《xx网站应用渗透测试项目技术方案(共32页)》由会员分享,可在线阅读,更多相关《xx网站应用渗透测试项目技术方案(共32页)(32页珍藏版)》请在金锄头文库上搜索。
1、密 级:商业秘密 文档编号:XX渗透测试项目技术方案xx信息技术(北京)股份有限公司2012年10月目 录1 项目概要1.1 项目背景Web应用是网络应用和业务的集成,为所有用户提供方便的信息共享和应用共享。Web业务平台已经在电子商务、企业信息化中得到广泛的应用,企业都纷纷将应用架设在Web平台上,为客户提供更为方便、快捷的服务支持。伴随着这种趋势,入侵者也将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,三分之二的 Web 站点都相当脆弱和易受攻击。为保
2、障xx网站系统对外服务的安全,xx公司将根据具体需求,采用成熟、规范的测试方法和工具对xx的网站应用进行渗透测试评估,以及时发现存在的问题,提出恰当的改进建议,为xx网站应用安全提供保障。1.2 项目目标针对本次项目,xx主要通过渗透测试的方式,发现和总结xx网站应用中可能面临的各类安全风险,并提出针对性的安全改进建议。1.3 项目交付通过本次网站应用渗透测试项目,xx将为xx交付以下成果:n 网站应用安全渗透测试报告系列报告本报告详细记录本次渗透测试的过程、方法、测试结果及结果分析等内容。n 网站应用安全扫描检测报告系列报告本报告主要依据工具扫描的结果对网站系统存在的安全问题予以描述并提出解
3、决建议。1.4 项目原则xx在项目实施全过程将遵循以下项目原则:规范性原则:在项目实施过程中,xx的工作团队采用规范、统一的标准化工作流程和工作方式;项目文档化遵循xx的文档规范,文档的设计将依照国际、国内及行业内部的相关成熟标准和最佳实践。可控性原则:项目实施过程中所采用的工具、方法和过程要经xx的认可,确保项目进度的推进,保证本次项目的可控性。最小影响原则:项目实施应尽可能小地影响系统和网络的正常运行,不能对现有网络的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等)。保密原则:对服务过程中的过程数据和结果数据严格保密,未经授权不泄露给任何单位和个人,不利用此数
4、据进行任何侵害xx的行为。2 测试过程2.1 客户书面授权合法性即客户书面授权委托,并同意实施方案是进行渗透测试的必要条件。渗透测试首先必须将实施方法、实施时间、实施人员等具体的实施方案提交给客户,并得到客户的相应书面委托和授权。本次书面授权应该做到xx对渗透测试所有细节和风险都知晓,所有过程都在xx的控制下进行。这也是专业渗透测试服务与黑客攻击的本质不同。2.2 制定实施方案实施方案应当由我方与xx相关技术人员进行沟通协商。调查了解客户对测试的基本接受情况。内容包括但不限于如下:l 目标系统介绍、重点保护对象及特性。 l 是否允许数据破坏? l 是否允许阻断业务正常运行? l 测试之前是否应
5、当知会相关部门接口人? l 接入方式?外网和内网? l 测试是发现问题就算成功,还是尽可能的发现多的问题? l 渗透过程是否需要考虑社会工程? 在对客户具体情况充分了解的前提下,制定相应的测试流程,安全评估步骤如下:2.3 风险规避 渗透时间和策略为减轻渗透测试对网络和主机的影响,渗透测试时间应尽量安排在业务量不大的时段或晚上。为了防止渗透测试造成网络和主机的业务中断,在渗透测试中不应使用拒绝服务等策略。 系统备份和恢复为了防止在渗透测试过程中出现意外情况,所有评估系统最好在被评估之前做一次完整的系统备份,以便在系统发生灾难后及时恢复。在渗透测试过程中,如果被评估系统没有响应或中断,应立即停止
6、测试工作,与客户人员配合一起分析情况。确定原因后,及时恢复系统,并采取必要的预防措施,确保对系统没有影响,并经客户同意后才可继续进行。 沟通在测试实施过程中,测试人员和客户方人员应当建立直接沟通渠道,并在出现难题的时候保持合理沟通。2.4 信息收集分析信息收集是每一个渗透攻击的前提,通过信息收集可以有针对性的制定模拟攻击测试计划,提高模拟攻击的成功率,同时还可以有效降低攻击测试对系统正常运行的不利影响。 工具收集分析使用nslookup.exe,superscan,x-scan,tracert,namp等探测收集目标主机环境及其所在的网络环境。使用极光、榕基等漏洞扫描器,对目标网络中的主机进行
7、漏洞扫描,并对扫描结果进行分析。使用ethereal、sniffer pro等工具嗅探分析目标网络数据和私有协议交互。 手工收集分析对目标主机环境及其所在网络环境,在工具分析基础上进行手工深入分析。判断是否存在远程利用漏洞和可以利用的敏感信息。 其他手段收集分析可以由客户提供一些特定的资料,以便于我们查找漏洞。或者利用社会工程学或木马、间谍软件等收集有用信息。2.5 渗透测试根据客户设备范围和项目时间计划,并结合前一步信息收集得到的设备存活情况、网络拓扑情况以及扫描得到的服务开放情况、漏洞情况制定计划,确定无误后实施。攻击手段大概有以下几种:l 主机存在重大安全问题,可以远程获取权限。但是这种
8、可能性不大。l 应用系统存在安全问题,如SSH系统可能存在溢出、脆弱口令等问题,严重的可以获取系统权限,轻则获取普通控制权限。 l 网络通信中存在加密薄弱或明文口令。l 同网段或信任主机中存在脆弱主机,通过sniffer监听目标服务器远程口令。2.6 取得权限、提升权限通过初步的信息收集分析和攻击,存在两种可能,一种是目标系统存在重大安全弱点,测试可以直接控制目标系统,但是可能性很小;另一种是目标系统没有远程重大的安全弱点,但是可以获得普通用户权限,这时可以通过普通用户权限进一步收集目标系统信息,并努力获取超级用户权限。2.7 评估报告评估结束后根据分析状况,描述弱点,改进建议,措施,解决方案
9、,整理完成渗透测试报告和整改加固建议。2.7.1 渗透测试报告渗透测试报告将会详细的说明渗透测试过程中得到的数据和信息以及弱点。2.7.2 整改加固建议整改加固建议根据渗透测试过程中发现的安全问题提供改进建议。3 网络层渗透测试本次测试严格按照攻击者的步骤:攻击载体、利用点、入侵手段与方法、造成后果与达到的目的可将典型情况总结,如下图: 注:图中相邻子框按箭头顺序都是一对多的3.1 门户网站WEB渗透测试门户网站服务的对象是所有互联网用户,其风险和影响最大,如果出现网站被攻陷或网页被篡改等情况,可能会造成较大的社会或政治影响,因此需要专门针对xx的门户网站进行WEB渗透测试。3.1.1 渗透测
10、试范围本次xx网站应用渗透测试项目实施范围包括10个自建网站及40个下属单位网站。3.1.2 渗透测试方法WEB服务器漏洞利用通过被披露的各种服务器操作系统及应用软件(或模块)的安全漏洞,利用这些漏洞及相关工具对WEB服务器和网站及其应用进行漏洞利用测试。SQL注入对网站应用程序的输入数据进行合法性检查,对客户端参数中包含的某些特殊内容进行不适当的处理,进行预判。SQL语句注入:通过向提交给应用程序的输入数据中“注入”某些特殊SQL语句,最终可能获取、篡改、控制网站服务器端数据库中的内容。l SQL Injection定义所谓SQL Injection ,就是通过向有SQL查询的WEB程序提交
11、一个精心构造的请求,从而突破了最初的SQL查询限制,实现了未授权的访问或存取。l SQL Injection原理随着WEB应用的复杂化,多数WEB应用都使用数据库作为后台,WEB程序接受用户参数作为查询条件,即用户可以在某种程度上控制查询的结果,如果WEB程序对用户输入过滤的比较少,那么入侵者就可能提交一些特殊的参数,而这些参数可以使该查询语句按照自己的意图来运行,这往往是一些未授权的操作,这样只要组合后的查询语句在语法上没有错误,那么就会被执行。l SQL Injection危害SQL Injection的危害主要包括:1 露敏感信息2 提升WEB应用程序权限3 操作任意文件4 执行任意命令
12、l SQL Injection 技巧利用SQL Injection的攻击技巧主要有如下几种:1 逻辑组合法:通过组合多种逻辑查询语句,获得所需要的查询结果。2 错误信息法:通过精心构造某些查询语句,使数据库运行出错,错误信息中包含了敏感信息。3 有限穷举法:通过精心构造查询语句,可以快速穷举出数据库中的任意信息。4 移花接木法:利用数据库已有资源,结合其特性立刻获得所需信息。l 预防手段要做到预防SQL Injection, 数据库管理员(MS SQL Server)应做到:1 应用系统使用独立的数据库帐号,并且分配最小的库,表以及字段权限2 禁止或删除不必要的存储过程3 必须使用的存储过程要
13、分配合理的权限4 屏蔽数据库错误信息WEB程序员则应做到:1 对用户输入内容进行过滤( , “ - # %09 %20)2 对用户输入长度进行限制3 注意查询语句书写技巧XSS跨站脚本攻击通过跨站脚本的方式对门户网站系统进行测试。跨站脚本是一种向其他Web用户浏览页面插入执行代码的方法。网站服务器端应用程序如果接受客户端提交的表单信息而不加验证审核,攻击者很可能在其中插入可执行脚本的代码,例如JavaScript、VBScript等,如果客户端提交的内容不经过滤地返回给任意访问该网站的客户端浏览器,其中嵌入的脚本代码就会以该网站服务器的可信级别被客户端浏览器执行。l 漏洞成因是因为WEB程序没
14、有对用户提交的变量中的HTML代码进行过滤或转换。l 漏洞形式这里所说的形式,实际上是指WEB输入的形式,主要分为两种:1 显示输入2 隐式输入其中显示输入明确要求用户输入数据,而隐式输入则本来并不要求用户输入数据,但是用户却可以通过输入数据来进行干涉。显示输入又可以分为两种:1 输入完成立刻输出结果2 输入完成先存储在文本文件或数据库中,然后再输出结果注意:后者可能会让你的网站面目全非!而隐式输入除了一些正常的情况外,还可以利用服务器或WEB程序处理错误信息的方式来实施。l 漏洞危害比较典型的危害包括但不限于:1 获取其他用户Cookie中的敏感数据2 屏蔽页面特定信息3 伪造页面信息4 拒
15、绝服务攻击5 突破外网内网不同安全设置6 与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等7 其它一般来说,上面的危害还经常伴随着页面变形的情况。而所谓跨站脚本执行漏洞,也就是通过别人的网站达到攻击的效果,也就是说,这种攻击能在一定程度上隐藏身份。l 解决方法要避免受到跨站脚本执行漏洞的攻击,需要程序员和用户两方面共同努力,程序员应过滤或转换用户提交数据中的所有HTML代码,并限制用户提交数据的长度;而用户方则不要轻易访问别人提供的链接,并禁止浏览器运行JavaScript和ActiveX代码。CRLF注入CRLF注入攻击并没有像其它类型的攻击那样著名。但是,当对有安全漏洞的应用程序实施CRLF注入攻击时,这种攻击对于攻击者同样有效
