管部门认可的漏洞扫描工具进行测试，同时提c)委托方应建立运行类测试工具审核机制，对测试方所提供的运行类测试工具d)对于新引入的测试工具，应建立严格的审批及测试机制，确保不存在木马后门程序或严重的软件缺陷；对于已引入的渗透测试工具，应重点关注测试工具本身的安全性，及时4e)对于完成当次渗透测试后不再使用的运行类测试工具应在测试完成前彻底删除，防止运行类f)测试方应从在信息系统中上传或部署运行类测试工具开始，到通知测试环境提供方并彻底删针对测试过程的具体记录方式应以测试相关方的协商意愿g)在未经授权的情况下，严禁使用公开的平台进行存在数据外发的漏洞利用测试，如采用公开的平台测试远程命令执行、XXS和SQL注入等漏洞。5.3测试对象a)主机操作系统：Windows、Solab)数据库系统：MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、达梦等数据库管理系统；c)中间件：Weblogic、Tomcat、IIS、JBoss、Apachee)网络安全设备：防火墙、入侵检测系统、交f)重要数据：业务数据、管理数据、个人隐私数据、日志数据等敏感数据。5.4测试内容和方法渗透测试过程中使用到的基本测试内容和方法描述见5.4.2至5.4.16，测试方应结合测试对象类型“可”要求选择测试内容。5.4.2指纹识别c)应对数据库进行指纹识别测试，方法包5.4.3漏洞扫描a)应进行网络安全漏洞扫描测试，发现目标主机或网络，搜集目标信息，根据搜集到的信息判5b)应进行主机漏洞扫描测试，从系统用户的角度检测计算机系统的漏洞，包括应用软件、运行c)应进行数据库漏洞扫描测试，通过自动扫描和手动输入发现数据库，经授权扫描、非授权扫描、弱口令、渗透攻击等检测方式发现数据库安全隐患，形成修复建议报告提供给d)可基于网络安全漏洞研究和挖掘的能力构建安全漏洞库，并使用漏洞库进行定向漏洞扫描，c)应通过测试确认不存在能够使用弱口令登录a)应对下载的文件类型、目录做合理严a)应通过测试确认系统不存在可以直接部署网页脚本的文件上b)应通过测试确认存储上传文件的Web应用服务不存b)应禁止使用第三方运维的域名解析记录平台进行带外注入测试；65.4.9跨站脚本c)应禁止使用第三方运维的跨站脚本反向代理d)可通过测试确认输入过滤及输出编5.4.10跨站请求伪造b)如使用Referer校验，则应通过测试确认不存在域内的CSRF漏洞；e)如使用图形验证码，则应通过测试确认图形验证码不可f)可通过测试确认目标系统无法进行JSON和JSONP劫持攻击。5.4.11失效的身份认证5.4.12失效的访问控制5.4.13安全配置错误75.4.14已知漏洞组件使用5.4.15业务逻辑缺陷b)应针对Cookie内的参数进行修改，5.4.16信息泄露a)应测试连接数据库的账号密码所在的配置文件，查看配置文件中的账号密码是否被加题；常见异常处理包括不存在的URL、非法字符e)应测试存储在服务器上的配置文件、日志、源代码5.5测试流程漏洞探测漏洞验证权限提升内网漏洞探测漏洞验证权限提升内网渗透信息整理痕迹清理报告输出信息收集85.5.3漏洞探测5.5.3.1漏洞探测方法5.5.3.2漏洞探测内容5.5.4漏洞验证行试验，成功后再应用于目标中。漏洞的验证方法：：a)自动化验证：结合自动化扫描工具对系统进行扫描，提b)手工验证：根据公开资源进行手动验d)登录猜解：尝试猜解登录口的账号密码等信f)公开资源的利用：exploit-db、渗透测试代码/网站、通用或缺省口令、厂5.5.5权限提升5.5.7信息整理9b)整理收集信息：整理渗透测试过程中收集的信告编写。渗透测试报告包括执行层面的内容、技术层面a)执行层面的内容：业务说明、测试策略方法说明、项目风险6.1.2用户应对渗透测试所有细节和风险知晓、所有过程都在委托方的控制下进6.1.3委托方和测试方应签署书面的甲乙双方渗透测试授权书，格式a)测试方应针对渗透测试工作各个相关角色明确定义和职b)测试方应针对渗透测试工作各个相关角色制定明确的操作规程；d)委托方应对渗透测试方的身份、背景及专业资质进行审查，并f)委托方和测试方均应设置紧急联系人,以便渗透测试授权书2、甲方允许乙方在测试过程中对所获取的信息进3、甲方相关技术人员应当全程参与漏洞扫描工作，漏洞扫描所涉及甲方的设备上4、若甲方要求乙方提供相关测试工具，则甲方不可使用乙方所提供的工具从事危害网络5、甲方在未经乙方允许的情况下，不得泄露乙方在工作过程中所使用的工2）对被测主机上的各种系统服务和应用程序造成异常运行或终4）漏洞扫描期间，网络的处理能力和传输速度可能7、甲方在进行渗透测试之前针对渗透测试可能对系统带来的影响和后果已做好充8、乙方在授权许可范围内开展渗透测试活动而对甲方产生任何不良后果，甲方同意承担相