滲透測試方案

1、四川品勝安全性滲透測試測試方案測試方案成都國信安信息產(chǎn)業(yè)基地有限公司二O五年十二月成都國信安信息產(chǎn)業(yè)基地有限公司成都國信安信息產(chǎn)業(yè)基地有限公司第第 頁共16頁目錄TOC o 1-5 h z目錄1 HYPERLINK l bookmark2 o Current Document 1.引言2 HYPERLINK l bookmark4 o Current Document 1.1.項目概述2 HYPERLINK l bookmark6 o Current Document 2.測試概述2 HYPERLINK l bookmark8 o Current Document 2.1.測試簡介2 HYPE

2、RLINK l bookmark10 o Current Document 2.2.測試依據(jù)2 HYPERLINK l bookmark12 o Current Document 2.3.測試思路3 HYPERLINK l bookmark14 o Current Document 2.3.1.工作思路3 HYPERLINK l bookmark16 o Current Document 2.3.2.管理和技術要求3 HYPERLINK l bookmark18 o Current Document 2.4.人員及設備計劃4 HYPERLINK l bookmark20 o Current D

3、ocument 2.4.1.人員分配4 HYPERLINK l bookmark22 o Current Document 2.4.2.測試設備4 HYPERLINK l bookmark24 o Current Document 3.測試范圍5 HYPERLINK l bookmark26 o Current Document 4.測試內(nèi)容8 HYPERLINK l bookmark28 o Current Document 5.測試方法10 HYPERLINK l bookmark30 o Current Document 5.1.滲透測試原理10 HYPERLINK l bookmark

4、32 o Current Document 5.2.滲透測試的流程10 HYPERLINK l bookmark34 o Current Document 5.3.滲透測試的風險規(guī)避11 HYPERLINK l bookmark36 o Current Document 5.4.滲透測試的收益12 HYPERLINK l bookmark38 o Current Document 5.5.滲透測試工具介紹12 HYPERLINK l bookmark40 o Current Document 我公司滲透測試優(yōu)勢14 HYPERLINK l bookmark42 o Current Docume

5、nt 專業(yè)化團隊優(yōu)勢14 HYPERLINK l bookmark44 o Current Document 深入化的測試需求分析14 HYPERLINK l bookmark46 o Current Document 6.3.規(guī)范化的滲透測試流程14 HYPERLINK l bookmark48 o Current Document 6.4.全面化的滲透測試內(nèi)容14 HYPERLINK l bookmark50 o Current Document 后期服務161.引言1.1.項目概述四川品勝品牌管理有限公司，是廣東品勝電子股份有限公司的全資子公司。依托遍布全國的5000家加盟專賣店，四川品

6、牌管理有限公司打造了線上線下結(jié)合的020購物平臺一一“品勝當日達”，建立了“線上線下同價”、“千城當日達”、“向日葵隨身服務”三大服務體系，為消費者帶來便捷的020購物體驗。2011年，品勝在成都溫江科技工業(yè)園建立起國內(nèi)首座終端客戶體驗館，以人性化的互動設計讓消費者親身感受移動電源、數(shù)碼配件與生活的智能互聯(lián)，為追求高品質(zhì)產(chǎn)品性能的用戶帶來便捷、現(xiàn)代化的操作體驗。伴隨業(yè)務的發(fā)展，原有的網(wǎng)站、系統(tǒng)、APP等都進行了不同程度的功能更新和系統(tǒng)投產(chǎn)，同時，系統(tǒng)安全要求越來越高，可能受到的惡意攻擊包括：信息篡改與重放、信息銷毀、信息欺詐與抵賴、非授權(quán)訪問、網(wǎng)絡間諜、“黑客”入侵、病毒傳播、特洛伊木馬、蠕蟲

7、程序、邏輯炸彈、APT攻擊等。這些攻擊完全能造成信息系統(tǒng)癱瘓、重要信息流失。測試概述2.1.測試簡介本次測試內(nèi)容為滲透測試。滲透測試：是為了證明網(wǎng)絡防御按照預期計劃正常運行而提供的一種機制。2.2.測試依據(jù)探GB/T25000.51-2010軟件工程軟件產(chǎn)品質(zhì)量要與評價(SQuaRE)商業(yè)現(xiàn)貨(C0TS)軟件產(chǎn)品的質(zhì)量要求和測試細則GB/T16260-2006軟件工程產(chǎn)品質(zhì)量GB/T18336-2001信息技術安全技術信息技術安全性評估準則GB/T20274-2006信息系統(tǒng)安全保障評估框架客戶提出的測試需求2.3.測試思路2.3.1.工作思路本次系統(tǒng)測試包括功能測試、性能測試、安全測試以及文

8、檔測試，本次測試工作將系統(tǒng)測試對象進行控制點劃分，依據(jù)項目建設要求和相關標準、規(guī)范進行項目系統(tǒng)測試，并加強系統(tǒng)各階段測試和實施過程控制，完善項目目標控制手段。2.3.2.管理和技術要求1、管理要求為了保證本項目系統(tǒng)綜合測試的順利進行，將對項目實施事前評審和測試過程監(jiān)督測試管理工作，合理分配項目人員負責相應的測試工作。2、技術要求為了保證本項目系統(tǒng)測試的順利進行，在本次測試過程中將采取如下技術要求：滲透測試：驗證系統(tǒng)設計的安全性是否滿足客戶需求。2.4.人員及設備計劃2.4.1.人員分配本次測試組織機構(gòu)和人員分配如下項目管理組：楊方秀現(xiàn)場測試組：屈緋穎、王洪斌、項目文檔組：龔正質(zhì)量控制組：楊方秀

9、、屈緋穎2.4.2.測試設備序號設備或儀器名稱功能描述數(shù)量產(chǎn)地備注1.TestManager測試管理1IBM2.ClearQuest缺陷跟蹤1IBM3.xscan用于安全測試的漏洞掃描工具14.測試機測試機2國產(chǎn)測試范圍檢測分類檢測范圍Web網(wǎng)站SQL注入XSS跨站腳本網(wǎng)頁掛馬緩沖區(qū)溢出文件上傳漏洞源代碼泄露目錄瀏覽、遍歷漏洞數(shù)據(jù)庫泄露弱口令越權(quán)訪問會話驗證繞過管理地址泄露輿論信息檢測中間件漏洞支付安全驗證其他（如：寫入控制,防止批量添加數(shù)據(jù),是否使用驗證碼等）SOA服務端SQL注入緩沖區(qū)溢出文件上傳漏洞目錄瀏覽、遍歷漏洞弱口令越權(quán)訪問會話驗證繞過中間件漏洞其他（如：寫入控制,防止批量添加數(shù)據(jù)

10、,是否使用驗證碼等）APP源生客戶端組件安全檢測代碼安全檢測內(nèi)存安全檢測數(shù)據(jù)安全檢測業(yè)務安全檢測應用管理檢測服務器身份鑒別自主訪問控制強制訪問控制可信路徑安全審計剩余信息保護入侵防范惡意代碼防范資源控制數(shù)據(jù)庫數(shù)據(jù)安全測試內(nèi)容檢測項目檢測子類類型掃描測試滲透測試當日達前端SSO單點登錄網(wǎng)站W(wǎng)EBVV后端SSO單點登錄網(wǎng)站W(wǎng)EBVV當日達商城4期前臺網(wǎng)站W(wǎng)EBVV當日達商城3期后臺WEBVV當日達商城4期后臺WEBVV砸金蛋活動WEBV砸金蛋后臺WEBV一元云購WEBV月月?lián)屔衿鱓EBV滴滴貼膜WEBV快遞查詢（PC端）WEBV快遞查詢（移動端）WEBV中國人民不斷電WEBVV千城通APPAPPV

11、千機團網(wǎng)站+APPWEB+APPVV進銷存IMS進銷存系統(tǒng)WEBVVIMS進銷存管理工具WEBVV品勝云路由器固件升級后臺管理WEBVV品勝云3.2（手機版）APPV品勝云2.0（IPAD版）APPV品勝云3.3（手機版）APPV品勝商城1.0APPVWEB服務文件上傳服務WebServiceVV當日達商城3期后臺服務WebServiceVV千城通APP調(diào)用服務WebServiceVV品勝云服務WebServiceVV品勝商城服務WebServiceVV路由器固件升級服務WebServiceVV服務器CentOS6.564bit（3臺）ServerVCentOS7.064bit（3臺）Serv

12、erVWindowsServer2012（2臺）ServerVWindowsServer2008（8臺）ServerV測試方法針對本次項目的測試范圍和內(nèi)容，我公司采取滲透測試的方法對整體系統(tǒng)進行安全性評估。5.1.滲透測試原理滲透測試過程主要依據(jù)現(xiàn)今已經(jīng)掌握的安全漏洞信息，模擬黑客的真實攻擊方法對系統(tǒng)和網(wǎng)絡進行非破壞性質(zhì)的攻擊性測試，這里說有的滲透測試行為將在客戶的書面明確授權(quán)和監(jiān)督下進行。5.2.滲透測試的流程A方案制定：在獲取到業(yè)主單位的書面授權(quán)許可后，才進行滲透測試的實施。并且將實施范圍、方法、時間、人員等具體的方案與業(yè)主單位進行交流，并得到業(yè)主單位的認同。在測試實施之前，會做到讓業(yè)主單

13、位對滲透測試過程和風險的知曉，使隨后的正式測試流程都在業(yè)主單位的控制下。A信息收集：這包括：操作系統(tǒng)類型指紋收集；網(wǎng)絡拓撲結(jié)構(gòu)分析；端口掃描和目標系統(tǒng)提供的服務識別等?？梢圆捎靡恍┥虡I(yè)安全評估系統(tǒng)（如：ISS、極光等）；免費的檢測工具（NESSUS、Nmap等）進行收集A測試實施：在規(guī)避防火墻、入侵檢測、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進行：操作系統(tǒng)可檢測到的漏洞測試、應用系統(tǒng)檢測到的漏洞測試（如：Web應用），此階段如果成功的話，可能獲得普通權(quán)限。滲透測試人員可能用到的測試手段有：掃描分析、溢出測試、口令爆破、社會工程學、客戶端攻擊、中間人攻擊等，用于測試人員順利完成工程。在獲取到普通權(quán)限后，

14、嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對系統(tǒng)的完全控制權(quán)。一旦成功控制一臺或多臺服務器后，測試人員將利用這些被控制的服務器作為跳板，繞過防火墻或其他安全設備的防護，從而對內(nèi)網(wǎng)其他服務器和客戶端進行進一步的滲透。此過程將循環(huán)進行，直到測試完成。最后由滲透測試人員清除中間數(shù)據(jù)。報告輸出：滲透測試人員根據(jù)測試的過程結(jié)果編寫直觀的滲透測試服務報告。內(nèi)容包括：具體的操作步驟描述；響應分析以及最后的安全修復建議安全復查：滲透測試完成后，某某協(xié)助業(yè)主單位對已發(fā)現(xiàn)的安全隱患進行修復。修復完成后，滲透測試工程師對修復的成果再次進行遠程測試復查，對修復的結(jié)果進行檢驗，確保修復結(jié)果的有效性。滲透測試的風險規(guī)避在滲透測

15、試過程中，雖然我們會盡量避免做影響正常業(yè)務運行的操作，也會實施風險規(guī)避的計策，但是由于測試過程變化多端，滲透測試服務仍然有可能對網(wǎng)絡、系統(tǒng)運行造成一定不同程度的影響，嚴重的后果是可能造成服務停止，甚至是宕機。比如滲透人員實施系統(tǒng)權(quán)限提升操作時，突遇系統(tǒng)停電，再次重啟時可能會出現(xiàn)系統(tǒng)無法啟動的故障等。因此，我們會在滲透測試前與業(yè)主單位詳細討論滲透方案，并采取如下多條策略來規(guī)避滲透測試帶來的風險。時間策略：為減輕滲透測試造成的壓力和預備風險排除時間，一般的安排測試時間在業(yè)務量不高的時間段。A測試策略：為了防范測試導致業(yè)務的中斷，可以不做一些拒絕服務類的測試。非常重要的系統(tǒng)不建議做深入的測試，避免意

16、外崩潰而造成不可挽回的損失；具體測試過程中，最終結(jié)果可以由測試人員做推測，而不實施危險的操作步驟加以驗證等。A備份策略：為防范滲透過程中的異常問題，測試的目標系統(tǒng)需要事先做一個完整的數(shù)據(jù)備份，以便在問題發(fā)生后能及時恢復工作。對于核心業(yè)務系統(tǒng)等不可接受可能風險的系統(tǒng)的測試，可以采取對目標副本進行滲透的方式加以實施。這樣就需要完整的復制目標系統(tǒng)的環(huán)境：硬件平臺、操作系統(tǒng)、應用服務、程序軟件、業(yè)務訪問等；然后對該副本再進行滲透測試。應急策略：測試過程中，如果目標系統(tǒng)出現(xiàn)無響應、中斷或者崩潰等情況，我們會立即中止?jié)B透測試，并配合業(yè)主單位技術人員進行修復處理等。在確認問題、修復系統(tǒng)、防范此故障再重演后，

17、經(jīng)業(yè)主單位方同意才能繼續(xù)進行其余的測試。A溝通策略：測試過程中，確定測試人員和業(yè)主單位方配合人員的聯(lián)系方式，便于及時溝通并解決工程中的難點。5.4.滲透測試的收益滲透測試是站在實戰(zhàn)角度對業(yè)主單位指定的目標系統(tǒng)進行的安全評估，可以讓業(yè)主單位相關人員直觀的了解到自己網(wǎng)絡、系統(tǒng)、應用中隱含的漏洞和危害發(fā)生時可能導致的損失。通過我們的滲透測試，可以獲得如下增益。安全缺陷：從黑客的角度發(fā)現(xiàn)業(yè)主單位安全體系中的漏洞（隱含缺陷），協(xié)助業(yè)主單位明確目前降低風險的措施，為下一步的安全策略調(diào)整指明了方向。測試報告：能幫助業(yè)主單位以實際案例的形式來說明目前安全現(xiàn)狀，從而增加業(yè)主單位對信息安全的認知度，提升業(yè)主單位人

18、員的風險危機意識，從而實現(xiàn)內(nèi)部安全等級的整體提升。交互式滲透測試：我們的滲透測試人員在業(yè)主單位約定的范圍、時間內(nèi)實施測試，而業(yè)主單位人員可以與此同時進行相關的檢測監(jiān)控工作，測試自己能不能發(fā)現(xiàn)正在進行的滲透測試過程，從中真實的評估自己的檢測預警能力。5.5.滲透測試工具介紹滲透測試人員模擬黑客入侵攻擊的過程中使用的是操作系統(tǒng)自帶網(wǎng)絡應用、管理和診斷工具、黑客可以在網(wǎng)絡上免費下載的掃描器、遠程入侵代碼和本地提升權(quán)限代碼以及某某自主開發(fā)的安全掃描工具。這些工具經(jīng)過全球數(shù)以萬計的程序員、網(wǎng)絡管理員、安全專家以及黑客的測試和實際應用，在技術上已經(jīng)非常成熟，實現(xiàn)了網(wǎng)絡檢查和安全測試的高度可控性，能夠根據(jù)使用者的實際要求進行有針對性的測試。但是安全工具本身也是一把雙刃劍，為了做到萬無一失，我們也將針對系統(tǒng)可能出現(xiàn)的不穩(wěn)定現(xiàn)象提出相應對策，以確保服務器和網(wǎng)絡設備在進行滲透測試的過程中保持在可信狀態(tài)。我公司滲透測試優(yōu)勢專業(yè)化團隊優(yōu)勢我公司有滲透測試優(yōu)勢專業(yè)化的滲透測試團隊。滲透測試服務開展相對較早，經(jīng)驗非常豐富，曾經(jīng)參與過很多大型網(wǎng)站的滲透測試工作。滲透測試團隊會根據(jù)項目的規(guī)模有選擇性的申請部分漏洞研發(fā)團隊專家參與到項目