滲透測試方案

1、四川品勝平安性滲透測試測試方案成都國信安信息產(chǎn)業(yè)基地二一五年十二月目 錄 TOC o 1-3 h z u HYPERLINK l _Toc437599237 目 錄 PAGEREF _Toc437599237 h 1 HYPERLINK l _Toc437599238 1.引言 PAGEREF _Toc437599238 h 2 HYPERLINK l _Toc437599239 1.1.工程概述 PAGEREF _Toc437599239 h 2 HYPERLINK l _Toc437599240 2.測試概述 PAGEREF _Toc437599240 h 2 HYPERLINK l _T

2、oc437599241 2.1.測試簡介 PAGEREF _Toc437599241 h 2 HYPERLINK l _Toc437599242 2.2.測試依據(jù) PAGEREF _Toc437599242 h 2 HYPERLINK l _Toc437599243 2.3.測試思路 PAGEREF _Toc437599243 h 3 HYPERLINK l _Toc437599244 2.3.1.工作思路 PAGEREF _Toc437599244 h 3 HYPERLINK l _Toc437599245 2.3.2.管理和技術(shù)要求 PAGEREF _Toc437599245 h 3 HY

3、PERLINK l _Toc437599246 2.4.人員及設(shè)備方案 PAGEREF _Toc437599246 h 4 HYPERLINK l _Toc437599247 2.4.1.人員分配 PAGEREF _Toc437599247 h 4 HYPERLINK l _Toc437599248 2.4.2.測試設(shè)備 PAGEREF _Toc437599248 h 4 HYPERLINK l _Toc437599249 3.測試范圍 PAGEREF _Toc437599249 h 5 HYPERLINK l _Toc437599250 4.測試內(nèi)容 PAGEREF _Toc43759925

4、0 h 8 HYPERLINK l _Toc437599251 5.測試方法 PAGEREF _Toc437599251 h 10 HYPERLINK l _Toc437599252 5.1.滲透測試原理 PAGEREF _Toc437599252 h 10 HYPERLINK l _Toc437599253 5.2.滲透測試的流程 PAGEREF _Toc437599253 h 10 HYPERLINK l _Toc437599254 5.3.滲透測試的風(fēng)險(xiǎn)躲避 PAGEREF _Toc437599254 h 11 HYPERLINK l _Toc437599255 5.4.滲透測試的收益

5、PAGEREF _Toc437599255 h 12 HYPERLINK l _Toc437599256 5.5.滲透測試工具介紹 PAGEREF _Toc437599256 h 12 HYPERLINK l _Toc437599257 6.我公司滲透測試優(yōu)勢 PAGEREF _Toc437599257 h 14 HYPERLINK l _Toc437599258 6.1.專業(yè)化團(tuán)隊(duì)優(yōu)勢 PAGEREF _Toc437599258 h 14 HYPERLINK l _Toc437599259 6.2.深入化的測試需求分析 PAGEREF _Toc437599259 h 14 HYPERLINK

6、 l _Toc437599260 6.3.標(biāo)準(zhǔn)化的滲透測試流程 PAGEREF _Toc437599260 h 14 HYPERLINK l _Toc437599261 6.4.全面化的滲透測試內(nèi)容 PAGEREF _Toc437599261 h 14 HYPERLINK l _Toc437599262 7.后期效勞 PAGEREF _Toc437599262 h 16引言工程概述四川品勝品牌管理，是廣東品勝電子股份的全資子公司。依托遍布全國的5000家加盟專賣店，四川品牌管理打造了線上線下結(jié)合的O2O購物平臺“品勝當(dāng)日達(dá)，建立了“線上線下同價、“千城當(dāng)日達(dá)、“向日葵隨身效勞三大效勞體系，為消

7、費(fèi)者帶來便捷的O2O購物體驗(yàn)。2022年，品勝在成都溫江科技工業(yè)園建立起國內(nèi)首座終端客戶體驗(yàn)館，以人性化的互動設(shè)計(jì)讓消費(fèi)者親身感受移動電源、數(shù)碼配件與生活的智能互聯(lián)，為追求高品質(zhì)產(chǎn)品性能的用戶帶來便捷、現(xiàn)代化的操作體驗(yàn)。伴隨業(yè)務(wù)的開展，原有的網(wǎng)站、系統(tǒng)、APP等都進(jìn)行了不同程度的功能更新和系統(tǒng)投產(chǎn)，同時，系統(tǒng)平安要求越來越高，可能受到的惡意攻擊包括：信息篡改與重放、信息銷毀、信息欺詐與抵賴、非授權(quán)訪問、網(wǎng)絡(luò)間諜、“黑客入侵、病毒傳播、特洛伊木馬、蠕蟲程序、邏輯炸彈、APT攻擊等。這些攻擊完全能造成信息系統(tǒng)癱瘓、重要信息流失。測試概述測試簡介本次測試內(nèi)容為滲透測試。滲透測試：是為了證明網(wǎng)絡(luò)防御按

8、照預(yù)期方案正常運(yùn)行而提供的一種機(jī)制。測試依據(jù)GB/T 25000.51-2022?軟件工程 軟件產(chǎn)品質(zhì)量要與評價(SQuaRE) 商業(yè)現(xiàn)貨(COTS)軟件產(chǎn)品的質(zhì)量要求和測試細(xì)那么?GB/T 16260-2022?軟件工程 產(chǎn)品質(zhì)量?GB/T 18336-2001?信息技術(shù) 平安技術(shù) 信息技術(shù)平安性評估準(zhǔn)那么?GB/T 20274-2022?信息系統(tǒng)平安保障評估框架?客戶提出的測試需求測試思路工作思路本次系統(tǒng)測試包括功能測試、性能測試、平安測試以及文檔測試，本次測試工作將系統(tǒng)測試對象進(jìn)行控制點(diǎn)劃分，依據(jù)工程建設(shè)要求和相關(guān)標(biāo)準(zhǔn)、標(biāo)準(zhǔn)進(jìn)行工程系統(tǒng)測試，并加強(qiáng)系統(tǒng)各階段測試和實(shí)施過程控制，完善工程目

9、標(biāo)控制手段。管理和技術(shù)要求管理要求為了保證本工程系統(tǒng)綜合測試的順利進(jìn)行，將對工程實(shí)施事前評審和測試過程監(jiān)督測試管理工作，合理分配工程人員負(fù)責(zé)相應(yīng)的測試工作。技術(shù)要求為了保證本工程系統(tǒng)測試的順利進(jìn)行，在本次測試過程中將采取如下技術(shù)要求：滲透測試：驗(yàn)證系統(tǒng)設(shè)計(jì)的平安性是否滿足客戶需求。人員及設(shè)備方案人員分配本次測試組織機(jī)構(gòu)和人員分配如下：工程管理組：楊方秀現(xiàn)場測試組：屈緋穎、王洪斌、工程文檔組：龔正質(zhì)量控制組：楊方秀、屈緋穎測試設(shè)備序號設(shè)備或儀器名稱功能描述數(shù)量產(chǎn)地備注TestManager測試管理1IBMClearQuest缺陷跟蹤1IBMxscan用于平安測試的漏洞掃描工具1測試機(jī)測試機(jī)2國產(chǎn)

10、測試范圍檢測分類檢測范圍Web網(wǎng)站SQL注入XSS跨站腳本網(wǎng)頁掛馬緩沖區(qū)溢出文件上傳漏洞源代碼泄露目錄瀏覽、遍歷漏洞數(shù)據(jù)庫泄露弱口令越權(quán)訪問會話驗(yàn)證繞過管理地址泄露輿論信息檢測中間件漏洞支付平安驗(yàn)證其他如：寫入控制,防止批量添加數(shù)據(jù),是否使用驗(yàn)證碼等SOA效勞端SQL注入緩沖區(qū)溢出文件上傳漏洞目錄瀏覽、遍歷漏洞弱口令越權(quán)訪問會話驗(yàn)證繞過中間件漏洞其他如：寫入控制,防止批量添加數(shù)據(jù),是否使用驗(yàn)證碼等APP源生客戶端組件平安檢測代碼平安檢測內(nèi)存平安檢測數(shù)據(jù)平安檢測業(yè)務(wù)平安檢測應(yīng)用管理檢測效勞器身份鑒別自主訪問控制強(qiáng)制訪問控制可信路徑平安審計(jì)剩余信息保護(hù)入侵防范惡意代碼防范資源控制數(shù)據(jù)庫數(shù)據(jù)平安測試

11、內(nèi)容檢測工程檢測子類類型掃描測試滲透測試當(dāng)日達(dá)前端SSO單點(diǎn)登錄網(wǎng)站W(wǎng)EB后端SSO單點(diǎn)登錄網(wǎng)站W(wǎng)EB當(dāng)日達(dá)商城4期前臺網(wǎng)站W(wǎng)EB當(dāng)日達(dá)商城3期后臺WEB當(dāng)日達(dá)商城4期后臺WEB砸金蛋活動WEB砸金蛋后臺WEB一元云購WEB月月?lián)屔衿鱓EB滴滴貼膜WEB快遞查詢PC端WEB快遞查詢移動端WEB中國人民不斷電WEB千城通APPAPP千機(jī)團(tuán)網(wǎng)站+APPWEB+APP進(jìn)銷存IMS進(jìn)銷存系統(tǒng)WEBIMS進(jìn)銷存管理工具WEB品勝云路由器固件升級后臺管理WEB品勝云3.2 版APP品勝云2.0IPAD版APP品勝云3.3 版APP品勝商城1.0APPWEB效勞文件上傳效勞WebService當(dāng)日達(dá)商城3期

12、后臺效勞WebService千城通APP調(diào)用效勞WebService品勝云效勞WebService品勝商城效勞WebService路由器固件升級效勞WebService效勞器CentOS 6.5 64bit (3臺)ServerCentOS 7.0 64bit (3臺)ServerWindows Server 2022 (2臺)ServerWindows Server 2022 (8臺)Server測試方法針對本次工程的測試范圍和內(nèi)容，我公司采取滲透測試的方法對整體系統(tǒng)進(jìn)行平安性評估。滲透測試原理滲透測試過程主要依據(jù)現(xiàn)今已經(jīng)掌握的平安漏洞信息，模擬黑客的真實(shí)攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的

13、攻擊性測試，這里說有的滲透測試行為將在客戶的書面明確授權(quán)和監(jiān)督下進(jìn)行。滲透測試的流程方案制定：在獲取到業(yè)主單位的書面授權(quán)許可后， 才進(jìn)行滲透測試的實(shí)施。并且將實(shí)施范圍、方法、時間、 人員等具體的方案與業(yè)主單位進(jìn)行交流，并得到業(yè)主單位的認(rèn)同。 在測試實(shí)施之前，會做到讓業(yè)主單位對滲透測試過程和風(fēng)險(xiǎn)的知曉， 使隨后的正式測試流程都在業(yè)主單位的控制下。信息收集：這包括：操作系統(tǒng)類型指紋收集；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析；端口掃描和目標(biāo)系統(tǒng)提供的效勞識別等。 可以采用一些商業(yè)平安評估系統(tǒng)如： ISS、極光等 ； 免費(fèi)的檢測工具NESSUS、Nmap 等進(jìn)行收集測試實(shí)施：在躲避防火墻、入侵檢測、防毒軟件等平安產(chǎn)品監(jiān)控

14、的條件下進(jìn)行：操作系統(tǒng)可檢測到的漏洞測試、應(yīng)用系統(tǒng)檢測到的漏洞測試如：Web應(yīng)用，此階段如果成功的話，可能獲得普通權(quán)限。滲透測試人員可能用到的測試手段有：掃描分析、溢出測試、口令爆破、社會工程學(xué)、客戶端攻擊、中間人攻擊等，用于測試人員順利完成工程。 在獲取到普通權(quán)限后， 嘗試由普通權(quán)限提升為管理員權(quán)限， 獲得對系統(tǒng)的完全控制權(quán)。一旦成功控制一臺或多臺效勞器后，測試人員將利用這些被控制的效勞器作為跳板，繞過防火墻或其他平安設(shè)備的防護(hù)，從而對內(nèi)網(wǎng)其他效勞器和客戶端進(jìn)行進(jìn)一步的滲透。此過程將循環(huán)進(jìn)行， 直到測試完成。最后由滲透測試人員去除中間數(shù)據(jù)。報(bào)告輸出：滲透測試人員根據(jù)測試的過程結(jié)果編寫直觀的滲

15、透測試效勞報(bào)告。內(nèi)容包括：具體的操作步驟描述；響應(yīng)分析以及最后的平安修復(fù)建議平安復(fù)查：滲透測試完成后，某某協(xié)助業(yè)主單位對已發(fā)現(xiàn)的平安隱患進(jìn)行修復(fù)。修復(fù)完成后，滲透測試工程師對修復(fù)的成果再次進(jìn)行遠(yuǎn)程測試復(fù)查，對修復(fù)的結(jié)果進(jìn)行檢驗(yàn)，確保修復(fù)結(jié)果的有效性。滲透測試的風(fēng)險(xiǎn)躲避在滲透測試過程中，雖然我們會盡量防止做影響正常業(yè)務(wù)運(yùn)行的操作，也會實(shí)施風(fēng)險(xiǎn)躲避的計(jì)謀，但是由于測試過程變化多端，滲透測試效勞仍然有可能對網(wǎng)絡(luò)、系統(tǒng)運(yùn)行造成一定不同程度的影響，嚴(yán)重的后果是可能造成效勞停止， 甚至是宕機(jī)。比方滲透人員實(shí)施系統(tǒng)權(quán)限提升操作時，突遇系統(tǒng)停電，再次重啟時可能會出現(xiàn)系統(tǒng)無法啟動的故障等。因此，我們會在滲透測試

16、前與業(yè)主單位詳細(xì)討論滲透方案，并采取如下多條策略來躲避滲透測試帶來的風(fēng)險(xiǎn)。時間策略：為減輕滲透測試造成的壓力和預(yù)備風(fēng)險(xiǎn)排除時間，一般的安排測試時間在業(yè)務(wù)量不高的時間段。測試策略：為了防范測試導(dǎo)致業(yè)務(wù)的中斷，可以不做一些拒絕效勞類的測試。非常重要的系統(tǒng)不建議做深入的測試，防止意外崩潰而造成不可挽回的損失；具體測試過程中，最終結(jié)果可以由測試人員做推測，而不實(shí)施危險(xiǎn)的操作步驟加以驗(yàn)證等。備份策略：為防范滲透過程中的異常問題，測試的目標(biāo)系統(tǒng)需要事先做一個完整的數(shù)據(jù)備份，以便在問題發(fā)生后能及時恢復(fù)工作。對于核心業(yè)務(wù)系統(tǒng)等不可接受可能風(fēng)險(xiǎn)的系統(tǒng)的測試，可以采取對目標(biāo)副本進(jìn)行滲透的方式加以實(shí)施。這樣就需要完

17、整的復(fù)制目標(biāo)系統(tǒng)的環(huán)境：硬件平臺、操作系統(tǒng)、應(yīng)用效勞、程序軟件、業(yè)務(wù)訪問等；然后對該副本再進(jìn)行滲透測試。應(yīng)急策略：測試過程中，如果目標(biāo)系統(tǒng)出現(xiàn)無響應(yīng)、中斷或者崩潰等情況，我們會立即中止?jié)B透測試，并配合業(yè)主單位技術(shù)人員進(jìn)行修復(fù)處理等。 在確認(rèn)問題、修復(fù)系統(tǒng)、 防范此故障再重演后，經(jīng)業(yè)主單位方同意才能繼續(xù)進(jìn)行其余的測試。溝通策略：測試過程中，確定測試人員和業(yè)主單位方配合人員的聯(lián)系方式，便于及時溝通并解決工程中的難點(diǎn)。滲透測試的收益滲透測試是站在實(shí)戰(zhàn)角度對業(yè)主單位指定的目標(biāo)系統(tǒng)進(jìn)行的平安評估，可以讓業(yè)主單位相關(guān)人員直觀的了解到自己網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用中隱含的漏洞和危害發(fā)生時可能導(dǎo)致的損失。通過我們的滲透

18、測試，可以獲得如下增益。平安缺陷：從黑客的角度發(fā)現(xiàn)業(yè)主單位平安體系中的漏洞隱含缺陷，協(xié)助業(yè)主單位明確目前降低風(fēng)險(xiǎn)的措施，為下一步的平安策略調(diào)整指明了方向。測試報(bào)告：能幫助業(yè)主單位以實(shí)際案例的形式來說明目前平安現(xiàn)狀，從而增加業(yè)主單位 對信息平安的認(rèn)知度，提升業(yè)主單位人員的風(fēng)險(xiǎn)危機(jī)意識，從而實(shí)現(xiàn)內(nèi)部平安等級的整體提升。交互式滲透測試： 我們的滲透測試人員在業(yè)主單位約定的范圍、時間內(nèi)實(shí)施測試，而業(yè)主單位人員可以與此同時進(jìn)行相關(guān)的檢測監(jiān)控工作，測試自己能不能發(fā)現(xiàn)正在進(jìn)行的滲透測試過程，從中真實(shí)的評估自己的檢測預(yù)警能力。滲透測試工具介紹滲透測試人員模擬黑客入侵攻擊的過程中使用的是操作系統(tǒng)自帶網(wǎng)絡(luò)應(yīng)用、

19、管理和診斷工具、黑客可以在網(wǎng)絡(luò)上免費(fèi)下載的掃描器、遠(yuǎn)程入侵代碼和本地提升權(quán)限代碼以及某某自主開發(fā)的平安掃描工具。這些工具經(jīng)過全球數(shù)以萬計(jì)的程序員、網(wǎng)絡(luò)管理員、平安專家以及黑客的測試和實(shí)際應(yīng)用，在技術(shù)上已經(jīng)非常成熟，實(shí)現(xiàn)了網(wǎng)絡(luò)檢查和平安測試的高度可控性，能夠根據(jù)使用者的實(shí)際要求進(jìn)行有針對性的測試。 但是平安工具本身也是一把雙刃劍，為了做到萬無一失， 我們也將針對系統(tǒng)可能出現(xiàn)的不穩(wěn)定現(xiàn)象提出相應(yīng)對策，以確保效勞器和網(wǎng)絡(luò)設(shè)備在進(jìn)行滲透測試的過程中保持在可信狀態(tài)。我公司滲透測試優(yōu)勢專業(yè)化團(tuán)隊(duì)優(yōu)勢我公司有滲透測試優(yōu)勢專業(yè)化的滲透測試團(tuán)隊(duì)。滲透測試效勞開展相對較早，經(jīng)驗(yàn)非常豐富，曾經(jīng)參與過很多大型網(wǎng)站的滲透測試工作。滲透測試團(tuán)隊(duì)會根據(jù)工程的規(guī)模有選擇性的申請局