信息系統(tǒng)滲透測(cè)試方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上廣東省XXXX廳重要信息系統(tǒng)滲透測(cè)試方案目 錄專心-專注-專業(yè)1. 概述1.1. 滲透測(cè)試概述滲透測(cè)試（Penetration Test）是指安全工程師盡可能完整摸擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對(duì)目標(biāo)網(wǎng)絡(luò)/系統(tǒng)/主機(jī)/應(yīng)用的安全性做深入的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)的過程，滲透測(cè)試能夠直觀的讓管理人員知道自己網(wǎng)絡(luò)面臨的問題。滲透測(cè)試是一種專業(yè)的安全服務(wù)，類似于軍隊(duì)里的“實(shí)戰(zhàn)演習(xí)”或者“沙盤推演”，通過實(shí)戰(zhàn)和推演，讓用戶清晰了解目前網(wǎng)絡(luò)的脆弱性、可能造成的影響，以便采取必要的防范措施。1.2. 為客戶帶來的收益從滲透測(cè)試中，客戶能夠得到的收益至少有：1) 協(xié)助用戶發(fā)

2、現(xiàn)組織中的安全最短板，協(xié)助企業(yè)有效的了解目前降低風(fēng)險(xiǎn)的初始任務(wù)；2) 一份文檔齊全有效的滲透測(cè)試報(bào)告有助于組織IT管理者以案例說明目前安全現(xiàn)狀，從而增強(qiáng)信息安全認(rèn)知程度，甚至提高組織在安全方面的預(yù)算；3) 信息安全是一個(gè)整體工程，滲透測(cè)試有助于組織中的所有成員意識(shí)到自己崗位同樣可能提高或降低風(fēng)險(xiǎn)，有助于內(nèi)部安全的提升；當(dāng)然，滲透測(cè)試并不能保證發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)中所有的弱點(diǎn)，因此我們不宜片面強(qiáng)調(diào)它的重要性。2. 涉及的技術(shù)我們簡(jiǎn)單介紹滲透測(cè)試的各個(gè)階段可能會(huì)用到的一些工具。目的：收集信息進(jìn)行進(jìn)一步攻擊決策內(nèi)容：獲得域名及IP分布獲得拓?fù)浼癘S等獲得端口和服務(wù)獲得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：時(shí)行攻擊

3、獲得系統(tǒng)的一定權(quán)限內(nèi)容：獲得遠(yuǎn)程權(quán)限進(jìn)入遠(yuǎn)程系統(tǒng)提升本地權(quán)限進(jìn)一步擴(kuò)展權(quán)限進(jìn)行實(shí)質(zhì)性操作目的：消除痕跡，長(zhǎng)期維持一定的權(quán)限內(nèi)容：刪除日志修補(bǔ)明顯的漏洞植入后門木馬進(jìn)一步滲透擴(kuò)展進(jìn)入潛伏狀態(tài)預(yù)攻擊攻擊后攻擊2.1. 預(yù)攻擊階段基本網(wǎng)絡(luò)信息獲取l Ping目標(biāo)網(wǎng)絡(luò)得到IP地址和ttl等信息l Tcptraceroute等traceroute的結(jié)果l Whois結(jié)果l Netcraft獲取目標(biāo)可能存在的域名、web及服務(wù)器信息l Curl獲得目標(biāo)web基本信息l Nmap對(duì)網(wǎng)站進(jìn)行端口掃描并判斷操作系統(tǒng)類型l Google、yahoo、baidu等搜索引擎獲取目標(biāo)信息l 采用FWtester、hpi

4、ng3等工具進(jìn)行防火墻規(guī)則探測(cè)l 常規(guī)漏洞掃描和采用商用軟件進(jìn)行檢測(cè)l 結(jié)合使用xscan與Nessu等商用或免費(fèi)掃描工個(gè)進(jìn)行漏洞掃描l 采用Solarwind對(duì)網(wǎng)絡(luò)設(shè)備等進(jìn)行發(fā)現(xiàn)l 采用nikto、webinspect等軟件對(duì)web常見漏洞進(jìn)行掃描l 采用如AppDetective之類的商用軟件對(duì)數(shù)據(jù)庫進(jìn)行掃描分析l 對(duì)Web和數(shù)據(jù)庫應(yīng)用進(jìn)行分析l 采用Webproxy、SPIKEProxy、webscarab、ParosProxy、Absinthe等工具進(jìn)行分析l 用Ehtereal進(jìn)行抓包協(xié)助分析l 用webscan、fuzzer進(jìn)行SQL注入和XSS漏洞初步分析l 手工檢測(cè)SQL注入和

5、XSS漏洞l 采用類似OScanner工具對(duì)數(shù)據(jù)庫進(jìn)行分析l 對(duì)應(yīng)用分析的注意事項(xiàng)l 檢查應(yīng)用系統(tǒng)架構(gòu)、防止用戶繞過系統(tǒng)直接修改數(shù)據(jù)庫l 檢查身份認(rèn)證模塊，防止非法用戶繞過身份驗(yàn)證l 檢查數(shù)據(jù)庫接口模塊，防止用戶獲取系統(tǒng)權(quán)限l 檢查其他安全威脅l 2.2. 攻擊階段基于通用設(shè)備、數(shù)據(jù)庫、操作系統(tǒng)和應(yīng)用的攻擊可以采用各種公開及私有的緩沖區(qū)溢出程序代碼，基于應(yīng)用的攻擊基于Web、數(shù)據(jù)庫或特定的B/S或C/S結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用程序存在的弱點(diǎn)進(jìn)行攻擊，常見的如SQL注入攻擊、跨站腳本攻擊等?？诹畈陆饧夹g(shù)口令是信息安全里永恒的主題，通過弱口令獲取權(quán)限者不在少數(shù)。進(jìn)行口令猜解可以用X-scan、Brutus、

6、Hydra、溯雪等工具。2.3. 后攻擊階段口令嗅探與鍵盤記錄嗅探、鍵盤記錄、木馬等軟件，功能簡(jiǎn)單，但要求不被防病毒軟件發(fā)覺，因此通常需要自行開發(fā)或修改?？诹钇平庥性S多口令破解工具，如L0phtCrack、John the Ripper、Cain等。2.4. 其它手法這里列出的方法，有些可能對(duì)用戶的網(wǎng)絡(luò)造成較大的影響（如服務(wù)中斷），有的則與安全管理密切相關(guān)，有的則需要到現(xiàn)場(chǎng)才能進(jìn)行作業(yè)，因此通常情況下較少采用。但可以根據(jù)客戶的需求狀態(tài)進(jìn)行判斷。l DoS&DDoSl 客戶端攻擊l 社交工程方法3. 操作中的注意事項(xiàng)3.1. 測(cè)試前提供給滲透測(cè)試者的資料3.1.1. 黑箱測(cè)試黑箱測(cè)試又被

7、稱為所謂的“zero-knowledge testing”,滲透者完全處于對(duì)系統(tǒng)一無所知的狀態(tài)，通常這類型測(cè)試，最初的信息獲取來自于DNS、Web、Email及各種公開對(duì)外的服務(wù)器。3.1.2. 白盒測(cè)試白盒測(cè)試與黑箱測(cè)試恰恰相反，測(cè)試者可以通過正常的渠道向被單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)?、員工資料甚至網(wǎng)站或其它程序的代碼片斷，也能夠與單位的其它員工（銷售、程序員、管理者）進(jìn)行面對(duì)面的交流。這類測(cè)試的目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作。3.1.3. 隱秘測(cè)試隱秘測(cè)試是對(duì)被測(cè)單位而言的，通常情況下，接受滲透測(cè)試的單位網(wǎng)絡(luò)管理部門會(huì)收到通知：在某些時(shí)段進(jìn)行測(cè)試，因此能夠監(jiān)測(cè)網(wǎng)絡(luò)中出現(xiàn)的變化，但隱性測(cè)

8、試則被測(cè)單位也僅有極少數(shù)人知曉測(cè)試的存在，因此能夠有效地檢驗(yàn)單位中的信息安全事件監(jiān)控、響應(yīng)、恢復(fù)做得否到位。3.2. 攻擊路徑測(cè)試目標(biāo)不同，涉及需要采用的技術(shù)也會(huì)有一定差異，因此下面簡(jiǎn)單說明在不同位置、攻擊路徑不同時(shí)可能采用的技術(shù)。3.2.1內(nèi)網(wǎng)測(cè)試內(nèi)網(wǎng)測(cè)試指的是滲透測(cè)試人員由內(nèi)部網(wǎng)絡(luò)發(fā)起測(cè)試，這類測(cè)試能夠模擬企業(yè)內(nèi)部違規(guī)操作者的行為。內(nèi)網(wǎng)測(cè)試?yán)@過了防火墻的保護(hù)。內(nèi)部主要可能采用的滲透方式：l 遠(yuǎn)程緩沖區(qū)溢出；l 口令猜測(cè)；l B/S或C/S應(yīng)用程序測(cè)試（如果涉及C/S程序測(cè)試，需要提前準(zhǔn)備相關(guān)客戶端軟件供測(cè)試使用）3.2.2外網(wǎng)測(cè)試l 對(duì)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程攻擊；l 口令管理安全性測(cè)試；l 防火墻

9、規(guī)則試探、規(guī)避；l Web及其它開放應(yīng)用服務(wù)的安全性測(cè)試。3.2.3不同網(wǎng)段/vlan之間的滲透這種滲透方式是從某內(nèi)/外部網(wǎng)段，嘗試對(duì)另一網(wǎng)段/Vlan進(jìn)行滲透，這類測(cè)試通?？赡苡玫降募夹g(shù)包括：l 對(duì)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程攻擊；l 對(duì)防火墻的遠(yuǎn)程攻擊或規(guī)則探測(cè)、規(guī)則嘗試；3.3. 實(shí)施流程3.3.1. 滲透測(cè)試流程3.3.2. 實(shí)施方案制定、客戶書面同意合法性即客戶書面授權(quán)委托，并同意實(shí)施方案是進(jìn)行滲透測(cè)試的必要條件。滲透測(cè)試首先必須將實(shí)施方法、實(shí)施時(shí)間、實(shí)施人員、實(shí)施工具等具體的實(shí)施方案提交給客戶，并得到客戶的相應(yīng)書面委托和授權(quán)。應(yīng)該做到客戶對(duì)滲透測(cè)試所有細(xì)節(jié)和風(fēng)險(xiǎn)的知曉，所有過程都在的控制下進(jìn)行，

10、這也是專業(yè)滲透測(cè)試與黑客入侵本質(zhì)的不同。3.3.3. 信息收集分析信息收集是每一步滲透攻擊的前提，通過信息收集可以有針對(duì)性地制定模擬攻擊測(cè)試計(jì)劃，提高模擬攻擊的成功率，同時(shí)可以有效的降低攻擊測(cè)試對(duì)系統(tǒng)正常運(yùn)行造成的不利影響。信息收集的方法包括Ping sweep、DNS Sweep、DNS zone transfer、操作系統(tǒng)指紋判別、賬號(hào)掃描、配置判別等。信息收集常用的工具包括商業(yè)網(wǎng)絡(luò)安全漏洞掃描軟件（例如：極光），免費(fèi)安全檢測(cè)工具（例如：NMAP、NESSUS），操作系統(tǒng)內(nèi)置的許多功能（例如：TELNET、NSLOOKUP、IE等）也可能作為信息收集的有效工具。3.3.4. 內(nèi)部計(jì)劃制定、

11、二次確認(rèn)根據(jù)客戶設(shè)備范圍和項(xiàng)目時(shí)間計(jì)劃，并結(jié)合前一步的信息收集得到的設(shè)備存活情況、網(wǎng)絡(luò)拓?fù)淝闆r以及掃描得到的服務(wù)開放情況、漏洞情況制定內(nèi)部的詳細(xì)實(shí)施計(jì)劃。具體包括每個(gè)地址下一步可能采用的測(cè)試手段，詳細(xì)時(shí)間安排，并將以下一步工作的計(jì)劃和時(shí)間安排與客戶進(jìn)行確認(rèn)。3.3.5. 取得權(quán)限、提升權(quán)限通過初步的信息收集分析，存在兩種可能，一種是目標(biāo)系統(tǒng)存在重在的安全弱點(diǎn)，測(cè)試可能直接控制目標(biāo)系統(tǒng)；另一種是目標(biāo)系統(tǒng)沒有遠(yuǎn)程重大的安全弱點(diǎn)，但是可以獲得普通用戶權(quán)限，這時(shí)可以通過該用戶權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。接下來盡最大努力取得超級(jí)用戶權(quán)限、收集目標(biāo)主機(jī)資料信息，尋求本地權(quán)限提升的機(jī)會(huì)。這樣不停的進(jìn)行信息收

12、集分析、權(quán)限提升的結(jié)果形成了整個(gè)滲透測(cè)試過程。3.3.6. 生成報(bào)告滲透測(cè)試之后，測(cè)試者將會(huì)提供一份滲透測(cè)試報(bào)告。報(bào)告將會(huì)十分詳細(xì)的說明滲透測(cè)試過程中得到的數(shù)據(jù)和信息，并且將會(huì)詳細(xì)的紀(jì)錄整個(gè)滲透測(cè)試的全部操作。3.4. 風(fēng)險(xiǎn)規(guī)避措施3.4.1. 滲透測(cè)試時(shí)間與策略3.4.1.1時(shí)間選擇為減輕滲透測(cè)試對(duì)網(wǎng)絡(luò)和主機(jī)的影響，滲透測(cè)試時(shí)間盡量安排在業(yè)務(wù)量不大的時(shí)段或晚上。（時(shí)間可以協(xié)調(diào)）3.4.1.2攻擊策略集選擇為防止?jié)B透測(cè)試造成網(wǎng)絡(luò)和主機(jī)的業(yè)務(wù)中斷，在滲透測(cè)試中不使用含有拒絕服務(wù)的測(cè)試策略。3.4.1.3保守策略選擇對(duì)于不能接受任何可能風(fēng)險(xiǎn)的主機(jī)系統(tǒng)，如銀行票據(jù)核查系統(tǒng)、電力調(diào)度系統(tǒng)等，可選擇如下

13、保守策略：l 復(fù)制一份目標(biāo)環(huán)境，包括硬件平臺(tái)、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用軟件等。l 對(duì)目標(biāo)的副本進(jìn)行滲透測(cè)試。3.4.2. 系統(tǒng)備份和恢復(fù)3.4.2.1系統(tǒng)備份為防止在滲透測(cè)試過程中出現(xiàn)的異常發(fā)問，所有被評(píng)估系統(tǒng)均應(yīng)在被評(píng)估之前作一次完整的系統(tǒng)備份或者關(guān)閉正在進(jìn)行的操作，以便系統(tǒng)發(fā)生災(zāi)難后及時(shí)恢復(fù)。3.4.2.2系統(tǒng)恢復(fù)在滲透測(cè)試過程中，如果出現(xiàn)被評(píng)估系統(tǒng)沒有響應(yīng)或中斷的情況，應(yīng)當(dāng)立即停止測(cè)試工作，與客戶方配合人員一起分析情況，在確定原因后，及時(shí)恢復(fù)系統(tǒng)，并采取必要的預(yù)防措施（比如調(diào)整測(cè)試策略）之后，確保對(duì)系統(tǒng)無影響，并經(jīng)客戶方同意之后才可能繼續(xù)進(jìn)行。3.4.3. 工程中合理溝通的保證在工

14、程實(shí)施過程中，確定不同階段的測(cè)試人員以及客戶方的配合人員，建立直接溝通的渠道，并在工程出現(xiàn)難題的過程中保持合理溝通。3.4.4. 系統(tǒng)監(jiān)測(cè)在評(píng)估過程中，由于滲透測(cè)試的特殊性，用戶可以要求對(duì)整體測(cè)試流程進(jìn)行監(jiān)控（可能提高滲透測(cè)試的成本）。3.4.4.1測(cè)試方自控由測(cè)試者對(duì)本次測(cè)試過程中的三方面數(shù)據(jù)進(jìn)行完整記錄：l 操作；l 響應(yīng)；l 分析。最終形成完整有效的滲透測(cè)試報(bào)告提交給用戶。3.4.4.2用戶監(jiān)控可以用三種形式：l 全程監(jiān)控：采用類似Ethereal或Sniffer Pro的嗅探軟件進(jìn)行全程抓包嗅探。優(yōu)點(diǎn)是全過程都能完整記錄。缺點(diǎn)是數(shù)據(jù)量太大，不易分析；需要大容量存儲(chǔ)設(shè)備。l 擇要監(jiān)控：對(duì)

15、掃描過程不進(jìn)行建制，僅僅在安全工程師分析數(shù)據(jù)后，準(zhǔn)備發(fā)起滲透前，才開啟類似Ethereal或Sniffer Pro的嗅探軟件進(jìn)行嗅探。l 主機(jī)監(jiān)控：僅監(jiān)控受測(cè)主機(jī)的存活狀態(tài)，避免意外情況的發(fā)生，目前國內(nèi)應(yīng)用比較多的是這種監(jiān)控手段。3.5. 其它l 測(cè)試前將所有工具的漏洞數(shù)據(jù)庫都升級(jí)至最新版本；l 測(cè)試時(shí)最好通過專門的滲透測(cè)試代理服務(wù)器進(jìn)行操作，在代理服務(wù)器可以方便進(jìn)行操作的監(jiān)控，也能夠?yàn)榭蛻籼峁┮粋€(gè)專門用于滲透測(cè)試的IP地址；l 后攻擊階段的操作如果確實(shí)必要，也應(yīng)該先知會(huì)客戶，然后進(jìn)行操作。4. 滲透測(cè)試實(shí)施及報(bào)表輸出4.1. 實(shí)際操作過程4.1.1. 預(yù)攻擊階段的發(fā)現(xiàn)l 目標(biāo)主機(jī)系統(tǒng)情況探測(cè)1) 操作系統(tǒng)類型探明：使用windows 2000操作系統(tǒng)，IIS為5.02) 開放端口3) 可利用服務(wù)情況：WEB服務(wù)(80)，數(shù)據(jù)庫服務(wù)(SQL server