2021銀行互聯(lián)網滲透測試指南

銀行互聯(lián)網滲透測試指南JR/T0232—2021JR/T0232—2021JR/T0232—2021JR/T0232—2021JR/T0232—2021目??次前言 III引言 IV范圍 1規(guī)范性引用文件 1術語和定義 1概述 3滲透測試策劃 3概述 3確定測試范圍 3確定測試引用文檔 3確定測試項 4確定被測試特性和不被測試特性 4確定測試方法與測試通過準則 4確定暫停準則和恢復條件 4測試交付項 4確定測試活動、任務與進度 4明確環(huán)境需求 5分配職責、權限和各部門間的工作銜接 5明確人員配備和培訓目標 5明確風險和應急措施 5確定質量保證過程 5測試策劃階段文檔 5滲透測試設計 6概述 6確定測試范圍 6被測試特征、測試方法與通過準則 6測試用例 6測試環(huán)境 7測試過程描述 9測試就緒評審 9測試設計階段文檔 10滲透測試執(zhí)行 107.1概述 10信息收集 10威脅建模 11IIIII1111漏洞發(fā)現 12滲透攻擊 14測試執(zhí)行階段文檔 15滲透測試總結 158.1概述 15測試數據分析 15差異分析 15風險決策根據分析 15報告編寫 16測試評審 17測試總結階段文檔 17附錄A（資料性）銀行互聯(lián)網滲透測試過程要點清單 18附錄B（資料性）銀行互聯(lián)網滲透測試漏洞風險定級參考 21參考文獻 26JR/T0232—2021JR/T0232—2021JR/T0232—2021JR/T0232—2021銀行互聯(lián)網滲透測試指南范圍本文件提供了在銀行信息系統(tǒng)中開展互聯(lián)網滲透測試的整體流程以及流程各個環(huán)節(jié)中保障測試質量、控制測試風險的指南。本文件適用于銀行互聯(lián)網滲透測試的策劃、設計、執(zhí)行、總結，也供保險、證券等其他金融行業(yè)參考。規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用（包括所有的修改單）適用于本文件。GB/T15532—2008計算機軟件測試規(guī)范GB/T25069—2010信息安全技術術語GB/T29246—2017信息技術安全技術信息安全管理體系概述和詞匯JR/T0101—2013銀行業(yè)軟件測試文檔規(guī)范術語和定義GB/T25069—2010和GB/T29246—2017界定的以及下列術語和定義適用于本文件。3.1滲透測試penetrationtest滲透性測試穿透性測試以模擬真實攻擊的動作，檢測發(fā)現信息系統(tǒng)存在的技術漏洞，并利用漏洞突破信息系統(tǒng)的安全控制機制，進而評估信息系統(tǒng)面臨的實際安全風險的一種測試手段。[來源：GB/T25069—2010,2.3.87,有修改]3.2授權authorization通過技術手段界定滲透測試實施范圍的過程。示例：通過防火墻策略僅允許滲透測試實施人員訪問測試范圍內的信息系統(tǒng)。[來源：GB/T25069—2010,2.1.33,有修改]3.3威脅代理threatagent有動機和能力破壞信息系統(tǒng)安全性的人或程序。示例：企圖通過攻擊信息系統(tǒng)非法獲取資金的黑客團伙。3.4PAGEPAGE26PAGEPAGE3威脅建模threatmodeling對信息系統(tǒng)的資產、流程、攻擊信息系統(tǒng)的主要動機、潛在威脅代理及其能力等進行分析，對相關的主體和關系進行有效組織。注：威脅建模的目的是構建信息系統(tǒng)面臨的最可能攻擊場景。3.5敏感信息sensitiveinformation由權威機構確定的必須受保護的信息，該信息的泄露、修改、破壞或丟失會對人或事產生可預知的損害。注：敏感信息的具體分級標準宜參考JR/T0197—2020。[來源：GB/T25069—2010,2.2.4.7]3.6漏洞vulnerability脆弱性弱點信息系統(tǒng)中可能被攻擊者利用的薄弱環(huán)節(jié)。[來源：GB/T25069—20102.3.30,有修改]3.7實施風險implementrisk滲透測試實施過程中可能對目標信息系統(tǒng)的保密性、完整性、可用性帶來的影響。3.8訪問控制accesscontrol一種保證數據處理系統(tǒng)的資源只能由被授權主體按授權方式進行訪問的手段。[來源：GB/T25069—20102.2.1.42]3.9仿真環(huán)境simulationenvironment為避免直接在目標信息系統(tǒng)中實施測試所引入的實施風險，仿照目標信息系統(tǒng)搭建且具備測試所需的各項條件的滲透測試實施環(huán)境。示例：業(yè)務系統(tǒng)及配置與生產一致的測試環(huán)境；生產環(huán)境中與生產服務器配置一致但不承載實際業(yè)務的模擬服務器；與生產高度一致的網絡靶場環(huán)境。3.10權限提升privilegeescalation在低權限用戶狀態(tài)下，利用信息系統(tǒng)中存在的漏洞突破權限控制，獲得該用戶原本不具備的操作權限的過程。示例：利用操作系統(tǒng)漏洞從普通用戶權限提升為超級管理員用戶權限。3.11現場清理siteclearing滲透測試實施完畢后，將目標信息系統(tǒng)恢復到測試前狀態(tài)的過程。示例：刪除上傳到目標信息系統(tǒng)中的測試腳本。3.12應急預案contingencyplan一種關于備份、應急響應和災后恢復的計劃。[來源：GB/T25069—2010,2.2.3.4]3.13保密性confidentiality信息對未授權的個人、實體或過程不可用或不泄露的特性。[來源：GB/T29246—2017,2.12]3.14完整性integrity準確和完備的特性。[來源：GB/T29246—2017,2.40]3.15可用性availability根據授權實體的要求可訪問和可使用的特性。[來源：GB/T29246—2017,2.9]3.16遵從性compliance遵守指導活動的相關條款的程度。概述銀行互聯(lián)網滲透測試是指從互聯(lián)網渠道發(fā)起的針對銀行信息系統(tǒng)的滲透測試，宜按照GB/T15532—2008中4.3規(guī)定的要求，將測試流程劃分為策劃、設計、執(zhí)行、總結四個階段，并根據整體JR/T0101—2013中4.4.3規(guī)定的要求，給出的單項測試三級規(guī)范編制。滲透測試策劃概述滲透測試策劃（以下簡稱測試策劃）主要進行滲透測試需求分析，包括確定測試范圍，確定測試引用文檔，確定測試項以及被測試特性和不被測試特性，確定測試方法與測試通過準則，確定暫停準則和恢復條件，規(guī)定測試活動、任務與進度，明確環(huán)境需求，分配職責、權限和各部門間的工作銜接，明確人員配備和培訓目標，明確風險和應急措施，確定質量保證過程。在測試過程中，如發(fā)現在測試規(guī)劃階段確定的內容有變化，宜及時變更測試策劃，并妥善管理測試策劃的版本。應用程序編程接口（API，ApplicationProgrammingInterface）方式接入前，需要進行接入方系統(tǒng)改造和接口開發(fā)，并與接口平臺開展聯(lián)調測試，其中功能測試和業(yè)務場景測試是必做項。確定測試范圍概述本滲透測試涉及到的范圍及其特征。示例：本滲透測試在因特網中國境內網段，針對實際生產環(huán)境進行。確定測試引用文檔確定開展?jié)B透測試所考慮的需求因素，每個文檔宜明確具體的標識（包括版本）和條款，典型的引用文檔包括：國家監(jiān)管制度。金融行業(yè)監(jiān)管制度。組織自身安全管理策略規(guī)范。團體組織準入規(guī)范。示例：支付卡行業(yè)安全標準委員會（PCISSC，PaymentCardIndustrySecurityStandardsCouncil）、環(huán)球銀行金融電信協(xié)會（SWIFT，SocietyWorldwideInterbankFinancialTelecommunication）等團體組織均有定期對特定信息系統(tǒng)進行滲透測試的相關規(guī)范。業(yè)務需求以及非功能需求。示例：某些重要業(yè)務系統(tǒng)需要很高的安全性，上線前和（或）上線后可能會提出專項的滲透測試需求。確定測試項根據界定的測試范圍，確定具體的滲透測試對象。測試項宜能夠進行明確的標識和界定。示例：測試項通過具有唯一性的屬性予以標識的例子包括互聯(lián)網協(xié)議（IP，InternetProtocol）地址、域名、域名+統(tǒng)一資源定位符（URL，UniformResourceLocators）、客戶端程序版本、客戶端程序文件哈希值。當測試范圍為因特網中國境內網段實際生產環(huán)境時，測試項為銀行的整個信息與通信（ICT，InformationandCommunicationsTechnology）系統(tǒng)。確定被測試特性和不被測試特性確定具體的滲透測試特性，即滲透測試針對測試項的哪些方面和不針對哪些方面。示例：當測試范圍為因特網中國境內網段，測試項為銀行的整個ICT系統(tǒng)時，被測試特性為針對通用信息技術產品的通過互聯(lián)網的攻擊和利用應用系統(tǒng)業(yè)務需求邏輯漏洞進行的攻擊。不被測試特性包括高級可持續(xù)威脅（APT，AdvancedPersistentThreat）攻擊和分布式拒絕服務（DDOS，DistributedDenyOfService）攻擊。確定測試方法與測試通過準則根據滲透測試的目的、內容以及實施特性，選定滲透測試方法，明確成功實施該測試的準則。示例：滲透測試全流程中典型的測試方法包括：搜索，如基于搜索引擎收集信息。掃描，如通過自動化掃描工具收集信息或檢測漏洞。監(jiān)聽，如通過網絡監(jiān)聽竊取未加密敏感信息。篡改，如篡改上傳服務端的交易數據。繞過，如繞過登錄控制直接訪問敏感信息。濫用，如惡意、頻繁地使用正常的業(yè)務功能。破解，如破解相關密碼算法還原加密的敏感信息。逆向，如通過動態(tài)調試、反編譯等方式掌握程序的運行邏輯。注入，如輸入包含惡意代碼的數據。確定暫停準則和恢復條件包括計劃內暫停和計劃外暫停兩種情況。在暫停后恢復時，宜關注是否需要進行回歸測試。測試交付項，宜確定為可交付項。確定測試活動、任務與進度明確準備和執(zhí)行滲透測試的主要活動、任務和所需的時間周期，粒度宜符合實際需要，對不同的活動、任務可按照不同的粒度進行規(guī)劃。明確各項任務間的所有依賴關系和所需要的任何特殊技能。示例：在典型情況下，具體的實施計劃宜包括測試的起始時間點、測試的結束時間點或結束標志，以及測試周期內的具體實施時間段。明確環(huán)境需求典型的測試環(huán)境需求包括但不限于：所需的硬件。所需的軟件，包括基礎軟件和測試工具軟件。所需的特殊硬件設備。所需的網絡環(huán)境，包括網絡種類、帶寬、賬號。測試所需的基礎數據。測試設計和執(zhí)行的物理場地與辦公設施。測試所需的銀行產品憑據。分配職責、權限和各部門間的工作銜接確定負責管理、設計、準備、執(zhí)行、監(jiān)督和解決問題的各個小組，實現所有的工作任務均有任務屬主，且明確承擔相關屬主角色之間的不兼容職責。所有參與者從承擔責任上分為任務屬主或參與者。從時間投入上分為全職人員或共享人員。宜確定這些個人和小組之間交流的內容和方法，包括闡明信息流和數據流的圖表。按最小權限原則對滲透測試全體人員進行合理授權。對涉及到內部網絡的，宜僅開通測試所需的網絡訪問范圍和相關支撐系統(tǒng)、應用系統(tǒng)所必要的用戶權限。對所有滲透測試涉及的文檔（包括本計劃）、工具、數據的歸屬、共享做出規(guī)定。明確人員配備和培訓目標根據任務和設置的小組與職責提出對人員的配備和技能的需求，對不具備相關技能的情況，說明如何進行培訓。示例：指導組、工具組、環(huán)境組人員來自專業(yè)團隊且已經具備了所需的知識與技能。設計組需外部專家指導且明確風險和應急措施標識測試策劃的風險假設，提出應對各種風險的應急措施。示例：本滲透測試可預料到的風險和應急措施包括：對生產環(huán)境可能導致的破壞風險，應急措施為提前編制應急預案，提前備份敏感數據及重要系統(tǒng)。該功能涉及到應用系統(tǒng)的修復。產業(yè)務高峰期，限制自動化工具的并發(fā)數。測試過程中誤操作可能導致的風險，應急措施為測試均應采用腳本化方式，操作時雙人實施。數據，以便后期通過回歸測試復現測試過程。確定質量保證過程明確為保證測試過程和產品質量所用的方法，包含或引用異常的跟蹤和解決過程。示例：所有的滲透測試均經過設計，編制了測試規(guī)格說明并經過評審。所有的測試過程均編制了測試日志，經質量控制人員審核，記錄內容與測試過程一致。編制了測試總結報告并通過評審。測試策劃階段文檔在測試策劃階段，宜按照JR/T0101—2013中第5章規(guī)定的要求，制定測試策劃。在本測試復用JR/T0101—2013中第10JR/T0101—2013中第15JR/T0101—2013中第9章規(guī)定的要求編制；測試日志宜按照JR/T0101—2013中第11章規(guī)定的要求編制，測試總結報告宜按照JR/T0101—2013中第14章規(guī)定的要求編制。滲透測試設計概述滲透測試設計（以下簡稱測試設計）是按照測試策劃，進一步細化針對被測試特征的測試方法和通過準則，選用已有的測試用例或設計新的測試用例；獲取并驗證測試數據；確定測試用例執(zhí)行順序的測試規(guī)程；準備測試工具并在必要時開發(fā)測試軟件；建立并驗證測試環(huán)境；進行測試就緒評審。在測試設計過程中，發(fā)現測試策劃需要變更的，宜在經過評審后及時變更測試策劃，使測試策劃與測試規(guī)格保持一致與協(xié)調。確定測試范圍說明本滲透測試涉及到的范圍及其特征。若測試策劃的范圍描述已經能夠滿足對不同測試方法的設計，則可直接參考該測試策劃。在必要時，可針對測試策劃中描述的測試范圍有選擇地進行細化，以說明應用相關測試方法的必要性。被測試特征、測試方法與通過準則在測試策劃描述的測試項、測試方法與測試通過準則的基礎上，針對每一測試特征，在必要時細化測試方法。描述的粒度宜能按照給定的方法進行測試用例和測試規(guī)程的設計。示例：測試項、測試方法與測試通過準則見測試策劃。測試用例測試用例標識規(guī)則明確測試用例描述的方式。不論采用哪種方式，均可唯一定位和檢索，并說明使用的規(guī)則與注意事項。測試用例概述對相關測試用例集合中每個輸入都有效的約束條件。任何共享環(huán)境的需求。對共享的特殊規(guī)程的規(guī)定。共享的測試用例之間的依賴關系。測試用例詳述概述每個或每組測試用例均宜遵循的規(guī)范，具體如下：對應的測試要點。適用測試規(guī)程（場景）描述。測試用例的輸入和預期的結果。測試結果判定方法。案例實施所需數據，如用戶。A。測試用例宜滿足的特殊需求。宜對測試用例潛在的實施風險及應急措施進行說明。生產環(huán)境下的滲透測試所使用的用戶宜提前備案并全程監(jiān)控。測試用例編號為本測試用例賦予一個唯一標識符，以便將其與其他測試用例區(qū)分開，宜通過自動工具生成標識符。輸入與輸出說明（或測試方法（或預期可能接收到的反饋。宜參1OWAPTop0OpenWebAppicaionSeuriyProjectTop10）（見7.4）和攻擊驗證內容（見7.5.1）的每一項的用例制定明確的輸入和輸出說明，規(guī)定所有合適的數據庫、文件、配置參數、接口報文、輸入終端、內存駐留區(qū)域及操作系統(tǒng)傳送的各個值。對于新技術、新業(yè)務場景等原因無法明確測試輸入輸出的，可采用莽撞測試的方法，宜描述具體數據記錄的方法，但相關測試宜由具有三年以上滲透測試工作經驗的測試人員完成，并提前獲得測試需求方授權。規(guī)定輸入之間的所有必要的關系。示例：輸入存在時序，前導交易和后繼交易均為輸入之間的關系。采用的測試設計方法6.3注：本節(jié)的目的是使得所有測試用例都采用了已經確定的測試設計方法。對其他用例依賴關系列出本測試用例與其他用例的依賴關系，宜區(qū)分以下情況：其他用例是執(zhí)行本測試用例的必要條件。本測試用例是執(zhí)行其他用例的必要條件。特殊需求說明描述執(zhí)行本測試用例時特殊的需求，包括但不限于管理需求、對人員的需求。對環(huán)境的需求宜在6.5中描述，本測試用例屬于特殊情況的，宜在本節(jié)提及。測試環(huán)境描述啟動滲透測試、執(zhí)行滲透測試和記錄結果所需的測試環(huán)境，通常按每個（或每組）場景進行描述，可使用一個（或多個）圖形來展示所有的環(huán)境組成成分及其間信息交互。滲透測試環(huán)境描述策略，具體如下：當滲透測試環(huán)境為生產環(huán)境時，可僅描述測試現場所需的環(huán)境。當在測試策劃中對環(huán)境的描述足夠清晰和細致的情況下，以及在單獨制定了測試環(huán)境需求規(guī)格說明和（或）測試數據需求規(guī)格說明時，本節(jié)可直接引用這些文檔。當測試策劃、測試環(huán)境需求規(guī)格說明、測試數據需求規(guī)格說明發(fā)生變更時，本節(jié)宜對變更情況進行詳細描述。僅為部分特殊的測試用例需求的測試環(huán)境，可不在本節(jié)描述。測試執(zhí)行環(huán)境滲透測試實施前宜完成各項環(huán)境準備工作，具體如下：基礎環(huán)境準備工作，當在為滲透測試專門搭建的仿真環(huán)境進行測試時，需說明與生產環(huán)境的差異并評價可比性，主要包括：測試所需的系統(tǒng)資源，包括硬件、基礎軟件和支撐軟件等。測試所需的網絡資源，包括硬件、地址、端口、賬號等。應用系統(tǒng)。測試基礎數據。監(jiān)控審計環(huán)境準備工作，確保測試過程得到有效的監(jiān)控和記錄，該環(huán)境宜滿足：所有網絡流量均得以記錄，并在所需的時間周期（例如半年）內可用。所有終端操作均得以記錄，并在所需的時間周期（例如半年）內可用。終端操作記錄方式可通過錄屏、命令行日志記錄等方式實現。已采取信息防泄漏措施。對基礎環(huán)境及監(jiān)控審計環(huán)境的有效性設立了檢查確認準則。測試工具準備滲透測試實施前宜完成各項工具準備工作，具體如下：準備以下常用滲透測試工具：信息收集工具，如端口掃描工具、目錄枚舉工具、網絡監(jiān)聽工具等。漏洞掃描工具，如網站漏洞掃描工具、系統(tǒng)層漏洞掃描工具等。漏洞利用工具，如暴力破解工具、數據包攔截和篡改工具、典型高危漏洞的專用工具等。測試文檔管理工具。缺陷管理工具。非實施方自主開發(fā)測試工具宜具備可跟蹤的、合規(guī)的獲取路徑。實施方自主開發(fā)測試工具宜由實施方進行工具安全性審查，重點審核不包含與銀行互聯(lián)網滲透測試實施無關的功能。對擬采用的工具進行詳細記錄，包括但不限于：工具名稱。工具用途。工具提供方。工具獲取途徑。工具版本號。工具的散列值。測試驗證授權對授權策略的執(zhí)行情況進行驗證，具體如下：測試實施人員宜具有達成測試目標所需的必要權限，包括以下內容：測試對象網絡可達。具有特定權限的測試用戶。根據測試目標配置合理的安全策略，包括以下內容：單純以發(fā)現應用軟件漏洞為目標的測試，宜通過白名單策略，放開對測試源的限制。以驗證目標系統(tǒng)整體安全防護狀況為目標的測試，不宜單獨為測試源開通特殊安全策略。采取有效措施來控制測試實施人員行為超越授權范圍的風險，包括以下內容：防火墻隔離。邊界監(jiān)控。日志審計。測試過程描述日志列出記錄日志的工具和方法，記錄的內容包括測試執(zhí)行的結果，任何觀測到的異常，以及任何其他有關測試的事件。建立提供準備執(zhí)行規(guī)程所需的動作序列。典型地，信息收集、威脅建模、漏洞發(fā)現都是建立的重要動作。啟動提供開始執(zhí)行規(guī)程所需的動作。典型地，滲透攻擊是啟動的重要動作。處理提供在規(guī)程執(zhí)行過程中所需的動作。若測試用例按照場景或系列場景設計，即由多組輸入、輸出的有序排列構成，則不必在此重復描述測試用例的執(zhí)行序列。本文件描述的攻擊過程（見7.5.2）是典型的處理過程。度量描述如何進行測試度量。度量可以是多維度的，例如對進度的度量和對測試結果的度量。暫停因計劃外事件導致的臨時暫停，描述測試所需的動作。對已經在測試策劃中描述了暫停的，此處引用即可。再啟動規(guī)定所有再啟動點，描述在各再啟動點上重新啟動規(guī)程所必需的動作。對已經在測試策劃中描述了再啟動的，此處引用即可。停止描述正常停止執(zhí)行時所必需的動作。結束描述在運行的規(guī)程全部執(zhí)行完成后（包括終止記錄日志），恢復環(huán)境所必需的動作。典型地，包括回收用于測試的權限。應急描述處理執(zhí)行過程中可能發(fā)生的異常事件所必需的動作。測試就緒評審在測試執(zhí)行前，宜對測試策劃和測試設計進行評審，評審測試策劃的合理性、測試環(huán)境和測試工具的有效性，以及測試用例的可操作性和覆蓋充分性等。評審的主要內容有：評審測試策劃的合理性，包括測試目標、測試項、測試內容、測試方法、時間計劃及授權策略等的合理性。評審測試環(huán)境和測試工具的有效性。評審測試用例的可操作性和充分性。測試設計階段文檔在測試設計過程中，宜按照JR/T0101—2013中第9章規(guī)定的要求，編制測試規(guī)格說明。對認為本滲透測試文檔具有高度復用價值的，宜按照JR/T0101—2013中第6、7、8章規(guī)定的要求，分別編制測試設計說明、測試用例說明和測試規(guī)程說明。在本測試復用概率較低且對后繼工作影響較小情JR/T0101—2013中第10JR/T0101—2013中第15如有必要，測試環(huán)境需求規(guī)格說明宜參照JR/T0101—2013中附錄D.4規(guī)定的要求，測試數據需求規(guī)格說明宜參照JR/T0101—2013中附錄D.5規(guī)定的要求。滲透測試執(zhí)行概述滲透測試執(zhí)行（以下簡稱測試執(zhí)行）是按照設計的過程執(zhí)行測試用例，獲得滲透測試結果，編制測試日志；分析并判定滲透測試是否達到預期以及是否進行多輪測試；測試結束前，審核測試記錄文檔是否完整、有效、一致；在測試過程中，如出現異常情況，按照測試設計進行處理并編制測試事件報告；完成全部預定的測試任務后，清理測試現場。在應急測試時，編制測試綜合報告中涉及到測試執(zhí)行的相關內容。信息收集滲透測試的信息收集宜根據具體的測試范圍、測試引用文檔和測試項，結合測試需求方提供的信息，在測試需求方認同并知曉的情況下，通過滲透收集或刺探性收集。基礎信息收集滲透測試宜嘗試進行基礎信息收集，具體如下：網絡信息，包括但不限于：域名解析記錄。IP開放端口。系統(tǒng)信息，包括但不限于：設備類型。已安裝的軟件，如中間件、數據庫、虛擬化軟件等。操作系統(tǒng)和已安裝軟件的官方補丁列表。應用信息，包括但不限于：開發(fā)語言。開源框架或插件。功能接口。URL業(yè)務功能。業(yè)務面向的用戶群體。應用的官方補丁列表。安全防護信息，包括但不限于：已部署的安全防護產品功能。已部署的安全防護產品的廠商。其他信息收集滲透測試可嘗試開展信息收集工作，具體如下：通過互聯(lián)網等公開合法渠道進一步收集與本滲透測試相關的信息如下：相關文檔資料。郵件列表。所處公共托管環(huán)境。已公開歷史安全漏洞。通過公開渠道所收集的信息如為委托方已泄露的內部敏感信息，及時告知委托方。提升測試效率及質量，經委托方同意，實施方可申請直接從委托方獲取部分測試對象相關信息如下：已使用的各類軟、硬件及其版本。部分源代碼。網絡拓撲。威脅建模威脅建模是指在分析業(yè)務功能特征基礎上分析攻擊者動機、判斷最主要威脅場景的過程。不是所有滲透測試或黑客攻擊都有該流程，在銀行互聯(lián)網滲透測試實施階段引入該環(huán)節(jié)的目的是通過分析銀行系統(tǒng)的不同業(yè)務特性，能更好地判斷攻擊動機，從而開展更加有針對性的測試。攻擊動機分析在分析滲透測試對象承載的業(yè)務及其流程的基礎上，分析評估潛在攻擊者的攻擊動機，具體如下：竊取資金。竊取敏感信息。作為入侵更重要系統(tǒng)的跳板。造成不良社會影響。威脅主體分析根據攻擊動機分析結果，分析評估潛在的威脅主體及其能力，具體如下：分析潛在外部威脅主體：逐利的黑產團伙。追求知名度的非授權安全技術人員。敵對政治勢力。無政府主義組織。分析潛在內部威脅主體：心懷惡意的員工。外包技術支持人員。主要攻擊場景判斷在攻擊動機分析和威脅主體分析基礎上，明確本次滲透所需要模擬的最主要攻擊場景，并據此調整滲透測試案例及工具方法。漏洞發(fā)現基礎漏洞發(fā)現滲透測試的基礎漏洞發(fā)現宜滿足如下一般性操作要點：在使用自動化漏洞掃描工具檢測漏洞的同時，根據威脅建模結果，有重點地開展手工漏洞檢測工作。在生產環(huán)境中，不直接實施影響系統(tǒng)正常對外提供業(yè)務服務的漏洞檢測技術。根據目標系統(tǒng)性能情況控制自動化漏洞掃描工具的并發(fā)數。在生產環(huán)境中，不直接對原有數據進行篡改。應用層漏洞發(fā)現根據信息收集情況，嘗試檢測發(fā)現潛在的應用層漏洞，具體如下：檢測應用在身份鑒別方面的漏洞，包括但不限于：弱口令。圖片驗證碼繞過。認證繞過。會話未正常結束。登錄請求重放。短信驗證碼泄露。檢測應用在訪問控制方面的漏洞，包括但不限于：越權訪問。交易步驟繞過。內部接口暴露。后臺安全防控模型繞過。檢測應用在敏感數據保護方面的漏洞，包括但不限于：重要業(yè)務參數篡改與偽造。數據訪問頻度控制不足。數據重放。返回非業(yè)務所需敏感數據。檢測應用在網站實現層面的漏洞，包括但不限于：結構化查詢語言（SQL，StructuredQueryLanguage）注入。操作系統(tǒng)命令注入?？蓴U展標記語言（XML，ExtensibleMarkupLanguage）注入。代碼注入?？缯灸_本（XSS，CrossSiteScripting）?？缯菊埱髠卧欤–SRF，CrossSiteRequestForgery）?？蓤?zhí)行文件上傳。任意文件下載。服務端請求偽造（SSRF，ServerSideRequestForgery）。不正確的目錄及頁面訪問控制。不正確的錯誤處理。存在通用應用層框架已知漏洞。檢測應用在客戶端程序實現層面的漏洞，包括但不限于：緩沖區(qū)溢出。敏感信息截取。功能接口濫用。程序邏輯逆向破解。生物識別突破。密碼密鑰硬編碼。網絡層漏洞發(fā)現根據信息收集情況，嘗試檢測發(fā)現潛在的網絡層漏洞，具體如下：檢測網絡傳輸的敏感信息是否已采取有效的保密性和完整性保護措施，包括但不限于：機密數據是否加密傳輸。所使用密碼算法是否安全。檢測相關網絡協(xié)議的安全性，包括但不限于：域名解析協(xié)議。路由交換協(xié)議。網絡管理協(xié)議。文件傳輸協(xié)議。無線射頻協(xié)議。檢測網絡安全策略中可能存在的漏洞，包括但不限于：防火墻策略不嚴格。入侵防御系統(tǒng)（IPS，IntrusionPreventionSystem）策略繞過。入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem）策略繞過。網站應用級防火墻（WAF，WebApplicationFirewall）策略繞過。檢測網絡設備中軟件版本存在的已知漏洞。檢測網絡設備中存在的配置漏洞，包括但不限于：弱口令。權限過高。未限制遠程管理地址。系統(tǒng)層漏洞發(fā)現根據信息收集情況，嘗試檢測發(fā)現潛在的系統(tǒng)層漏洞，具體如下：檢測相關系統(tǒng)存在的已知版本漏洞。檢測相關系統(tǒng)存在的配置漏洞，包括但不限于：弱口令。訪問控制不嚴格。權限過高。檢測相關系統(tǒng)在敏感數據存儲方面的漏洞，包括但不限于：敏感信息明文存儲。測試數據未變形。滲透攻擊攻擊驗證內容在滲透攻擊階段通過模擬實際攻擊，嘗試對漏洞的保密性、完整性、可用性及可能造成的實質影響進行驗證，具體內容包括但不限于：通過模擬實際攻擊，驗證可能對保密性造成的實質影響，包括但不限于：獲取網絡中敏感數據。獲取服務器中敏感文件。獲取數據庫敏感信息。獲取應用系統(tǒng)中未授權訪問的敏感信息。通過模擬實際攻擊，驗證可能對完整性造成的實質影響，包括但不限于：獲取數據庫操作權限。獲取服務器控制權限。獲取專用設備控制權限。獲取應用系統(tǒng)管理權限。篡改網站頁面、應用邏輯等應用系統(tǒng)的各個組成部分。篡改交易金額、賬戶、時間、重要提示信息等關鍵交易要素。破壞交易的不可否認性。通過模擬實際攻擊，驗證可能對可用性造成的實質影響，包括但不限于：導致網絡不可用。導致服務器不可用。導致應用程序不可用。導致數據庫服務不可用。攻擊過程在滲透攻擊階段宜嘗試實施如下攻擊過程：驗證單個漏洞的可利用性及可能造成的實質影響。嘗試通過多個漏洞的關聯(lián)利用驗證漏洞的綜合可利用性及可能造成的實質影響。攻擊獲取權限后，如非系統(tǒng)最高權限，嘗試開展權限提升可行性驗證。攻擊獲取權限后，嘗試橫向滲透。以已有成果為基礎，重復信息收集、威脅建模、漏洞發(fā)現、滲透攻擊等環(huán)節(jié)，確定進一步攻擊滲透其他目標的可能性。如具有可能性，開展相關驗證工作。攻擊實施完成后保存相關證據，包括但不限于截圖、錄像等。攻擊實施完成并保存相關證據后，開展現場清理工作，確保應用系統(tǒng)得到恢復，包括但不限于刪除上傳的文件、刪除增加的用戶、刪除安裝的工具等。風險控制在滲透攻擊階段宜采取如下措施控制實施風險：攻擊實施前在測試用例中說明含詳盡步驟的攻擊實施方案。攻擊實施過程每個步驟的指令及結果均在測試日志中進行詳細記錄。如滲透測試執(zhí)行過程涉及非法定必要的第三方人員，宜從如下方面做好工作：評估第三方人員可執(zhí)行的測試任務，使第三方人員僅接觸必要且可控的信息。在相關工作實施前與第三方人員及其派出單位簽署保密協(xié)議。在項目實施過程中，第三方人員不能使用未經授權的設備，必要時不能攜帶電子設備入場。項目完成后，在做好備份的前提下，監(jiān)督第三方人員清除測試現場，刪除測試相關數據，妥善處置紙質記錄文檔。如相關工作的實施風險在生產環(huán)境不可接受，則在仿真環(huán)境中開展。示例：對重要業(yè)務系統(tǒng)的DDOS攻擊測試，在仿真環(huán)境中開展。測試執(zhí)行階段文檔JR/T0101—2013中第11JR/T0101—2013中第12JR/T0101—2013中第15滲透測試總結概述滲透測試總結（以下簡稱測試總結）包括整理和分析測試數據，說明實際測試與測試策劃和測試設計的差異，進行測試充分性分析并描述未能解決的測試事件，進行測試結果匯總，給出建議和結論并說明依據，編制測試總結報告，并通過測試評審。在應急測試時，編制測試綜合報告中涉及到測試總結的相關內容并最終完成測試綜合報告。在認為必要時，可編制測試工作總結。測試數據分析對所有的測試日志進行分析。根據是否需要進行回歸測試判定測試日志記錄（包括采用信息化手段進行的記錄）的完整性，確認根據測試日志得出測試結論的充分性和可信性。差異分析分析測試日志和測試事件報告記錄的測試過程與測試策劃和測試規(guī)格說明的一致性，對不一致的內容進行分析以判定是否實現了預定的測試覆蓋。按照基線管理策略，在此時對測試策劃和測試規(guī)格說明進行變更的，宜進行必要的回歸測試以保證最小的測試覆蓋。風險決策根據分析分析目的漏洞定級既考慮了技術風險，又考慮了銀行業(yè)務的特性以及監(jiān)管規(guī)定。本文件的應用者有較為統(tǒng)一的漏洞定級方法，為統(tǒng)一管理評價奠定基礎。分析維度對風險的分析宜按照如下維度進行：信息系統(tǒng)重要性考量：受漏洞影響的信息系統(tǒng)整體重要性。受漏洞影響的具體功能模塊的重要性。漏洞對信息系統(tǒng)安全屬性的影響程度考量：對保密性的影響程度。對完整性的影響程度。對可用性的影響程度。漏洞本身的利用難度考量：漏洞被利用的前提條件限制。針對漏洞的攻擊發(fā)起路徑。攻擊工具的獲取難度及操作復雜度。遵從性主要考量漏洞的存在是否違背國家法律、法規(guī)及相關行業(yè)監(jiān)管規(guī)定的情況。根據上述描述可將漏洞帶來的風險分為嚴重、高、中、低、提示五個級別，具體定級方法見附錄B。報告編寫總體設計銀行互聯(lián)網滲透測試報告宜按照JR/T0101—2013中第14范圍概要描述本滲透測試的工作范圍，宜特別說明是否對生產環(huán)境進行測試。在認為必要時，可說明哪些內容沒有包括在本滲透測試中。引用文件引用列出所有適用的引用文件。尤其是外部有關滲透測試的文件，以及內部的測試策劃、測試規(guī)格說明文檔。為了便于閱讀，宜說明對引用文件摘錄到本測試總結報告中的情況。測試概要情況測試概要情況宜包括以下內容：規(guī)劃及準備階段各個環(huán)節(jié)的概要描述包括：委托方、實施方、實施人員。測試目標。測試對象。測試內容。測試方法。實施環(huán)境。工具清單。案例清單。在測試數據分析（8.2）的基礎上，描述實施階段各個環(huán)節(jié)具體開展情況的概要描述包括：信息收集情況。威脅建模結論。漏洞發(fā)現情況。滲透攻擊情況。在差異分析（8.3）的基礎上，說明制定的測試策劃、測試規(guī)格說明與測試執(zhí)行的差異以及必要的回歸測試情況。決策根據與結論和建議決策根據與結論和建議宜包括如下內容：描述包括風險決策根據分析（8.4）的內容。所發(fā)現漏洞的詳細技術分析及整改建議包括：漏洞在信息系統(tǒng)中的具體位置。漏洞的可利用情況及相關證據。漏洞的具體利用方式。漏洞的整改方案建議。所發(fā)現漏洞的整體統(tǒng)計分析及改進建議包括：不同維度的統(tǒng)計分布圖。統(tǒng)計分析所反映的問題。針對相關問題的改進建議。測試評審在測試完成后，評審測試執(zhí)行過程是否達到滲透測試目的。主要對測試執(zhí)行過程中的信息收集和漏洞發(fā)現的覆蓋充分性、威脅建模的有效性、滲透攻擊的完整性和深入性，以及攻擊驗證內容的保密性、完整性、可用性進行評審。評審的主要內容有：評審信息收集和漏洞發(fā)現的覆蓋充分性。評審威脅建模的有效性。評審攻擊驗證內容的保密性、完整性、可用性，以及攻擊過程的深入性。測試總結階段文檔按照JR/T0101—2013中第14章規(guī)定的要求，編制測試總結報告。JR/T0101—2013中第15在認為必要時，可按照JR/T0101—2013中附錄D.2規(guī)定的要求，編制測試工作總結。附錄A（資料性）銀行互聯(lián)網滲透測試過程要點清單本附錄給出了在進行銀行互聯(lián)網滲透測試設計時需要考慮到的基本測試要點，見表A.1。表A.1銀行互聯(lián)網滲透測試過程要點清單一級項二級項三級項測試要點信息收集基礎信息收集網絡信息收集IP地址段信息收集開放端口信息收集域名解析記錄收集系統(tǒng)信息收集設備類型信息收集操作系統(tǒng)版本信息收集已安裝軟件信息收集應用信息收集開發(fā)語言信息收集開源框架或插件信息收集功能接口信息收集URL路徑信息收集業(yè)務功能信息收集業(yè)務面向的用戶群體信息收集應用的官方補丁信息收集安全防護安全防護產品功能信息收集安全防護產品廠商信息收集拓展信息收集互聯(lián)網搜索相關文檔資料信息收集相關郵件列表信息收集所處公共托管環(huán)境信息收集已公開歷史安全漏洞信息收集委托方提供信息從委托方獲取相關信息威脅建模目標對象分析目標對象業(yè)務分析業(yè)務流程分析目標對象價值分析可能包含的敏感信息分析可能的資金竊取途徑分析對入侵其他重要系統(tǒng)的幫助分析可能造成的社會影響分析威脅主體分析外部威脅主體分析外部威脅主體的動機及能力分析內部威脅主體分析內部威脅主體的動機及能力分析主要威脅判斷明確主要攻擊場景明確主要攻擊場景漏洞發(fā)現應用層漏洞發(fā)現身份鑒別弱口令檢測表A.1銀行互聯(lián)網滲透測試過程要點清單（續(xù)）一級項二級項三級項測試要點漏洞發(fā)現應用層漏洞發(fā)現圖片驗證碼繞過檢測認證繞過檢測會話未正常結束檢測登錄請求重放檢測短信驗證碼泄露檢測訪問控制越權訪問檢測交易步驟繞過檢測內部接口暴露檢測后臺安全防控模型繞過檢測功能邏輯重要業(yè)務參數篡改與偽造檢測頻度控制不足檢測數據重放檢測返回非業(yè)務所需敏感數據檢測網站程序實現SQL注入檢測操作系統(tǒng)命令注入檢測XML注入檢測代碼注入檢測XSS檢測CSRF檢測可執(zhí)行文件上傳檢測任意文件下載檢測SSRF檢測不正確的目錄及頁面訪問控制檢測不正確的錯誤處理檢測存在通用應用層框架已知漏洞檢測客戶端程序實現緩沖區(qū)溢出檢測敏感信息截取檢測功能接口濫用檢測程序邏輯逆向破解檢測生物識別突破檢測密碼密鑰硬編碼檢測網絡傳輸機密數據是否加密檢測密碼算法是否安全檢測網絡協(xié)議域名解析協(xié)議相關漏洞檢測路由交換協(xié)議相關漏洞檢測表A.1銀行互聯(lián)網滲透測試過程要點清單（續(xù)）一級項二級項三級項測試要點漏洞發(fā)現應用層漏洞發(fā)現網絡管理協(xié)議相關漏洞檢測文件傳輸協(xié)議相關漏洞檢測無線射頻協(xié)議相關漏洞檢測網絡安全策略防火墻策略不嚴格檢測IPS策略繞過檢測IDS策略繞過檢測WAF策略繞過檢測網絡設備軟件版本軟件版本已知漏洞檢測網絡設備配置弱口令檢測權限過高檢測遠程管理地址限制檢測系統(tǒng)層漏洞發(fā)現系統(tǒng)軟件版本軟件版本已知漏洞檢測系統(tǒng)軟件配置弱口令檢測訪問控制不嚴格檢測權限過高檢測敏感數據存儲敏感信息明文存儲檢測測試數據未變形檢測滲透攻擊攻擊過程（如無法在生產環(huán)境直接開展，則在仿真環(huán)境開展）單個漏洞驗證（性、可用性三方面造成的實質影響）關聯(lián)利用嘗試多個漏洞的關聯(lián)利用權限提升嘗試權限提升橫向滲透可能性保存證據保存證據信息現場清理刪除上傳的文件刪除增加的用戶刪除安裝的工具具備前提條件”，并說明具體原因。示例：在設計“權限提升”用例時，宜以能獲取某個系統(tǒng)的低級別權限的測試用例為前提。若在漏洞檢測及模擬利用過程中并未發(fā)現可獲取低級別權限的安全漏洞，則“權限提升”要點即為“不具備前提條件”。附錄B（資料性）銀行互聯(lián)網滲透測試漏洞風險定級參考概述本附錄是在參考通用漏洞評分系統(tǒng)（CVSS，CommonVulnerabilityScoringSystem）、開放式互聯(lián)網應用程序安全項目（OWASP，OpenWebApplicationSecurityProject）等漏洞定級相關業(yè)界最佳實踐方法基礎上，結合銀行信息系統(tǒng)的特點制定。本附錄提出先通過影響程度、資產重要性、可利用性、遵從性4個參數計算出漏洞綜合風險值，再根據風險值給出定性的漏洞風險等級判定，具體見下圖，具體測算方法見本附錄其余各章。圖B弱點綜合風險關系圖影響程度測算影響程度由漏洞對保密性、完整性、可用性的影響3方面決定，不同的影響級別賦予不同的值，見表B.1。表B.1影響程度測算影響因子定性分級定性描述賦值對保密性的影響無影響不會導致信息泄露的漏洞。0部分影響aIPJAVA誤信息、服務器物理路徑等信息。0.275表B.1影響程度測算（續(xù)）影響因子定性分級定性描述賦值對保密性的影響部分影響b)可導致個別客戶信息被泄露的漏洞。嚴重影響可導致操作系統(tǒng)、網站后臺、數據庫等系統(tǒng)的管理員權限被獲取的漏洞。可導致客戶的賬戶權限被獲取的漏洞?？蓪е麓罅靠蛻裘舾行畔⒈恍孤兜穆┒础？蓪е聰祿煨畔⒈恍孤兜穆┒??？蓪е路掌魃洗罅棵舾行畔⒈恍孤兜穆┒础Ｊ纠郝┒葱孤读速~戶密碼或其他公司秘密信息。0.66對完整性的影響無影響攻擊者無法利用漏洞非法篡改（新增、刪除或修改）目標系統(tǒng)上的任何數據。0部分影響攻擊者可非法篡改的數據范圍非常有限。攻擊者不能非法篡改指定的數據，即攻擊者無法控制和使用篡改的數據。0.275嚴重影響可導致操作系統(tǒng)、網站后臺、數據庫等系統(tǒng)的管理員權限被獲取的漏洞?？蓪е氯我饪蛻舻馁~戶權限被獲取的漏洞。據。攻擊者可非法篡改目標系統(tǒng)的大量數據。攻擊者可非法篡改目標系統(tǒng)上的核心數據，比如資金交易數據。0.66對可用性的影響無影響對目標系統(tǒng)的使用和運行無任何影響的漏洞。0部分影響率會明顯下降。對網絡造成部分影響的漏洞，出現一定程度的網絡延遲。證的重定向和轉發(fā)。0.275嚴重影響可導致操作系統(tǒng)、網站后臺、數據庫等系統(tǒng)的管理員權限被獲取的漏洞?？蓪е氯我饪蛻舻馁~戶權限被獲取的漏洞。導致服務器無法正常運行的漏洞。導致網絡擁塞、癱瘓或其他影響正常訪問的漏洞。服務，比如服務器內的數據被篡改后，嚴重影響用戶使用。0.66影響程度的具體測算公式為：Impact=10.41×(1-(1-ConfImpact)×(1-IntegImpact)×(1-AvailImpact))式中：ConfImpact—對保密性的影響。IntegImpact—對完整性的影響。AvailImp