某網(wǎng)站安全測(cè)試方案.docx_第1頁(yè)
某網(wǎng)站安全測(cè)試方案.docx_第2頁(yè)
某網(wǎng)站安全測(cè)試方案.docx_第3頁(yè)
某網(wǎng)站安全測(cè)試方案.docx_第4頁(yè)
某網(wǎng)站安全測(cè)試方案.docx_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余2頁(yè)可下載查看

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、.XX 檢測(cè)計(jì)劃作者:版本:時(shí)間:專業(yè)資料海關(guān)門戶網(wǎng)站安全測(cè)試方案目錄一、檢測(cè)背景 .- 3 -二、檢測(cè)目標(biāo) .- 3 -三、檢測(cè)案 .- 3 -1.案概況 .- 3 -2.配合要求 .- 3 -3.檢測(cè)流程 .- 3 -4.檢測(cè)對(duì)象 .- 4 -5.檢測(cè)期 .- 5 -四、風(fēng)險(xiǎn)聲明 .- 5 -1.操作系統(tǒng)和常見應(yīng)用漏洞掃描.- 5 -2.WEB 應(yīng)用漏洞掃描 .- 6 -海關(guān)門戶網(wǎng)站安全測(cè)試方案海關(guān)門戶網(wǎng)站安全測(cè)試方案一、檢測(cè)背景二、檢測(cè)目標(biāo)三、檢測(cè)案1. 案概況案概況預(yù)計(jì)檢測(cè)時(shí)間預(yù)計(jì)檢測(cè)地點(diǎn)預(yù)計(jì)檢測(cè)人員預(yù)計(jì)檢測(cè)圍預(yù)計(jì)檢測(cè)容預(yù)計(jì)檢測(cè)法預(yù)計(jì)檢測(cè)工具預(yù)計(jì)檢測(cè)標(biāo)準(zhǔn)2. 配合要求? 人員配合要求?

2、 提供的資料文檔? 提供的現(xiàn)場(chǎng)環(huán)境和條件3. 檢測(cè)流程信息收集: 此階段中,滲透檢測(cè)小組進(jìn)行必要的信息收集,通過(guò)現(xiàn)場(chǎng)訪談確定檢測(cè)時(shí)間、檢測(cè)式、檢測(cè)地點(diǎn)、注意事項(xiàng)等。通過(guò)互聯(lián)海關(guān)門戶網(wǎng)站安全測(cè)試方案網(wǎng)搜集,獲取 IP 地址、 DNS 域名、應(yīng)用系統(tǒng)、軟硬件環(huán)境等。初步完成分析網(wǎng)絡(luò)拓?fù)?、操作系統(tǒng)、數(shù)據(jù)庫(kù)版本等相關(guān)環(huán)境的目標(biāo)。滲透檢測(cè):此階段中,滲透檢測(cè)小組根據(jù)信息收集階段分析的信息,從互聯(lián)網(wǎng)模擬黑客攻擊式,對(duì)外部網(wǎng)絡(luò)、系統(tǒng)進(jìn)行滲透檢測(cè)。此階段如果發(fā)現(xiàn)問題,進(jìn)行收集證據(jù),簡(jiǎn)單利用漏洞獲取非敏感信息,證明漏洞可用;如果未發(fā)現(xiàn)問題則滲透檢測(cè)結(jié)束。本次測(cè)試將大量使用自動(dòng)化檢測(cè)設(shè)備進(jìn)行測(cè)試,主要針對(duì)安全性,

3、敏感字,網(wǎng)頁(yè)暗鏈進(jìn)行檢測(cè)。輸出報(bào)告:此階段中,滲透檢測(cè)小組根據(jù)檢測(cè)的結(jié)果編寫直觀的滲透檢測(cè)服務(wù)報(bào)告。4. 檢測(cè)對(duì)象對(duì) XX 進(jìn)行安全檢測(cè)和滲透檢測(cè)的圍:序號(hào)名稱域名IP 地址備注1234海關(guān)門戶網(wǎng)站安全測(cè)試方案5. 檢測(cè)期編號(hào) 階段名工作容最早啟動(dòng)時(shí)間最早結(jié)束時(shí)間 最晚啟動(dòng)時(shí)間最晚結(jié)束時(shí)間最長(zhǎng)天數(shù)四、風(fēng)險(xiǎn)聲明1. 操作系統(tǒng)和常見應(yīng)用漏洞掃描在使用掃描器對(duì)目標(biāo)系統(tǒng)掃描的過(guò)程中,可能會(huì)出現(xiàn)以下的風(fēng)險(xiǎn):? 占用帶寬(風(fēng)險(xiǎn)不高)。? 進(jìn)程、系統(tǒng)崩潰。由于目標(biāo)系統(tǒng)的多樣性及脆弱性,或是目標(biāo)系統(tǒng)上某些特殊服務(wù)本身存在的缺陷,對(duì)掃描器發(fā)送的探測(cè)包或者滲透測(cè)試工具發(fā)出的測(cè)試數(shù)據(jù)不能正常響應(yīng),可能會(huì)出現(xiàn)系統(tǒng)崩潰

4、或程序進(jìn)程的崩潰。? 登錄界面鎖死。掃描器可以對(duì)某些常用應(yīng)用程序(系統(tǒng)登錄、FTP, Telnet ,SNMP ,SSH,WEBLOGIC )的登錄口令進(jìn)行弱口令猜測(cè)驗(yàn)證,如果目標(biāo)系統(tǒng)對(duì)登錄失敗次數(shù)進(jìn)行了限制,嘗試登錄次數(shù)超過(guò)限定次數(shù)系統(tǒng)可能會(huì)鎖死登錄界面。風(fēng)險(xiǎn)規(guī)避法:? 根據(jù)目標(biāo)系統(tǒng)的網(wǎng)絡(luò)、應(yīng)用狀況,調(diào)整掃描測(cè)試時(shí)間段,采取避峰掃描;? 對(duì)掃描器掃描策略進(jìn)行配置, 適當(dāng)調(diào)整掃描器的并發(fā)任務(wù)數(shù)和掃描的強(qiáng)度,可使減少掃描器工作時(shí)占用的帶寬,降低對(duì)目標(biāo)系統(tǒng)影響;? 根據(jù)目標(biāo)系統(tǒng)及目標(biāo)系統(tǒng)上運(yùn)行的應(yīng)用程序, 通過(guò)與測(cè)評(píng)委托海關(guān)門戶網(wǎng)站安全測(cè)試方案相關(guān)人員協(xié)商,定制針對(duì)本系統(tǒng)測(cè)試的掃描插件、端口等配置,盡量合理設(shè)置掃描強(qiáng)度,降低目標(biāo)系統(tǒng)或進(jìn)程崩潰的風(fēng)險(xiǎn);? 如目標(biāo)系統(tǒng)對(duì)登錄某些相關(guān)程序的嘗試次數(shù)進(jìn)行了限制, 在進(jìn)行掃描時(shí),可屏蔽暴力猜解功能,以避免登錄界面鎖死的情況發(fā)生。2. WEB 應(yīng)用漏洞掃描在使用 WEB 應(yīng)用漏洞掃描器對(duì)目標(biāo)系統(tǒng)掃描的過(guò)程中,可能會(huì)存在以下的風(fēng)險(xiǎn):? 占用帶寬(風(fēng)險(xiǎn)不高)。? 登錄界面鎖死。 WEB 應(yīng)用漏洞掃描會(huì)對(duì)登錄頁(yè)面進(jìn)行弱口令猜測(cè),猜測(cè)過(guò)程可能會(huì)造成應(yīng)用系統(tǒng)某些帳號(hào)鎖死。風(fēng)險(xiǎn)規(guī)避法:? 根據(jù)目標(biāo)系統(tǒng)的網(wǎng)絡(luò)、應(yīng)用狀況,調(diào)整掃描測(cè)試時(shí)間段,采取避峰掃描;? 如目標(biāo)系統(tǒng)對(duì)登錄某些相關(guān)程序的嘗試次數(shù)進(jìn)行了限制, 在進(jìn)行掃描時(shí),可屏蔽暴力猜解功能,以

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論