證券行業(yè)網站及WEB交易系統(tǒng)安全評估方案

上海交通大學信息安全效勞技術爭論試驗室 XX證券公司網站及WEB交易交易系統(tǒng)安全評估方案上海交通大學信息安全效勞技術爭論試驗室日期：2023522日名目\l“_TOC_250038“概述 1\l“_TOC_250037“評估對象 1\l“_TOC_250036“評估目標 1\l“_TOC_250035“評估范圍 1\l“_TOC_250034“評估方法 2\l“_TOC_250033“評估原則 2\l“_TOC_250032“標準性原則 2\l“_TOC_250031“可控性原則 3\l“_TOC_250030“完整性原則 3\l“_TOC_250029“最小影響原則 3\l“_TOC_250028“保密原則 3\l“_TOC_250027“掃描策略 3\l“_TOC_250026“資源需求 4\l“_TOC_250025“人員需求 4\l“_TOC_250024“評估工具 4\l“_TOC_250023“網站及WEB交易系統(tǒng)評估工具 4\l“_TOC_250022“數(shù)據(jù)庫弱點評估工具 4\l“_TOC_250021“網站效勞器漏洞評估工具 5\l“_TOC_250020“滲透測試評估工具 5\l“_TOC_250019“其它資源 5\l“_TOC_250018“檢測打算 5\l“_TOC_250017“網站及WEB交易系統(tǒng)評估 6\l“_TOC_250016“檢測對象 6\l“_TOC_250015“檢測內容 6\l“_TOC_250014“數(shù)據(jù)庫弱點評估 6\l“_TOC_250013“檢測對象 6\l“_TOC_250012“檢測內容 7\l“_TOC_250011“網站效勞器漏洞評估 7\l“_TOC_250010“檢測對象 7\l“_TOC_250009“檢測內容 7\l“_TOC_250008“滲透測試 7\l“_TOC_250007“測試范圍 8\l“_TOC_250006“滲透測試流程 9\l“_TOC_250005“信息收集 9\l“_TOC_250004“權限提升 9\l“_TOC_250003“工程治理 10\l“_TOC_250002“工程組成員 10\l“_TOC_250001“主要內容與打算 10\l“_TOC_250000“提交文檔 10 上海交通大學信息安全效勞技術爭論試驗室 1010頁概述評估對象XX證券有限責任公司〔XX〕WEB交易系統(tǒng)〔“://bocichina/“://bocichina。XX證券的網站是公司宣傳及開展網上證券業(yè)務的重要平臺，目前有sun6—7oracleWEB交Windows平臺的效勞器。上海交通大學信息安全效勞技術爭論試驗室〔LabofInformationSecurityServic，以下簡稱“試驗室”或“LIS〕XXWEB析，并對安全加固供給意見與建議等。評估目標XXWEB交易系統(tǒng)的當前安全狀況〔安全隱患需要進展相關掃描和安全弱點分析，最終工作目標為：WEB交易可能存在的安全漏洞；全漏洞；通過基于網絡的掃描工具及人工分析檢測網站效勞器可能存在的安全漏洞；XXWEB交易系統(tǒng)安全的重要參考依據(jù)。評估范圍此次評估檢測的對象為：WEB交易應用系統(tǒng)；后臺數(shù)據(jù)庫；網站效勞器。評估方法此次評估的工作方法如下：確定檢測對象；擬定檢測方案；用自動檢測工具及人工分析檢測受測對象存在的安全漏洞；通過滲透測試方法分析檢測結果，并給出適宜的建議。評估原則XXWEB交易系統(tǒng)評估工程高效、順當?shù)剡M展，我們的評估工作將遵循以下原則進展。標準性原則LISS供給信息安全效勞的一貫原則。括：ISO17799ISO13335ISO15408/GB18336SSE-CMMISO13569〔GB17895－1999〕這些標準和商定包括：CVE公共漏洞和暴露PMI工程治理方法學可控性原則LISSXX證券，以便到達XX證券對評估工作的可控性。這些可控性包括：人員可控性LISSXXXX證券的認可。并確保工程組成員工作的連續(xù)性。工具可控性LISSXX證券。確保不使用對現(xiàn)有網絡的運行和業(yè)務的正常有重大影響的工具。工程過程可控性PMI工程治理方法學，突出“溝通治理過程的可控性。完整性原則LISSXX證券的要求。最小影響原則LISSXX證券網站及交常供給產生顯著影響。保密原則LISSXX證券簽署的相關保密協(xié)議。掃描策略為降低評估工作的安全風險，本次評估承受如下掃描策略：掃描時機避開業(yè)務頂峰期；選用適宜的掃描工具；重要數(shù)據(jù)、效勞器等應備份；最小資源開銷；使用最的安全漏洞庫；影響，盡量使用其它方法進展信息收集。資源需求評估工程組評估工程師、受測機構幫助人員、檢測工具及檢測對象。人員需求受測機構幫助人員：評估網站及交易系統(tǒng)時，需要系統(tǒng)安全治理員、應用系統(tǒng)治理員備份重要數(shù)據(jù)，供給相應測試帳號，確定掃描工具接口；圖，幫助在網絡中確定并接入掃描工具。評估工具WEB交易系統(tǒng)評估工具應用平臺應用平臺操作系統(tǒng)網站、WEBsunsolaris評估工具MatriXay2.0數(shù)據(jù)庫弱點評估工具應用平臺數(shù)據(jù)庫

平臺類型 評估工具ShadowDatabaseScannerMSSQLAppDetectivePro數(shù)據(jù) Oracle ShadowDatabaseScanner庫庫DAS-DBSCA網站效勞器漏洞評估工具應用平臺應用平臺評估工具NESSUS效勞器600滲透測試評估工具滲透階段滲透階段評估工具目的Curl、nmap、FWtester、hping3、搜預攻擊階段根本網絡信息獵取索引擎WebProxy、SPIKEProxy、webscarab、對Web預攻擊階段ParosProxyAbsintheEthereal分析webscan、fuzzerMetasploitFramework基于通用設備、數(shù)據(jù)庫、攻擊階段操作系統(tǒng)和應用的攻擊攻擊階段NBSI2SQL攻擊階段X-Scan、Brutus、Hydra、溯雪口令猜解其它資源分析預備階段所獵取的資料可知，實施安全評估還需如下信息：網絡拓撲圖及主要檢測對象〔如效勞器〕的IP地址。有評估結果等。檢測打算WEB交易系統(tǒng)的應用安全評估、數(shù)據(jù)庫弱點評估、網絡設備漏洞的安全評估，以及基于此的滲透測試。WEB交易系統(tǒng)評估LISS承受特地的webWEB應用弱點評估。其原理是承受攻擊技術的原理和滲透性測試的方法，對WEB應用進展深度漏洞探測，可幫助應用開發(fā)者和治理者了解應用系統(tǒng)存在的WEB應用效勞。檢測對象XXWEB交易系統(tǒng)檢測內容WEB弱點評估范圍包括：SQL注入網頁木馬表單繞過跨站腳本登錄口令破解源碼泄露CGI弱點ActiveX弱點數(shù)據(jù)庫弱點評估全漏洞，提高數(shù)據(jù)庫的安全。檢測對象XX證券網站數(shù)據(jù)庫和相關支持數(shù)據(jù)庫。檢測內容數(shù)據(jù)庫弱點掃描工程包括：檢查數(shù)據(jù)庫是否承受弱密碼或默認密碼；檢查數(shù)據(jù)庫中具有各種操作權限的用戶列表；對數(shù)據(jù)庫規(guī)章掃描；對數(shù)據(jù)庫補丁掃描；對數(shù)據(jù)庫對象掃描。網站效勞器漏洞評估針對網站效勞器的安全評估一般分為兩個步驟進展。第一步利用現(xiàn)有的優(yōu)秀的掃描結果進展分析由評估小組的工程師對網絡設備安全檢查列表某些項進展法找到的安全漏洞即消退漏報狀況。檢測對象XX證券網站效勞器。檢測內容網站效勞器的檢測內容如下：現(xiàn)有版本、補丁狀況脆弱口令開放的端口與效勞可遠程訪問或執(zhí)行的權限緩沖區(qū)溢出安全漏洞CGI安全漏洞滲透測試滲透測試是一種從攻擊者的角度來對主機系統(tǒng)的安全程度進展安全評估的手國際/國內信息安全業(yè)界的認可和重視。為了解本工程主機系統(tǒng)的安全現(xiàn)狀，在一個重要組成局部。測試范圍XXLISS進展?jié)B透測試的必要條件。LISS將盡最大努力做到使XX證券對滲透測試全部細節(jié)和風險的知曉、全部過程都在XX證券的掌握下進展LISS的專業(yè)效勞與黑客攻擊入侵的本質不同。LISS承諾不會對授權范圍之外的主機及網絡設備進展測試和模擬攻擊。注：全部攻擊測試將在XX證券的授權和監(jiān)視下進展。滲透測試流程信息收集信息收集分析幾乎是全部入侵攻擊的前提/前奏/根底信息收集分析就是完成的這個任務。通過信息收集分析，攻擊者〔測試者〕可以的幾率。信息收集的方法包括主機網絡掃描、端口掃描、操作類型判別、應用判別、賬號掃描、配置判別等等。入侵攻擊常用的工具包括nmap、nessus、ISSInternetScanner等，有時，操作系統(tǒng)中內置的很多工具〔例如telnet〕也可以成為格外有效的攻擊入侵武器。權限提升通過收集信息和分析，存在兩種可能性，其一是目標系統(tǒng)存在重大弱點：測這些不停的信息收集分析、權限升級的結果構成了整個滲透測試過程的輸出。工程治理工程組成員工程組長：銀鷹工程組成員：周寧、張競、王京峰、施勇主要內容與打算類型地