滲透測(cè)試方案講解word版本

1、四川品勝安全性滲透測(cè)試成都國(guó)信安信息產(chǎn)業(yè)基地有限公司二一五年十二月目錄目錄 11. 引言 21.1. 項(xiàng)目概述 22. 測(cè)試概述 22.1. 測(cè)試簡(jiǎn)介 22.2. 測(cè)試依據(jù) 22.3. 測(cè)試思路 32.3.1.工作思路 32.3.2.管理和技術(shù)要求 32.4. 人員及設(shè)備計(jì)劃 42.4.1.人員分配 42.4.2.測(cè)試設(shè)備 43. 測(cè)試范圍 54. 測(cè)試內(nèi)容 85. 測(cè)試方法 105.1. 滲透測(cè)試原理 105.2. 滲透測(cè)試的流程 105.3. 滲透測(cè)試的風(fēng)險(xiǎn)規(guī)避 115.4. 滲透測(cè)試的收益 125.5. 滲透測(cè)試工具介紹 126. 我公司滲透測(cè)試優(yōu)勢(shì) 146.1.專業(yè)化團(tuán)隊(duì)優(yōu)勢(shì) 146.

2、2.深入化的測(cè)試需求分析 146.3. 規(guī)范化的滲透測(cè)試流程 146.4. 全面化的滲透測(cè)試內(nèi)容 147. 后期服務(wù) 161. 引言1.1. 項(xiàng)目概述四川品勝品牌管理有限公司，是廣東品勝電子股份有限公司的全資子公司。 依托遍布全國(guó)的 5000 家加盟專賣店，四川品牌管理有限公司打造了線上線下結(jié) 合的020購(gòu)物平臺(tái)一一“品勝？當(dāng)日達(dá)”，建立了“線上線下同價(jià)”、“千城當(dāng)日 達(dá)”、“向日葵隨身服務(wù)”三大服務(wù)體系，為消費(fèi)者帶來(lái)便捷的020購(gòu)物體驗(yàn)。2011 年，品勝在成都溫江科技工業(yè)園建立起國(guó)內(nèi)首座終端客戶體驗(yàn)館，以 人性化的互動(dòng)設(shè)計(jì)讓消費(fèi)者親身感受移動(dòng)電源、 數(shù)碼配件與生活的智能互聯(lián)， 為 追求高品

3、質(zhì)產(chǎn)品性能的用戶帶來(lái)便捷、現(xiàn)代化的操作體驗(yàn)。伴隨業(yè)務(wù)的發(fā)展，原有的網(wǎng)站、系統(tǒng)、APP等都進(jìn)行了不同程度的功能更新 和系統(tǒng)投產(chǎn)，同時(shí)，系統(tǒng)安全要求越來(lái)越高，可能受到的惡意攻擊包括：信息篡 改與重放、信息銷毀、信息欺詐與抵賴、非授權(quán)訪問(wèn)、網(wǎng)絡(luò)間諜、 “黑客”入侵、 病毒傳播、特洛伊木馬、蠕蟲程序、邏輯炸彈、APT攻擊等。這些攻擊完全能造成信息系統(tǒng)癱瘓、重要信息流失。2. 測(cè)試概述2.1. 測(cè)試簡(jiǎn)介本次測(cè)試內(nèi)容為滲透測(cè)試。 滲透測(cè)試：是為了證明網(wǎng)絡(luò)防御按照預(yù)期計(jì)劃正常運(yùn)行而提供的一種機(jī)制。2.2. 測(cè)試依據(jù) GB/T 25000.51-2010軟件工程 軟件產(chǎn)品質(zhì)量要與評(píng)價(jià) (SQuaRE) 商業(yè)

4、現(xiàn)貨(C0TS軟件產(chǎn)品的質(zhì)量要求和測(cè)試細(xì)則 GB/T 16260-2006軟件工程 產(chǎn)品質(zhì)量 GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 GB/T 20274-2006 信息系統(tǒng)安全保障評(píng)估框架 客戶提出的測(cè)試需求2.3. 測(cè)試思路2.3.1. 工作思路本次系統(tǒng)測(cè)試包括功能測(cè)試、 性能測(cè)試、 安全測(cè)試以及文檔測(cè)試， 本次測(cè)試 工作將系統(tǒng)測(cè)試對(duì)象進(jìn)行控制點(diǎn)劃分， 依據(jù)項(xiàng)目建設(shè)要求和相關(guān)標(biāo)準(zhǔn)、 規(guī)范進(jìn)行 項(xiàng)目系統(tǒng)測(cè)試，并加強(qiáng)系統(tǒng)各階段測(cè)試和實(shí)施過(guò)程控制， 完善項(xiàng)目目標(biāo)控制手段。2.3.2. 管理和技術(shù)要求1、 管理要求 為了保證本項(xiàng)目系統(tǒng)綜合測(cè)試的順利進(jìn)行， 將對(duì)項(xiàng)

5、目實(shí)施事前評(píng)審和測(cè)試過(guò) 程監(jiān)督測(cè)試管理工作，合理分配項(xiàng)目人員負(fù)責(zé)相應(yīng)的測(cè)試工作。2、 技術(shù)要求為了保證本項(xiàng)目系統(tǒng)測(cè)試的順利進(jìn)行， 在本次測(cè)試過(guò)程中將采取如下技術(shù)要 求： 滲透測(cè)試：驗(yàn)證系統(tǒng)設(shè)計(jì)的安全性是否滿足客戶需求。24人員及設(shè)備計(jì)劃2.4.1.人員分配本次測(cè)試組織機(jī)構(gòu)和人員分配如下:項(xiàng)目管理組：楊方秀現(xiàn)場(chǎng)測(cè)試組：屈緋穎、王洪斌、項(xiàng)目文檔組：龔正質(zhì)量控制組：楊方秀、屈緋穎2.4.2. 測(cè)試設(shè)備序號(hào)設(shè)備或儀器名稱功能描述數(shù)量產(chǎn)地備注1.TestMa nager測(cè)試管理1IBM2.ClearQuest缺陷跟蹤1IBM3.xsca n用于安全測(cè)試的漏洞掃描工具14.測(cè)試機(jī)測(cè)試機(jī)2國(guó)產(chǎn)3.測(cè)試范圍檢

6、測(cè)分類檢測(cè)范圍Web網(wǎng)站SQL注入XSS跨站腳本網(wǎng)頁(yè)掛馬緩沖區(qū)溢出文件上傳漏洞源代碼泄露目錄瀏覽、遍歷漏洞數(shù)據(jù)庫(kù)泄露弱口令越權(quán)訪問(wèn)會(huì)話驗(yàn)證繞過(guò)管理地址泄露輿論信息檢測(cè)中間件漏洞支付安全驗(yàn)證其他（如：寫入控制，防止批量添加數(shù)據(jù)，是否使用驗(yàn)證碼等）SOA服務(wù)端SQL注入緩沖區(qū)溢出文件上傳漏洞目錄瀏覽、遍歷漏洞弱口令越權(quán)訪問(wèn)會(huì)話驗(yàn)證繞過(guò)中間件漏洞其他（如：寫入控制，防止批量添加數(shù)據(jù)，是否使用驗(yàn)證碼等）APP源生客戶端組件安全檢測(cè)代碼安全檢測(cè)內(nèi)存安全檢測(cè)數(shù)據(jù)安全檢測(cè)業(yè)務(wù)安全檢測(cè)應(yīng)用管理檢測(cè)服務(wù)器身份鑒別自主訪問(wèn)控制強(qiáng)制訪問(wèn)控制可信路徑安全審計(jì)剩余信息保護(hù)入侵防范惡意代碼防范資源控制數(shù)據(jù)庫(kù)數(shù)據(jù)安全4.測(cè)

7、試內(nèi)容檢測(cè)項(xiàng)目檢測(cè)子類類型掃描測(cè)試滲透測(cè)試當(dāng)日達(dá)前端SSO單點(diǎn)登錄網(wǎng)站W(wǎng)EBVV后端SSO單點(diǎn)登錄網(wǎng)站W(wǎng)EBVV當(dāng)日達(dá)商城4期前臺(tái)網(wǎng)站W(wǎng)EBVV當(dāng)日達(dá)商城3期后臺(tái)WEBVV當(dāng)日達(dá)商城4期后臺(tái)WEBVV砸金蛋活動(dòng)WEBV砸金蛋后臺(tái)WEBV一元云購(gòu)WEBV月月?lián)屔衿鱓EBV滴滴貼膜WEBV快遞查詢（PC端）WEBV快遞查詢（移動(dòng)端）WEBV中國(guó)人民不斷電WEBVV千城通APPAPPV千機(jī)團(tuán)網(wǎng)站+APPWEB+APPVV進(jìn)銷存IMS進(jìn)銷存系統(tǒng)WEBVVIMS進(jìn)銷存管理工具WEBVV品勝云路由器固件升級(jí)后臺(tái)管理WEBVV品勝云3.2 （手機(jī)版）APPV品勝云 2.0 （IPAD 版）APPV品勝云3.

8、3 （手機(jī)版）APPV品勝商城1.0APPVWEB服務(wù)文件上傳服務(wù)WebServiceVV當(dāng)日達(dá)商城3期后臺(tái)服務(wù)WebServiceVV千城通APP調(diào)用服務(wù)WebServiceVV品勝云服務(wù)WebServiceVV品勝商城服務(wù)WebServiceVV路由器固件升級(jí)服務(wù)WebServiceVV服務(wù)器Cen tOS 6.5 64bit （3臺(tái)）ServerVCen tOS 7.0 64bit （3臺(tái)）ServerVWin dows Server 2012 （2臺(tái)）ServerVWin dows Server 2008 （8臺(tái)）ServerV5. 測(cè)試方法針對(duì)本次項(xiàng)目的測(cè)試范圍和內(nèi)容， 我公司采取滲

9、透測(cè)試的方法對(duì)整體系統(tǒng)進(jìn) 行安全性評(píng)估。5.1. 滲透測(cè)試原理滲透測(cè)試過(guò)程主要依據(jù)現(xiàn)今已經(jīng)掌握的安全漏洞信息， 模擬黑客的真實(shí)攻擊 方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試， 這里說(shuō)有的滲透測(cè)試行為將在 客戶的書面明確授權(quán)和監(jiān)督下進(jìn)行。5.2. 滲透測(cè)試的流程? 方案制定：在獲取到業(yè)主單位的書面授權(quán)許可后， 才進(jìn)行滲透測(cè)試的實(shí)施。并且將實(shí) 施范圍、方法、時(shí)間、 人員等具體的方案與業(yè)主單位進(jìn)行交流，并得到業(yè)主單 位的認(rèn)同。 在測(cè)試實(shí)施之前， 會(huì)做到讓業(yè)主單位對(duì)滲透測(cè)試過(guò)程和風(fēng)險(xiǎn)的知曉， 使隨后的正式測(cè)試流程都在業(yè)主單位的控制下。? 信息收集：這包括：操作系統(tǒng)類型指紋收集； 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析；

10、端口掃描和目標(biāo)系統(tǒng) 提供的服務(wù)識(shí)別等?？梢圆捎靡恍┥虡I(yè)安全評(píng)估系統(tǒng)（如： ISS、極光等）； 免費(fèi)的檢測(cè)工具（ NESSUS、 Nmap 等）進(jìn)行收集? 測(cè)試實(shí)施：在規(guī)避防火墻、 入侵檢測(cè)、 防毒軟件等安全產(chǎn)品監(jiān)控的條件下進(jìn)行： 操作系 統(tǒng)可檢測(cè)到的漏洞測(cè)試、應(yīng)用系統(tǒng)檢測(cè)到的漏洞測(cè)試（如： Web應(yīng)用），此階段 如果成功的話， 可能獲得普通權(quán)限。 滲透測(cè)試人員可能用到的測(cè)試手段有： 掃描 分析、溢出測(cè)試、口令爆破、社會(huì)工程學(xué)、客戶端攻擊、中間人攻擊等，用于測(cè) 試人員順利完成工程。 在獲取到普通權(quán)限后， 嘗試由普通權(quán)限提升為管理員權(quán) 限， 獲得對(duì)系統(tǒng)的完全控制權(quán)。一旦成功控制一臺(tái)或多臺(tái)服務(wù)器后，

11、測(cè)試人員 將利用這些被控制的服務(wù)器作為跳板， 繞過(guò)防火墻或其他安全設(shè)備的防護(hù)， 從而 對(duì)內(nèi)網(wǎng)其他服務(wù)器和客戶端進(jìn)行進(jìn)一步的滲透。此過(guò)程將循環(huán)進(jìn)行， 直到測(cè)試 完成。最后由滲透測(cè)試人員清除中間數(shù)據(jù)。? 報(bào)告輸出： 滲透測(cè)試人員根據(jù)測(cè)試的過(guò)程結(jié)果編寫直觀的滲透測(cè)試服務(wù)報(bào)告。內(nèi)容包 括：具體的操作步驟描述；響應(yīng)分析以及最后的安全修復(fù)建議? 安全復(fù)查：滲透測(cè)試完成后， 某某協(xié)助業(yè)主單位對(duì)已發(fā)現(xiàn)的安全隱患進(jìn)行修復(fù)。 修復(fù)完 成后，滲透測(cè)試工程師對(duì)修復(fù)的成果再次進(jìn)行遠(yuǎn)程測(cè)試復(fù)查， 對(duì)修復(fù)的結(jié)果進(jìn)行 檢驗(yàn)，確保修復(fù)結(jié)果的有效性。5.3. 滲透測(cè)試的風(fēng)險(xiǎn)規(guī)避在滲透測(cè)試過(guò)程中， 雖然我們會(huì)盡量避免做影響正常業(yè)務(wù)

12、運(yùn)行的操作， 也會(huì) 實(shí)施風(fēng)險(xiǎn)規(guī)避的計(jì)策， 但是由于測(cè)試過(guò)程變化多端， 滲透測(cè)試服務(wù)仍然有可能對(duì) 網(wǎng)絡(luò)、系統(tǒng)運(yùn)行造成一定不同程度的影響， 嚴(yán)重的后果是可能造成服務(wù)停止， 甚 至是宕機(jī)。比如滲透人員實(shí)施系統(tǒng)權(quán)限提升操作時(shí)， 突遇系統(tǒng)停電， 再次重啟時(shí) 可能會(huì)出現(xiàn)系統(tǒng)無(wú)法啟動(dòng)的故障等。 因此，我們會(huì)在滲透測(cè)試前與業(yè)主單位詳細(xì) 討論滲透方案，并采取如下多條策略來(lái)規(guī)避滲透測(cè)試帶來(lái)的風(fēng)險(xiǎn)。? 時(shí)間策略：為減輕滲透測(cè)試造成的壓力和預(yù)備風(fēng)險(xiǎn)排除時(shí)間， 一般的安排測(cè)試時(shí)間在業(yè) 務(wù)量不高的時(shí)間段。? 測(cè)試策略： 為了防范測(cè)試導(dǎo)致業(yè)務(wù)的中斷，可以不做一些拒絕服務(wù)類的測(cè)試。非常重 要的系統(tǒng)不建議做深入的測(cè)試， 避免意

13、外崩潰而造成不可挽回的損失； 具體測(cè)試 過(guò)程中，最終結(jié)果可以由測(cè)試人員做推測(cè)， 而不實(shí)施危險(xiǎn)的操作步驟加以驗(yàn)證等。? 備份策略：為防范滲透過(guò)程中的異常問(wèn)題， 測(cè)試的目標(biāo)系統(tǒng)需要事先做一個(gè)完整的數(shù)據(jù) 備份，以便在問(wèn)題發(fā)生后能及時(shí)恢復(fù)工作。 對(duì)于核心業(yè)務(wù)系統(tǒng)等不可接受可能風(fēng) 險(xiǎn)的系統(tǒng)的測(cè)試， 可以采取對(duì)目標(biāo)副本進(jìn)行滲透的方式加以實(shí)施。 這樣就需要完 整的復(fù)制目標(biāo)系統(tǒng)的環(huán)境：硬件平臺(tái)、操作系統(tǒng)、應(yīng)用服務(wù)、程序軟件、業(yè)務(wù)訪 問(wèn)等；然后對(duì)該副本再進(jìn)行滲透測(cè)試。? 應(yīng)急策略：測(cè)試過(guò)程中， 如果目標(biāo)系統(tǒng)出現(xiàn)無(wú)響應(yīng)、 中斷或者崩潰等情況， 我們會(huì)立即 中止?jié)B透測(cè)試，并配合業(yè)主單位技術(shù)人員進(jìn)行修復(fù)處理等。 在確

14、認(rèn)問(wèn)題、修復(fù) 系統(tǒng)、 防范此故障再重演后，經(jīng)業(yè)主單位方同意才能繼續(xù)進(jìn)行其余的測(cè)試。? 溝通策略：測(cè)試過(guò)程中， 確定測(cè)試人員和業(yè)主單位方配合人員的聯(lián)系方式， 便于及時(shí)溝 通并解決工程中的難點(diǎn)。5.4. 滲透測(cè)試的收益滲透測(cè)試是站在實(shí)戰(zhàn)角度對(duì)業(yè)主單位指定的目標(biāo)系統(tǒng)進(jìn)行的安全評(píng)估， 可以 讓業(yè)主單位相關(guān)人員直觀的了解到自己網(wǎng)絡(luò)、 系統(tǒng)、應(yīng)用中隱含的漏洞和危害發(fā) 生時(shí)可能導(dǎo)致的損失。通過(guò)我們的滲透測(cè)試，可以獲得如下增益。? 安全缺陷：從黑客的角度發(fā)現(xiàn)業(yè)主單位安全體系中的漏洞（隱含缺陷） ，協(xié)助業(yè)主單位 明確目前降低風(fēng)險(xiǎn)的措施，為下一步的安全策略調(diào)整指明了方向。? 測(cè)試報(bào)告：能幫助業(yè)主單位以實(shí)際案例的形

15、式來(lái)說(shuō)明目前安全現(xiàn)狀， 從而增加業(yè)主單位 對(duì)信息安全的認(rèn)知度， 提升業(yè)主單位人員的風(fēng)險(xiǎn)危機(jī)意識(shí)， 從而實(shí)現(xiàn)內(nèi)部安全等 級(jí)的整體提升。? 交互式滲透測(cè)試：我們的滲透測(cè)試人員在業(yè)主單位約定的范圍、 時(shí)間內(nèi)實(shí)施測(cè)試， 而業(yè)主單位 人員可以與此同時(shí)進(jìn)行相關(guān)的檢測(cè)監(jiān)控工作， 測(cè)試自己能不能發(fā)現(xiàn)正在進(jìn)行的滲 透測(cè)試過(guò)程，從中真實(shí)的評(píng)估自己的檢測(cè)預(yù)警能力。5.5. 滲透測(cè)試工具介紹滲透測(cè)試人員模擬黑客入侵攻擊的過(guò)程中使用的是操作系統(tǒng)自帶網(wǎng)絡(luò)應(yīng)用、 管理和診斷工具、 黑客可以在網(wǎng)絡(luò)上免費(fèi)下載的掃描器、 遠(yuǎn)程入侵代碼和本地提 升權(quán)限代碼以及某某自主開發(fā)的安全掃描工具。 這些工具經(jīng)過(guò)全球數(shù)以萬(wàn)計(jì)的程 序員、網(wǎng)絡(luò)管

16、理員、安全專家以及黑客的測(cè)試和實(shí)際應(yīng)用，在技術(shù)上已經(jīng)非常成 熟，實(shí)現(xiàn)了網(wǎng)絡(luò)檢查和安全測(cè)試的高度可控性， 能夠根據(jù)使用者的實(shí)際要求進(jìn)行 有針對(duì)性的測(cè)試。 但是安全工具本身也是一把雙刃劍， 為了做到萬(wàn)無(wú)一失， 我 們也將針對(duì)系統(tǒng)可能出現(xiàn)的不穩(wěn)定現(xiàn)象提出相應(yīng)對(duì)策，以確保服務(wù)器和網(wǎng)絡(luò)設(shè)備 在進(jìn)行滲透測(cè)試的過(guò)程中保持在可信狀態(tài)。6. 我公司滲透測(cè)試優(yōu)勢(shì)6.1. 專業(yè)化團(tuán)隊(duì)優(yōu)勢(shì)我公司有滲透測(cè)試優(yōu)勢(shì)專業(yè)化的滲透測(cè)試團(tuán)隊(duì)。滲透測(cè)試服務(wù)開展相對(duì)較 早，經(jīng)驗(yàn)非常豐富， 曾經(jīng)參與過(guò)很多大型網(wǎng)站的滲透測(cè)試工作。 滲透測(cè)試團(tuán)隊(duì)會(huì) 根據(jù)項(xiàng)目的規(guī)模有選擇性的申請(qǐng)部分漏洞研發(fā)團(tuán)隊(duì)專家參與到項(xiàng)目中， 共同組成 臨時(shí)的滲透測(cè)試小

17、組，面向用戶提供深層次、多角度、全方位的滲透測(cè)試6.2. 深入化的測(cè)試需求分析在滲透測(cè)試開展前期，會(huì)從技術(shù)層面（網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層）著手與用 戶進(jìn)行廣泛溝通， 對(duì)用戶當(dāng)前的一些重要資料進(jìn)行采集、 匯總、梳理、掌握， 以 便為滲透測(cè)試工作地開展奠定良好的基礎(chǔ)。 除了技術(shù)層面以外， 某某也將會(huì)根據(jù) 用戶滲透測(cè)試的目標(biāo)以及提出的需求著重對(duì)于用戶的業(yè)務(wù)層面進(jìn)行分析， 并且 將分析結(jié)果應(yīng)用于滲透測(cè)試當(dāng)中， 做到明確所有需求的基礎(chǔ)上準(zhǔn)確而深入的貫徹 用戶的意圖，將滲透測(cè)試的目標(biāo)與業(yè)務(wù)系統(tǒng)連續(xù)性運(yùn)行保障緊密的結(jié)合起來(lái)。6.3. 規(guī)范化的滲透測(cè)試流程滲透測(cè)試流程分為準(zhǔn)備、 滲透以及加固三個(gè)基本階段， 在每個(gè)階段都會(huì)生成 階段文檔，最終在完成滲透測(cè)試整個(gè)流程以后將會(huì)由項(xiàng)目經(jīng)理將三個(gè)階段的文檔 進(jìn)行整理、 匯總、提交給用戶。 并且針對(duì)過(guò)程中遇到的問(wèn)題向用戶進(jìn)行匯報(bào)。