《【9A文】渗透测试方案》由会员分享,可在线阅读,更多相关《【9A文】渗透测试方案(16页珍藏版)》请在金锄头文库上搜索。
1、【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 四川品胜安全性渗透测试 测 试 方 案 成都国信安信息产业基地有限公司 二一五年十二月 【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 目录 目 录 .1 1.引言2 1.1.项目概述.2 2.测试概述2 2.1.测试简介.2 2.2.测试依据.2 2.3.测试思路.3 2.3.1.工作思路.3 2.3.2.管理和技术要求.3 2.4.人员及设备计划.4 2.4.1.人员分配.4 2.4.2.测试设备.4 3.测试范围5 4.测试内容8 5.测试方法10 5.1.渗透测试原理.10 5.2.
2、渗透测试的流程.10 5.3.渗透测试的风险规避.11 5.4.渗透测试的收益.12 5.5.渗透测试工具介绍.12 6.我公司渗透测试优势14 6.1.专业化团队优势.14 6.2.深入化的测试需求分析.14 6.3.规范化的渗透测试流程.14 6.4.全面化的渗透测试内容.14 7.后期服务16 【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 1.引言 1.1.项目概述 四川品胜品牌管理有限公司,是广东品胜电子股份有限公司的全资子公司。 依托遍布全国的 5000 家加盟专卖店,四川品牌管理有限公司打造了线上线下 结合的 O2O 购物平台“品胜当日达” ,建立了“
3、线上线下同价” 、 “千城 当日达” 、 “向日葵随身服务”三大服务体系,为消费者带来便捷的 O2O 购物 体验。 20RR 年,品胜在成都温江科技工业园建立起国内首座终端客户体验馆, 以人性化的互动设计让消费者亲身感受移动电源、数码配件与生活的智能互联, 为追求高品质产品性能的用户带来便捷、现代化的操作体验。 伴随业务的发展,原有的网站、系统、APP 等都进行了不同程度的功能更 新和系统投产,同时,系统安全要求越来越高,可能受到的恶意攻击包括:信 息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、 “黑客” 入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、APT 攻击等。这些攻击
4、 完全能造成信息系统瘫痪、重要信息流失。 【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 2.测试概述 2.1.测试简介 本次测试内容为渗透测试。 渗透测试:是为了证明网络防御按照预期计划正常运行而提供的一种机制。 2.2.测试依据 GB/T25000.51-20RR软件工程软件产品质量要与评价(SQuaRE)商 业现货(COTS)软件产品的质量要求和测试细则 GB/T16260-20RR软件工程产品质量 GB/T18336-20RR信息技术安全技术信息技术安全性评估准则 GB/T20274-20RR信息系统安全保障评估框架 客户提出的测试需求 2.3.测试思路 2
5、.3.1. 工作思路 本次系统测试包括功能测试、性能测试、安全测试以及文档测试,本次测 试工作将系统测试对象进行控制点划分,依据项目建设要求和相关标准、规范 进行项目系统测试,并加强系统各阶段测试和实施过程控制,完善项目目标控 【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 制手段。 2.3.2. 管理和技术要求 1、 管理要求 为了保证本项目系统综合测试的顺利进行,将对项目实施事前评审和测试 过程监督测试管理工作,合理分配项目人员负责相应的测试工作。 2、 技术要求 为了保证本项目系统测试的顺利进行,在本次测试过程中将采取如下技术 要求: 渗透测试:验证系统设计的
6、安全性是否满足客户需求。 【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 2.4.人员及设备计划 2.4.1. 人员分配 本次测试组织机构和人员分配如下: 项目管理组:杨方秀 现场测试组:屈绯颖、王洪斌、 项目文档组:龚正 质量控制组:杨方秀、屈绯颖 2.4.2. 测试设备 序号设备或仪器名称功能描述数量产地备注 1. TestManager 测试管理 1 IBM 2. ClearQuest 缺陷跟踪 1 IBM 3. Rscan 用于安全测试的漏洞扫描 工具 1 4. 测试机测试机 2 国产 【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档
7、】 3.测试范围 检测分类检测范围 SQL 注入 RSS 跨站脚本 网页挂马 缓冲区溢出 文件上传漏洞 源代码泄露 目录浏览、遍历漏洞 数据库泄露 弱口令 越权访问 会话验证绕过 管理地址泄露 舆论信息检测 中间件漏洞 支付安全验证 Web 网站 其他(如:写入控制,防止批量添加数据,是否使用验 证码等) SQL 注入 缓冲区溢出 文件上传漏洞 目录浏览、遍历漏洞 SOA 服务端 弱口令 【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 越权访问 会话验证绕过 中间件漏洞 其他(如:写入控制,防止批量添加数据,是否使用验 证码等) 组件安全检测 代码安全检测 内存安全
8、检测 数据安全检测 业务安全检测 APP 源生客户端 应用管理检测 身份鉴别 自主访问控制 强制访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 服务器 数据库数据安全 【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 4.测试内容 检测项目检测子类类型扫描测试渗透测试 前端 SSO 单点登录网站 WEB 后端 SSO 单点登录网站 WEB 当日达商城 4 期前台网站 WEB 当日达商城 3 期后台 WEB 当日达商城 4 期后台 WEB 砸金蛋活动 WEB 砸金蛋后台 WEB 一元云购 WEB 月月抢神器 WEB 滴滴贴膜 WEB 快递查
9、询(PC 端) WEB 快递查询(移动端) WEB 中国人民不断电 WEB 当日达 千城通 APP APP 千机团网站+APP WEB+APP IMS 进销存系统 WEB 进销存 IMS 进销存管理工具 WEB 路由器固件升级后台管理 WEB 品胜云 3.2(手机版) APP 品胜云 2.0(IPAD 版) APP 品胜云 3.3(手机版) APP 品胜云 品胜商城 1.0 APP 【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 文件上传服务 WebService 当日达商城 3 期后台服务 WebService 千城通 APP 调用服务 WebService 品胜
10、云服务 WebService 品胜商城服务 WebService WEB 服务 路由器固件升级服务 WebService CentOS6.564bit(3 台) Server CentOS7.064bit(3 台) Server WindowsServer20RR(2 台) Server 服务器 WindowsServer20RR(8 台) Server 【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 5.测试方法 针对本次项目的测试范围和内容,我公司采取渗透测试的方法对整体系统 进行安全性评估。 5.1.渗透测试原理 渗透测试过程主要依据现今已经掌握的安全漏洞信息
11、,模拟黑客的真实攻 击方法对系统和网络进行非破坏性质的攻击性测试,这里说有的渗透测试行为 将在客户的书面明确授权和监督下进行。 5.2.渗透测试的流程 方案制定: 在获取到业主单位的书面授权许可后,才进行渗透测试的实施。并且将实 施范围、方法、时间、人员等具体的方案与业主单位进行交流,并得到业主单 位的认同。在测试实施之前,会做到让业主单位对渗透测试过程和风险的知晓, 使随后的正式测试流程都在业主单位的控制下。 信息收集: 这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系 统提供的服务识别等。可以采用一些商业安全评估系统(如:ISS、极光等) ; 免费的检测工具(NESSUS、
12、Nmap 等)进行收集 测试实施: 【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作 系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web 应用) ,此 阶段如果成功的话,可能获得普通权限。渗透测试人员可能用到的测试手段有: 扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等, 用于测试人员顺利完成工程。在获取到普通权限后,尝试由普通权限提升为管 理员权限,获得对系统的完全控制权。一旦成功控制一台或多台服务器后,测 试人员将利用这些被控制的服务器作为跳板,绕过防火墙或其他安全设备
13、的防 护,从而对内网其他服务器和客户端进行进一步的渗透。此过程将循环进行, 直到测试完成。最后由渗透测试人员清除中间数据。 报告输出: 渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。内容包 括:具体的操作步骤描述;响应分析以及最后的安全修复建议 安全复查: 渗透测试完成后,某某协助业主单位对已发现的安全隐患进行修复。修复 完成后,渗透测试工程师对修复的成果再次进行远程测试复查,对修复的结果 进行检验,确保修复结果的有效性。 5.3.渗透测试的风险规避 在渗透测试过程中,虽然我们会尽量避免做影响正常业务运行的操作,也 会实施风险规避的计策,但是由于测试过程变化多端,渗透测试服务仍然有
14、可 能对网络、系统运行造成一定不同程度的影响,严重的后果是可能造成服务停 止,甚至是宕机。比如渗透人员实施系统权限提升操作时,突遇系统停电,再 【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 次重启时可能会出现系统无法启动的故障等。因此,我们会在渗透测试前与业 主单位详细讨论渗透方案,并采取如下多条策略来规避渗透测试带来的风险。 时间策略: 为减轻渗透测试造成的压力和预备风险排除时间,一般的安排测试时间在 业务量不高的时间段。 测试策略: 为了防范测试导致业务的中断,可以不做一些拒绝服务类的测试。非常重 要的系统不建议做深入的测试,避免意外崩溃而造成不可挽回的损失;
15、具体测 试过程中,最终结果可以由测试人员做推测,而不实施危险的操作步骤加以验 证等。 备份策略: 为防范渗透过程中的异常问题,测试的目标系统需要事先做一个完整的数 据备份,以便在问题发生后能及时恢复工作。对于核心业务系统等不可接受可 能风险的系统的测试,可以采取对目标副本进行渗透的方式加以实施。这样就 需要完整的复制目标系统的环境:硬件平台、操作系统、应用服务、程序软件、 业务访问等;然后对该副本再进行渗透测试。 应急策略: 测试过程中,如果目标系统出现无响应、中断或者崩溃等情况,我们会立 即中止渗透测试,并配合业主单位技术人员进行修复处理等。在确认问题、修 复系统、防范此故障再重演后,经业主
16、单位方同意才能继续进行其余的测试。 沟通策略: 测试过程中,确定测试人员和业主单位方配合人员的联系方式,便于及时 【MeiWei_81 重点借鉴文档】 【MeiWei_81 重点借鉴文档】 沟通并解决工程中的难点。 5.4.渗透测试的收益 渗透测试是站在实战角度对业主单位指定的目标系统进行的安全评估,可 以让业主单位相关人员直观的了解到自己网络、系统、应用中隐含的漏洞和危 害发生时可能导致的损失。通过我们的渗透测试,可以获得如下增益。 安全缺陷: 从黑客的角度发现业主单位安全体系中的漏洞(隐含缺陷) ,协助业主单位 明确目前降低风险的措施,为下一步的安全策略调整指明了方向。 测试报告: 能帮助业主单位以实际案例的形式来说明目前安全现状,从而增加业主单 位对信息安全的认知度,提升业主单位人员的风险危机意识,从而实现内部安 全等级的整体提升。 交互式渗透测试: 我们的渗透测试人员在业主单位约定的范围、时间内
