滲透測試流程

1、滲透測試流程滲透測試-WindowsAzureWindowsAzure非常重視平臺的安全，已經(jīng)實施了多項有助于提高平臺安全的技術(shù)和程序性措施。這些措施包括身份和訪問管理、相互SSL身份驗證、分層環(huán)境、監(jiān)視、日志記錄和報告。我們還進行定期滲透測試，以探測平臺的弱點，并幫助我們改進安全控件。我們深知，安全評估和測試也是客戶應(yīng)用程序開發(fā)和部署的重要部分。我們確立了一項策略，即讓客戶對托管在WindowsAzure中的應(yīng)用程序執(zhí)行授權(quán)滲透測試。因為此類測試可能無法與真實攻擊區(qū)分，因此客戶請務(wù)必在提前通世知紀互聯(lián)并獲得批準后，再嚴格按照我們的條款和條件進行滲透測試。滲透測試批準流程：1) 啟動滲透測試的

2、批準流程要獲得滲透測試的批準，請?zhí)顚懖⑻峤弧皾B透測試批準表”到。成功提交后，將向您提供一個參考號，以用于與此測試申請相關(guān)的任何進一步通信。2) 世紀互聯(lián)進行批準提交批準表后，世紀互聯(lián)將在五個工作日內(nèi)響應(yīng)申請。如果需要進一步信息，世紀互聯(lián)將使用“滲透測試批準表”中提供的信息，通過電子郵件與您聯(lián)系。您可以使用提交申請過程中提供的參考號跟蹤申請狀態(tài)。3) 測試完成您只能進行獲得世紀互聯(lián)批準的測試，并且必須遵守批準電子郵件中規(guī)定的任何條件。如果您需要額外時間(或另定時間)來執(zhí)行測試，必須提交新的批準表。只有獲得世紀互聯(lián)對新日期的授權(quán)后，才能執(zhí)行測試。如果您認為自己發(fā)現(xiàn)了與WindowsAzure服務(wù)相

3、關(guān)的潛在安全缺陷或有對滲透測試或申請狀態(tài)存有其他疑問，可通過。滲透測試批準表姓名（主要聯(lián)系人）電子郵件地址電話號碼WindowsAzure訂閱ID1.測試目的是什么？2. 由誰執(zhí)行滲透測試（內(nèi)部團隊還是第三方）？3. 如果滲透測試由第三方執(zhí)行，請?zhí)峁┮韵略敿毿畔ⅲ篴. 第三方名稱b. 聯(lián)系人c. 電子郵件地址d. 電話號碼4. 您的滲透測試過程是否包括標準測試（如下文中所定義）？是/否如果回答是，請?zhí)峁┻@些測試的以下信息：i. 測試的目標DNS名稱ii. 標有時區(qū)的測試開始日期和時間(+/-GMT)iii. 標有時區(qū)的測試結(jié)束日期和時間(+/-GMT)5. 您的滲透測試過程是否包括標準測試以外

4、的測試(如下文中所定義)？是/否如果您回答是，請列出所有此類測試：測試的簡短描述列出您要測試的所有功能(例如SQLAzure、WindowsAzure存儲、WindowsAzure計算)測試的目標DNS名稱(*)從哪里啟動測試？(主機的IP地址)如果適用，請?zhí)峁⑹褂玫拈_源/商業(yè)工具的名稱標有時區(qū)的測試開始日期和時間(+/-GMT)標有時區(qū)的測試結(jié)束日期和時間(+/-GMT)滲透測試條款和條件提交此表單即表示確認所提供信息的真實性和準確性，并同意以下條款和條件：1您是上文中所指明WindowsAzure訂閱的所有者，且有權(quán)對該訂閱執(zhí)行滲透測試。2您的測試不能針對任何其他訂閱或任何其他Windo

5、wsAzure客戶。3您不得進行任何禁止測試（參見下文）。4您不得進行任何超過訂閱的帶寬配額的測試（如不確定，請詢問客戶支持）。5您只能在世紀互聯(lián)指定的時間和時段進行世紀互聯(lián)授權(quán)電子郵件中批準的測試。您必須遵守世紀互聯(lián)在授權(quán)電子郵件或任何后續(xù)通信中規(guī)定的有關(guān)這些測試的任何其他限制或條件。6您的測試必須遵守此批準表中提供的信息，除非世紀互聯(lián)另有規(guī)定。7.在測試過程中，如果您認為自己發(fā)現(xiàn)了與WindowsAzure相關(guān)的潛在安全缺陷，可通過與我們?nèi)〉寐?lián)系，在24小時內(nèi)報告，且在至少90天內(nèi)不得公開此信息。8您對WindowsAzure的使用（包括此測試）應(yīng)繼續(xù)遵守您購買WindowsAzure時所

6、簽訂協(xié)議的條款和條件9. 如果因未能遵守本協(xié)議而導(dǎo)致對WindowsAzure或其他WindowsAzure客戶造成損害，您必須承擔全部責任。標準測試以下標準測試可接受快捷審批：1）為在您的端點上發(fā)現(xiàn)OWASP前10大Web漏洞而進行的測試2）在您的端點上進行的模糊測試禁止測試禁止執(zhí)行任何類型的拒絕服務(wù)測試，或者任何其他旨在確定、演示或模擬任何類型拒絕服務(wù)（DOS）的存在的測試。隱私性我們將為您在此批準表中提供的信息保密，并僅用于幫助我們向您的滲透測試提供幫助，或者改進WindowsAzure的安全。有關(guān)更多詳細信息，請參閱我們的隱私聲明。PenetrationTestingProcessPe

7、netrationTesting-WindowsAzureWindowsAzuretakesthesecurityofourplatformveryseriously,andwehaveimplementedanumberoftechnicalandproceduralmeasurestohelpwithplatformsecurity.Theseincludeidentityandaccessmanagement,mutualSSLauthentication,layeredenvironment,monitoring,loggingandreporting.Wealsoconductreg

8、ularpenetrationtestingtoprobeourplatformforweaknessesandhelpusimproveoursecuritycontrols.Weunderstandthatsecurityassessmentandtestingisalsoanimportantpartofourcustomers'applicationdevelopmentanddeployment.Wehaveestablishedapolicyforcustomerstocarryoutauthorizedpenetrationtestingontheirapplicatio

9、nshostedinWindowsAzure.Becausesuchtestingcanbeindistinguishablefromarealattack,itiscriticalthatcustomersconductpenetrationtestingonlyafternotifyingandobtainingapprovalinadvancefromtheWindowsAzureteamandonlyinaccordancewithourtermsandconditions.PenetrationTestApprovalProcess:4) InitiateApprovalforPen

10、etrationTestingToobtainapprovalforpenetrationtesting,pleasecompleteandsubmitthePenetrationTestingApprovalForm'to.Aftersuccessfulsubmission,youwillbeprovidedwithareferencenumber,whichcanbeusedforanyfurthercommunicationrelatedtothisrequest.5) ApprovalfromWindowsAzureTeamOncetheformissubmitted,theW

11、indowsAzureteamwillrespondtotherequestwithinfivebusinessdays.Incaseanyfurtherinformationisrequired,theWindowsAzureteamwillcontactyoubyemailusingtheinformationprovidedinthePenetrationTestApprovalForm'.Youcantrackthestatusoftherequestusingthereferencenumberprovidedduringsubmissionoftherequest.6) T

12、estCompletionYoumayonlyconductthosetestsapprovedbytheWindowsAzureteamandsubjecttoanyconditionsspecifiedintheapprovalemail.Incaseyourequireadditionaltime(oradifferenttime)tocarryoutthetesting,youmustsubmitanewrequestforapproval.ThetestingcanonlybecarriedoutafterauthorizationbytheWindowsAzureteamforth

13、enewdates.IfyoubelieveyouhavediscoveredapotentialsecurityflawrelatedtoWindowsAzureororhaveotherquestionsaboutpenetrationtestingorthestatusofyourrequest,youcanreachusat.PenetrationTestingApprovalFormName(Primarycontactpoint)EmailaddressPhonenumberWindowsAzuresubscriptionID6. Whatisthepurposeofyourtes

14、t?7. Whoiscarryingoutthepenetrationtest(InternalTeamorThirdParty)?8. IfpenetrationtestisgoingtobeconductedbyThirdParty,pleaseprovidethefollowingdetails:a. Nameofthirdpartyb. Contactpersonc. Emailaddressd. PhoneNumber9. DoesyourpenetrationtestingexerciseincludeStandardTests(definedbelow)?Yes/NoIfyoua

15、nsweredYes,thenprovidethefollowinginformationforthesetests:iv. TargetDNSname(s)forthetestingv. Teststartdateandtimewithtimezone(+/-GMT)vi. Testenddateandtimewithtimezone(+/-GMT)10. DoesyourpenetrationtestingexerciseincludetestsotherthanStandardTests(definedbelow)?Yes/NoIfyouansweredYes,thenlistallsu

16、chtests:BriefdescriptionoftestListallfeaturesthatyouaretargeting(e.g.,SQLAzure,WindowsAzurestorage,WindowsAzureCompute)TargetDNSnamesfortesting(*.)Fromwherewillthetestbelaunched?(IPaddressofhosts)Ifapplicable,nameofopensource/commercialtoolthatwillbeusedTeststartdateandtimewith廿mezone(+/-GMT)TestEnd

17、dateand廿mewith廿mezone(+/-GMT)11. AdditionalcommentsPenetrationTestingTerms&ConditionsBysubmittingthisform,youagreethattheinformationyouhaveprovidedistrueandaccurateandtothefollowingtermsandconditions:10. YouaretheowneroftheWindowsAzuresubscriptionspecifiedaboveandauthorizedtoconductpenetrationte

18、stingagainstthatsubscription.11. YourtestingwillnottargetanyothersubscriptionoranyothercustomerofWindowsAzure.12. YouwillnotconductanyProhibitedTests(seebelow).13. Youwillnotconductanyteststhatwillexceedthebandwidthquotaforyoursubscription(askCustomerSupportifyouareunsure).14. Youwillconductonlythos

19、etestsapprovedintheauthorizationemailfromtheWindowsAzureteamforthetimeanddurationtheWindowsAzureteamspecifies.YouwillabidebyanyotherrestrictionsorconditionstheWindowsAzureteamspecifiesintheauthorizationemailoranysubsequentcommunicationfromtheWindowsAzureteamregardingthesetests.15. Yourtestingwillbei

20、naccordancewiththeinformationyouprovideinthisform,exceptwheretheWindowsAzureteamspecifiesotherwise.16. Ifduringthecourseofyourtesting,youbelieveyouhavediscoveredapotentialsecurityflawrelatedtoWindowsAzure,youwillreportittotheWindowsAzureteamatwithin24hoursandwillnotdisclosethisinformationpubliclyortoanythirdpartyforatleast90days.17. YouruseofWindowsAzure,includingthistesting,willcontinuetobesubjecttothetermsandconditionsoftheagreement(s)unde