Web應(yīng)用安全測試方案_第1頁
Web應(yīng)用安全測試方案_第2頁
Web應(yīng)用安全測試方案_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、1 Web安全測試技術(shù)方案1.1 測試的目標(biāo) 更好的發(fā)現(xiàn)當(dāng)前系統(tǒng)存在的可能的安全隱患,避免發(fā)生危害性的安全事件 更好的為今后系統(tǒng)建設(shè)提供指導(dǎo)和有價值的意見及建議1.2 測試的范圍本期測試服務(wù)范圍包含如下各個系統(tǒng):Web系統(tǒng):1.3 測試的內(nèi)容1.3.1 WEB 用針對網(wǎng)站及WEB系統(tǒng)的安全測試,我們將進行以下方面的測試:Web 服務(wù)器安全漏洞Web 服務(wù)器錯誤配置SQL 注入XSS (跨站腳本)CRLF 注入目錄遍歷文件包含輸入驗證認證邏輯錯誤Google Hacking 密碼保護區(qū)域猜測 字典攻擊 特定的錯誤頁面檢測 脆弱權(quán)限的目錄 危險的 HTTP 方法(如: PUT、 DELETE)1.

2、4 測試的流程方案制定部分:獲取到客戶的書面授權(quán)許可后,才進行安全測試的實施。并且將實施范圍、方法、時間、人員等具體 的方案與客戶進行交流,并得到客戶的認同。在測試實施之前,讓客戶對安全測試過程和風(fēng)險知曉,使隨后的正式測試流程都在客戶的控制下。信息收集部分: 這包括:操作系統(tǒng)類型指紋收集;網(wǎng)絡(luò)拓撲結(jié)構(gòu)分析;端口掃描和目標(biāo)系統(tǒng)提供的服務(wù)識別等。采用商業(yè)和開源的檢測工具( AWVS burpsuite、Nmap等)進行收集。測試實施部分:在規(guī)避防火墻、入侵檢測、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進行:操作系統(tǒng)可檢測到的漏洞測試、 應(yīng)用系統(tǒng)檢測到的漏洞測試(如:Web應(yīng)用),此階段如果成功的話,可能獲得

3、普通權(quán)限。安全測試人員可能用到的測試手段有:掃描分析、溢出測試、口令爆破、社會工程學(xué)、客戶端攻擊、 中間人攻擊等,用于測試人員順利完成工程。在獲取到普通權(quán)限后,嘗試由普通權(quán)限提升為管理員權(quán)限, 獲得對系統(tǒng)的完全控制權(quán)。此過程將循環(huán)進行,直到測試完成。最后由安全測試人員清除中間數(shù)據(jù)。分析報告輸出: 安全測試人員根據(jù)測試的過程結(jié)果編寫直觀的安全測試服務(wù)報告。內(nèi)容包括:具體的操作步驟描述; 響應(yīng)分析以及最后的安全修復(fù)建議。下圖是更為詳細的步驟拆分示意圖:1.5 測試的手段根據(jù)安全測試的實際需求, 采取自動化測試與人工檢測與審核相結(jié)合的方式, 大大的減少了自動化測 試過程中的誤報問題。1.5.1 常用

4、工具列表自動化掃描工具: AWV、S OWASP ZA、PBurpsuite 等端口掃描、服務(wù)檢測: Nmap THC-Amap等 密碼、口令破解: Johntheripper 、 HASHCA、T Cain 等 漏洞利用工具: MetasploitFramework 等 應(yīng)用缺陷分析工具: Burpsuite 、 Sqlmap 等1.6 測試的風(fēng)險規(guī)避在安全測試過程中, 雖然我們會盡量避免做影響正常業(yè)務(wù)運行的操作, 也會實施風(fēng)險規(guī)避的計策, 但 是由于測試過程變化多端,安全測試服務(wù)仍然有可能對網(wǎng)絡(luò)、系統(tǒng)運行造成一定不同程度的影響,嚴(yán)重的 后果是可能造成服務(wù)停止,甚至是宕機。比如滲透人員實施系

5、統(tǒng)權(quán)限提升操作時,突遇系統(tǒng)停電,再次重 啟時可能會出現(xiàn)系統(tǒng)無法啟動的故障等。因此,我們會在安全測試前與客戶詳細討論滲透方案,并采取如下多條策略來規(guī)避安全測試帶來的風(fēng) 險:1.6.1 需要客戶規(guī)避的風(fēng)險 備份策略為防范安全測試過程中的異常問題,測試的目標(biāo)系統(tǒng)需要事先做一個完整的數(shù)據(jù)備份,以便在問題發(fā) 生后能及時恢復(fù)工作。對銀行轉(zhuǎn)帳、電信計費、電力調(diào)度等不可接受可能風(fēng)險的系統(tǒng)的測試,可以采取對目標(biāo)副本進行滲透 的方式加以實施。這樣就需要完整的復(fù)制目標(biāo)系統(tǒng)的環(huán)境:硬件平臺、操作系統(tǒng)、應(yīng)用服務(wù)、程序軟件、 業(yè)務(wù)訪問等;然后對該副本再進行安全測試。 應(yīng)急策略測試過程中,如果目標(biāo)系統(tǒng)出現(xiàn)無響應(yīng)、中

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論