渗透测试方案.doc

1、完整版)渗透测试方案 四川品胜安全性渗透测试 测 试 方 案 成都国信安信息产业基地有限公司 二〇一五年十二月 目 录 目 录 1 1. 引言 2 1.1. 项目概述 2 2. 测试概述 2 2。1. 测试简介 2 2.2。 测试依据 2 2。3. 测试思路 3 2。3。1. 工作思路 3 2。3。2。 管理和技术要求 3 2。4. 人员及设备计划 4 2.4。1。 人员分配 4 2。4。2. 测试设备 4 3。 测试范围 5 4. 测试内容 8 5. 测试方法 10 5。1。 渗透测试原理 10

2、 5。2. 渗透测试的流程 10 5.3。 渗透测试的风险规避 11 5。4. 渗透测试的收益 12 5。5. 渗透测试工具介绍 12 6. 我公司渗透测试优势 14 6.1。 专业化团队优势 14 6。2. 深入化的测试需求分析 14 6.3. 规范化的渗透测试流程 14 6.4。 全面化的渗透测试内容 14 7。 后期服务 16 第15页 共16页 1. 引言 1.1. 项目概述 四川品胜品牌管理有限公司，是广东品胜电子股份有限公司的全资子公司。依托遍布全国的5000家加盟专卖店，四川品牌管理有限公司打造了线上线下结合的O2O购物平台—-“品胜•当日达”,

3、建立了“线上线下同价”、“千城当日达”、“向日葵随身服务”三大服务体系，为消费者带来便捷的O2O购物体验。 2011年,品胜在成都温江科技工业园建立起国内首座终端客户体验馆，以人性化的互动设计让消费者亲身感受移动电源、数码配件与生活的智能互联，为追求高品质产品性能的用户带来便捷、现代化的操作体验。 伴随业务的发展，原有的网站、系统、APP等都进行了不同程度的功能更新和系统投产，同时，系统安全要求越来越高，可能受到的恶意攻击包括：信息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、APT攻击等.这些攻击完全能造成信息系统瘫痪

4、重要信息流失。 2. 测试概述 2.1. 测试简介 本次测试内容为渗透测试。 渗透测试：是为了证明网络防御按照预期计划正常运行而提供的一种机制. 2.2. 测试依据 ※ GB/T 25000。51-2010《软件工程 软件产品质量要与评价(SQuaRE) 商业现货（COTS）软件产品的质量要求和测试细则》 ※ GB/T 16260—2006《软件工程 产品质量》 ※ GB/T 18336-2001《信息技术 安全技术 信息技术安全性评估准则》 ※ GB/T 20274-2006《信息系统安全保障评估框架》 ※ 客户提出的测试需求 2.3. 测试思路 2.3.1. 工作

5、思路 本次系统测试包括功能测试、性能测试、安全测试以及文档测试，本次测试工作将系统测试对象进行控制点划分，依据项目建设要求和相关标准、规范进行项目系统测试,并加强系统各阶段测试和实施过程控制，完善项目目标控制手段。 2.3.2. 管理和技术要求 1、 管理要求 为了保证本项目系统综合测试的顺利进行，将对项目实施事前评审和测试过程监督测试管理工作，合理分配项目人员负责相应的测试工作。 2、 技术要求 为了保证本项目系统测试的顺利进行，在本次测试过程中将采取如下技术要求： ※ 渗透测试:验证系统设计的安全性是否满足客户需求。 2.4. 人员及设备计划 2.4.1. 人员分配

6、 本次测试组织机构和人员分配如下: 项目管理组：杨方秀 现场测试组：屈绯颖、王洪斌、 项目文档组：龚正 质量控制组：杨方秀、屈绯颖 2.4.2. 测试设备 序号 设备或仪器名称 功能描述 数量 产地 备注 1. TestManager 测试管理 1 IBM 2. ClearQuest 缺陷跟踪 1 IBM 3. xscan 用于安全测试的漏洞扫描工具 1 4. 测试机 测试机 2 国产 3. 测试范围 检测分类 检测范围 Web网站 SQL注入 XSS跨站脚本 网页挂马 缓冲区溢出 文件上传漏

7、洞 源代码泄露 目录浏览、遍历漏洞 数据库泄露 弱口令 越权访问 会话验证绕过 管理地址泄露 舆论信息检测 中间件漏洞 支付安全验证 其他（如：写入控制,防止批量添加数据，是否使用验证码等) SOA服务端 SQL注入 缓冲区溢出 文件上传漏洞 目录浏览、遍历漏洞 弱口令 越权访问 会话验证绕过 中间件漏洞 其他（如：写入控制，防止批量添加数据,是否使用验证码等） APP源生客户端 组件安全检测 代码安全检测 内存安全检测 数据安全检测 业务安全检测 应用管理检测 服务器 身份鉴别 自主访问控制 强制访问控制 可信路径 安全审计

8、 剩余信息保护 入侵防范 恶意代码防范 资源控制 数据库数据安全 4. 测试内容 检测项目 检测子类 类型 扫描测试 渗透测试 当日达 前端SSO单点登录网站 WEB √ √ 后端SSO单点登录网站 WEB √ √ 当日达商城4期前台网站 WEB √ √ 当日达商城3期后台 WEB √ √ 当日达商城4期后台 WEB √ √ 砸金蛋活动 WEB √ 砸金蛋后台 WEB √ 一元云购 WEB √ 月月抢神器 WEB √ 滴滴贴膜 WEB √ 快递查询（PC端) WEB √

9、 快递查询(移动端） WEB √ 中国人民不断电 WEB √ √ 千城通APP APP √ 千机团 网站+APP WEB+APP √ √ 进销存 IMS进销存系统 WEB √ √ IMS进销存管理工具 WEB √ √ 品胜云 路由器固件升级后台管理 WEB √ √ 品胜云3.2（手机版） APP √ 品胜云2。0（IPAD版） APP √ 品胜云3。3（手机版） APP √ 品胜商城1.0 APP √ WEB服务 文件上传服务 WebService √ √ 当日达商城3期后台服务

10、 WebService √ √ 千城通APP调用服务 WebService √ √ 品胜云服务 WebService √ √ 品胜商城服务 WebService √ √ 路由器固件升级服务 WebService √ √ 服务器 CentOS 6。5 64bit （3台) Server √ CentOS 7.0 64bit （3台） Server √ Windows Server 2012 （2台） Server √ Windows Server 2008 （8台） Server √ 5. 测试方法 针对本次

11、项目的测试范围和内容，我公司采取渗透测试的方法对整体系统进行安全性评估. 5.1. 渗透测试原理 渗透测试过程主要依据现今已经掌握的安全漏洞信息，模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试,这里说有的渗透测试行为将在客户的书面明确授权和监督下进行。 5.2. 渗透测试的流程 Ø 方案制定: 在获取到业主单位的书面授权许可后, 才进行渗透测试的实施。并且将实施范围、方法、时间、 人员等具体的方案与业主单位进行交流，并得到业主单位的认同. 在测试实施之前，会做到让业主单位对渗透测试过程和风险的知晓， 使随后的正式测试流程都在业主单位的控制下。 Ø 信息收集： 这包括

12、操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。 可以采用一些商业安全评估系统（如： ISS、极光等） ； 免费的检测工具（NESSUS、Nmap 等)进行收集 Ø 测试实施： 在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行：操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如：Web应用），此阶段如果成功的话，可能获得普通权限。渗透测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺利完成工程。 在获取到普通权限后， 尝试由普通权限提升为管理员权限， 获得对系统的完全控制权。一旦成功

13、控制一台或多台服务器后，测试人员将利用这些被控制的服务器作为跳板，绕过防火墙或其他安全设备的防护，从而对内网其他服务器和客户端进行进一步的渗透。此过程将循环进行， 直到测试完成。最后由渗透测试人员清除中间数据。 Ø 报告输出： 渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。内容包括:具体的操作步骤描述；响应分析以及最后的安全修复建议 Ø 安全复查： 渗透测试完成后，某某协助业主单位对已发现的安全隐患进行修复.修复完成后，渗透测试工程师对修复的成果再次进行远程测试复查，对修复的结果进行检验，确保修复结果的有效性。 5.3. 渗透测试的风险规避 在渗透测试过程中，虽然我们会

14、尽量避免做影响正常业务运行的操作，也会实施风险规避的计策，但是由于测试过程变化多端，渗透测试服务仍然有可能对网络、系统运行造成一定不同程度的影响，严重的后果是可能造成服务停止, 甚至是宕机.比如渗透人员实施系统权限提升操作时,突遇系统停电，再次重启时可能会出现系统无法启动的故障等。因此，我们会在渗透测试前与业主单位详细讨论渗透方案，并采取如下多条策略来规避渗透测试带来的风险. Ø 时间策略： 为减轻渗透测试造成的压力和预备风险排除时间,一般的安排测试时间在业务量不高的时间段。 Ø 测试策略：  为了防范测试导致业务的中断，可以不做一些拒绝服务类的测试。非常重要的系统不建议做深入的测试，

15、避免意外崩溃而造成不可挽回的损失；具体测试过程中,最终结果可以由测试人员做推测,而不实施危险的操作步骤加以验证等. Ø 备份策略: 为防范渗透过程中的异常问题，测试的目标系统需要事先做一个完整的数据备份，以便在问题发生后能及时恢复工作。对于核心业务系统等不可接受可能风险的系统的测试，可以采取对目标副本进行渗透的方式加以实施。这样就需要完整的复制目标系统的环境：硬件平台、操作系统、应用服务、程序软件、业务访问等;然后对该副本再进行渗透测试。 Ø 应急策略： 测试过程中，如果目标系统出现无响应、中断或者崩溃等情况，我们会立即中止渗透测试，并配合业主单位技术人员进行修复处理等. 在确认问题、

16、修复系统、 防范此故障再重演后,经业主单位方同意才能继续进行其余的测试。 Ø 沟通策略： 测试过程中，确定测试人员和业主单位方配合人员的联系方式，便于及时沟通并解决工程中的难点。 5.4. 渗透测试的收益 渗透测试是站在实战角度对业主单位指定的目标系统进行的安全评估，可以让业主单位相关人员直观的了解到自己网络、系统、应用中隐含的漏洞和危害发生时可能导致的损失.通过我们的渗透测试，可以获得如下增益。 Ø 安全缺陷： 从黑客的角度发现业主单位安全体系中的漏洞(隐含缺陷），协助业主单位明确目前降低风险的措施，为下一步的安全策略调整指明了方向。 Ø 测试报告: 能帮助业主单位以实际案例

17、的形式来说明目前安全现状，从而增加业主单位 对信息安全的认知度,提升业主单位人员的风险危机意识，从而实现内部安全等级的整体提升。 Ø 交互式渗透测试： 我们的渗透测试人员在业主单位约定的范围、时间内实施测试，而业主单位人员可以与此同时进行相关的检测监控工作,测试自己能不能发现正在进行的渗透测试过程，从中真实的评估自己的检测预警能力。 5.5. 渗透测试工具介绍 渗透测试人员模拟黑客入侵攻击的过程中使用的是操作系统自带网络应用、 管理和诊断工具、黑客可以在网络上免费下载的扫描器、远程入侵代码和本地提升权限代码以及某某自主开发的安全扫描工具。这些工具经过全球数以万计的程序员、网络管理员、

18、安全专家以及黑客的测试和实际应用,在技术上已经非常成熟，实现了网络检查和安全测试的高度可控性，能够根据使用者的实际要求进行有针对性的测试. 但是安全工具本身也是一把双刃剑，为了做到万无一失， 我们也将针对系统可能出现的不稳定现象提出相应对策，以确保服务器和网络设备在进行渗透测试的过程中保持在可信状态。 6. 我公司渗透测试优势 6.1. 专业化团队优势 我公司有渗透测试优势专业化的渗透测试团队.渗透测试服务开展相对较早,经验非常丰富,曾经参与过很多大型网站的渗透测试工作.渗透测试团队会根据项目的规模有选择性的申请部分漏洞研发团队专家参与到项目中，共同组成临时的渗透测试小组,面向用户提供深

19、层次、多角度、全方位的渗透测试 6.2. 深入化的测试需求分析 在渗透测试开展前期，会从技术层面（网络层、系统层、应用层)着手与用户进行广泛沟通，对用户当前的一些重要资料进行采集、汇总、梳理、掌握, 以便为渗透测试工作地开展奠定良好的基础。除了技术层面以外，某某也将会根据用户渗透测试的目标以及提出的需求着重对于用户的业务层面进行分析， 并且将分析结果应用于渗透测试当中,做到明确所有需求的基础上准确而深入的贯彻用户的意图，将渗透测试的目标与业务系统连续性运行保障紧密的结合起来。 6.3. 规范化的渗透测试流程 渗透测试流程分为准备、渗透以及加固三个基本阶段,在每个阶段都会生成阶段文档，最

20、终在完成渗透测试整个流程以后将会由项目经理将三个阶段的文档进行整理、汇总、提交给用户.并且针对过程中遇到的问题向用户进行汇报. 某某提供的渗透测试流程特点就在于将渗透准备阶段及安全加固阶段作为两个独立而重要环节贯穿于整个渗透测试过程当中，这样就可以结合某某在项目监控管理方面的优势对整个渗透测试项目开展的规范化加以保障。 6.4. 全面化的渗透测试内容 渗透测试内容基本围绕技术层面（系统层、应用层、网络层）进行开展，并且针对不同层面的安全漏洞及威胁某某提供了一系列渗透测试方法及流程。并且结合不同的漏洞也提出相应的修补建议供用户借鉴。 7. 后期服务 1、提供系统性能优化改进方案。 2、测试过程中、测试后提出改进意见，测试后配合做好系统优化改进工作，提供回归测试.