版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
四川品胜安全性渗透测试
测
试
方
案成都国信安信息产业基地有限公司二0一五年十二月精选精选TOC\o"1-5"\h\z目 录 1\o"CurrentDocument"引言 2\o"CurrentDocument"项目概述 2\o"CurrentDocument"测试概述 2\o"CurrentDocument"测试简介 2\o"CurrentDocument"测试依据 2测试思路 3工作思路 3\o"CurrentDocument"管理和技术要求 3\o"CurrentDocument"人员及设备计划 4\o"CurrentDocument"人员分配 4\o"CurrentDocument"测试设备 4测试范围 5测试内容 8\o"CurrentDocument"测试方法 10\o"CurrentDocument"渗透测试原理 10\o"CurrentDocument"渗透测试的流程 10\o"CurrentDocument"渗透测试的风险规避 11\o"CurrentDocument"渗透测试的收益 12\o"CurrentDocument"渗透测试工具介绍 12\o"CurrentDocument"我公司渗透测试优势 14\o"CurrentDocument"专业化团队优势 14\o"CurrentDocument"深入化的测试需求分析 14\o"CurrentDocument"规范化的渗透测试流程 14\o"CurrentDocument"全面化的渗透测试内容 14\o"CurrentDocument"后期服务 16引言项目概述四川品胜品牌管理有限公司,是广东品胜电子股份有限公司的全资子公司。依托遍布全国的5000家加盟专卖店,四川品牌管理有限公司打造了线上线下结合的O2O购物平台一一“品胜•当日达”,建立了“线上线下同价”、“千城当日达”、“向日葵随身服务”三大服务体系,为消费者带来便捷的O2O购物体验。2011年,品胜在成都温江科技工业园建立起国内首座终端客户体验馆,以人性化的互动设计让消费者亲身感受移动电源、数码配件与生活的智能互联,为追求高品质产品性能的用户带来便捷、现代化的操作体验。伴随业务的发展,原有的网站、系统、APP等都进行了不同程度的功能更新和系统投产,同时,系统安全要求越来越高,可能受到的恶意攻击包括:信息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、APT攻击等。这些攻击完全能造成信息系统瘫痪、重要信息流失。测试概述测试简介本次测试内容为渗透测试。渗透测试:是为了证明网络防御按照预期计划正常运行而提供的一种机制。测试依据派GB/T25000.51-2010《软件工程软件产品质量要与评价(SQuaRE)商业现货(COTS)软件产品的质量要求和测试细则》※GB/T16260-2006《软件工程产品质量》※GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》※GB/T20274-2006《信息系统安全保障评估框架》※客户提出的测试需求测试思路工作思路本次系统测试包括功能测试、性能测试、安全测试以及文档测试,本次测试工作将系统测试对象进行控制点划分,依据项目建设要求和相关标准、规范进行项目系统测试,并加强系统各阶段测试和实施过程控制,完善项目目标控制手段。管理和技术要求管理要求为了保证本项目系统综合测试的顺利进行,将对项目实施事前评审和测试过程监督测试管理工作,合理分配项目人员负责相应的测试工作。技术要求为了保证本项目系统测试的顺利进行,在本次测试过程中将采取如下技术要求:※渗透测试:验证系统设计的安全性是否满足客户需求。人员及设备计划人员分配本次测试组织机构和人员分配如下:项目管理组:杨方秀现场测试组:屈绯颖、王洪斌、项目文档组:龚正质量控制组:杨方秀、屈绯颖测试设备序号设备或仪器名称功能描述数量产地备注1.TestManager测试管理1IBM2.ClearQuest缺陷跟踪1IBM3.xscan用于安全测试的漏洞扫描工具14.测试机测试机2国产3.3.测试范围精选精选检测分类检测范围Web网站SQL注入XSS跨站脚本网页挂马缓冲区溢出文件上传漏洞源代码泄露目录浏览、遍历漏洞数据库泄露弱口令越权访问会话验证绕过管理地址泄露舆论信息检测中间件漏洞支付安全验证其他(如:写入控制,防止批量添加数据,是否使用验证码等)SOA服务端SQL注入精选精选缓冲区溢出文件上传漏洞目录浏览、遍历漏洞弱口令越权访问会话验证绕过中间件漏洞其他(如:写入控制,防止批量添加数据,是否使用验证码等)APP源生客户端组件安全检测代码安全检测内存安全检测数据安全检测业务安全检测应用管理检测服务器身份鉴别自主访问控制强制访问控制可信路径安全审计剩余信息保护入侵防范
恶意代码防范资源控制数据库数据安全精选精选4.4.测试内容精选精选检测项目检测子类类型扫描测试渗透测试当日达前端SSO单点登录网站WEBVV后端SSO单点登录网站WEBVV当日达商城4期前台网站WEBVV当日达商城3期后台WEBVV当日达商城4期后台WEBVV砸金蛋活动WEBV砸金蛋后台WEBV一元云购WEBV月月抢神器WEBV滴滴贴膜WEBV快递查询(PC端)WEBV快递查询(移动端)WEBV中国人民不断电WEBVV干城通APPAPPV千机团网站+APPWEB+APPVV进销存IMS进销存系统WEBVVIMS进销存管理工具WEBVV品胜云路由器固件升级后台管理WEBVV
品胜云3.2(手机版)APPV品胜云2.0(IPAD版)APPV品胜云3.3(手机版)APPV品胜商城1.0APPVWEB服务文件上传服务WebServiceVV当日达商城3期后台服务WebServiceVV干城通APP调用服务WebServiceVV品胜云服务WebServiceVV品胜商城服务WebServiceVV路由器固件升级服务WebServiceVV服务器CentOS6.564bit(3台)ServerVCentOS7.064bit(3台)ServerVWindowsServer2012(2台)ServerVWindowsServer2008(8台)ServerV测试方法针对本次项目的测试范围和内容,我公司采取渗透测试的方法对整体系统进行安全性评估。渗透测试原理渗透测试过程主要依据现今已经掌握的安全漏洞信息,模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试,这里说有的渗透测试行为将在客户的书面明确授权和监督下进行。渗透测试的流程A方案制定:在获取到业主单位的书面授权许可后,才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与业主单位进行交流,并得到业主单位的认同。在测试实施之前,会做到让业主单位对渗透测试过程和风险的知晓,使随后的正式测试流程都在业主单位的控制下。>信息收集:这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。可以采用一些商业安全评估系统(如:ISS、极光等);免费的检测工具(NESSUS、Nmap等)进行收集>测试实施:在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web应用),此阶段如果成功的话,可能获得普通权限。渗透测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。一旦成功控制一台或多台服务器后,测试人员将利用这些被控制的服务器作为跳板,绕过防火墙或其他安全设备的防护,从而对内网其他服务器和客户端进行进一步的渗透。此过程将循环进行,直到测试完成。最后由渗透测试人员清除中间数据。>报告输出:渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。内容包括:具体的操作步骤描述;响应分析以及最后的安全修复建议>安全复查:渗透测试完成后,某某协助业主单位对已发现的安全隐患进行修复。修复完成后,渗透测试工程师对修复的成果再次进行远程测试复查,对修复的结果进行检验,确保修复结果的有效性。渗透测试的风险规避在渗透测试过程中,虽然我们会尽量避免做影响正常业务运行的操作,也会实施风险规避的计策,但是由于测试过程变化多端,渗透测试服务仍然有可能对网络、系统运行造成一定不同程度的影响,严重的后果是可能造成服务停止,甚至是宕机。比如渗透人员实施系统权限提升操作时,突遇系统停电,再次重启时可能会出现系统无法启动的故障等。因此,我们会在渗透测试前与业主单位详细讨论渗透方案,并采取如下多条策略来规避渗透测试带来的风险。>时间策略:为减轻渗透测试造成的压力和预备风险排除时间,一般的安排测试时间在业务量不高的时间段。>测试策略:为了防范测试导致业务的中断,可以不做一些拒绝服务类的测试。非常重要的系统不建议做深入的测试,避免意外崩溃而造成不可挽回的损失;具体测试过程中,最终结果可以由测试人员做推测,而不实施危险的操作步骤加以验证等。>备份策略:为防范渗透过程中的异常问题,测试的目标系统需要事先做一个完整的数据备份,以便在问题发生后能及时恢复工作。对于核心业务系统等不可接受可能风险的系统的测试,可以采取对目标副本进行渗透的方式加以实施。这样就需要完整的复制目标系统的环境:硬件平台、操作系统、应用服务、程序软件、业务访问等;然后对该副本再进行渗透测试。>应急策略:测试过程中,如果目标系统出现无响应、中断或者崩溃等情况,我们会立即中止渗透测试,并配合业主单位技术人员进行修复处理等。在确认问题、修复系统、防范此故障再重演后,经业主单位方同意才能继续进行其余的测试。>沟通策略:测试过程中,确定测试人员和业主单位方配合人员的联系方式,便于及时沟通并解决工程中的难点。渗透测试的收益渗透测试是站在实战角度对业主单位指定的目标系统进行的安全评估,可以让业主单位相关人员直观的了解到自己网络、系统、应用中隐含的漏洞和危害发生时可能导致的损失。通过我们的渗透测试,可以获得如下增益。A安全缺陷:从黑客的角度发现业主单位安全体系中的漏洞(隐含缺陷),协助业主单位明确目前降低风险的措施,为下一步的安全策略调整指明了方向。>测试报告:能帮助业主单位以实际案例的形式来说明目前安全现状,从而增加业主单位对信息安全的认知度,提升业主单位人员的风险危机意识,从而实现内部安全等级的整体提升。>交互式渗透测试:我们的渗透测试人员在业主单位约定的范围、时间内实施测试,而业主单位人员可以与此同时进行相关的检测监控工作,测试自己能不能发现正在进行的渗透测试过程,从中真实的评估自己的检测预警能力。渗透测试工具介绍渗透测试人员模拟黑客入侵攻击的过程中使用的是操作系统自带网络应用、管理和诊断工具、黑客可以在网络上免费下载的扫描器、远程入侵代码和本地提升权限代码以及某某自主开发的安全扫描工具。这些工具经过全球数以万计的程序员、网络管理员、安全专家以及黑客的测试和实际应用,在技术上已经非常成熟,实现了网络检查和安全测试的高度可控性,能够根据使用者的实际要求进行有针对性的测试。但是安全工具本身也是一把双刃剑,为了做到万无一失,我们也将针对系统可能出现的不稳定现象提出相应对策,以确保服务器和网络设备在进行渗透测试的过程中保持在可信状态。我公司渗透测试优势专业化团队优势我公司有渗透测试优势专业化的渗透测试团队。渗透测试服务开展相对较早,经验非常丰富,曾经参与过很多大型网站的渗透测试工作。渗透测试团队会根据项目的规模有选择性的申请部分漏洞研发团队专家参与到项目中,共同组成临时的渗透测试小组,面向用户提供深层次、多角度、全方位的渗透测试深入化的测试需求分析在渗透测试开展前期,会从技术层面(网络层、系统层、应用层)着手与用户进行广泛沟通,对用户当前的一些重要资料进行采集、汇总、梳理、掌握,以便为渗透测试工作地开展奠定良好的基础。除了技术层面以外,某某也将会根据用户渗透测试的目标以及提出的需求着重对于用户的业务层面进行分析,并且将分析结果应用于渗透测试当中,做到明确所有需求的基础上准确而深入的贯彻用户的意图,将渗透测试的目标与业务系统连续性运行保障紧密的结合起来。规范化的渗透测试流程渗透测试流程分为准备、渗透以及加固三个基本阶段,在每个阶段都会生成阶段文档,最终在完成渗透测试整个流程以后将会由项目经理将三个阶段的文档进行整理、汇总、提交给用
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 西南林业大学《水文学与水资源》2021-2022学年第一学期期末试卷
- 医院药剂科发展规划
- 西华大学《水电站》2021-2022学年第一学期期末试卷
- 大学英语连锁快餐茶饮医疗品牌
- 2023年7月11620会计实务专题期末答案
- 西昌学院《中国画技法研究》2022-2023学年第一学期期末试卷
- 西北大学《高等量子力学》2023-2024学年第一学期期末试卷
- 第十一单元跨学科实践活动10调查我国航天科技领域中新型材料、新型能源的应用教学设计-2024-2025学年九年级化学人教版下册
- 2024年国家宪法日暨法制宣传周活动纪实
- 医院培训课件:《骨科深静脉血栓预防与护理》
- 磨工技师理论-(试题及答案)
- NB/T 10745-2021选煤用浮选药剂通用技术条件
- GB/T 39167-2020电阻点焊及凸焊接头的拉伸剪切试验方法
- GB/T 38540-2020信息安全技术安全电子签章密码技术规范
- 《HSK标准教程3》第5课课件
- 中医防治三高(高血压高血脂高血糖)课件
- 最新-白内障科普讲座课件
- 《男女导尿术》课件共
- 结算审计资料交接单
- 2023版初中化学跨学科实践活动(化学)
- 内科学教学课件:皮质醇增多症
评论
0/150
提交评论