JRT 0232-2021銀行互聯(lián)網(wǎng)滲透測(cè)試指南

中國(guó)人民銀行發(fā)中國(guó)人民銀行發(fā)布ICS35.240.40CCSA11JR中華人民共和國(guó)金融行業(yè)標(biāo)準(zhǔn)TidelinesforinternetpenetrationtestinbankJR/T0232—2021前言 III引言 IV1范圍 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14概述 35滲透測(cè)試策劃 35.1概述 35.2確定測(cè)試范圍 35.3確定測(cè)試引用文檔 35.4確定測(cè)試項(xiàng) 45.5確定被測(cè)試特性和不被測(cè)試特性 45.6確定測(cè)試方法與測(cè)試通過(guò)準(zhǔn)則 45.7確定暫停準(zhǔn)則和恢復(fù)條件 45.8測(cè)試交付項(xiàng) 45.9確定測(cè)試活動(dòng)、任務(wù)與進(jìn)度 45.10明確環(huán)境需求 55.11分配職責(zé)、權(quán)限和各部門(mén)間的工作銜接 55.12明確人員配備和培訓(xùn)目標(biāo) 55.13明確風(fēng)險(xiǎn)和應(yīng)急措施 55.14確定質(zhì)量保證過(guò)程 55.15測(cè)試策劃階段文檔 56滲透測(cè)試設(shè)計(jì) 66.1概述 66.2確定測(cè)試范圍 66.3被測(cè)試特征、測(cè)試方法與通過(guò)準(zhǔn)則 66.4測(cè)試用例 66.5測(cè)試環(huán)境 76.6測(cè)試過(guò)程描述 96.7測(cè)試就緒評(píng)審 96.8測(cè)試設(shè)計(jì)階段文檔 107滲透測(cè)試執(zhí)行 107.1概述 107.2信息收集 107.3威脅建模 11IJR/T0232—20217.4漏洞發(fā)現(xiàn) 127.5滲透攻擊 147.6測(cè)試執(zhí)行階段文檔 158滲透測(cè)試總結(jié) 158.1概述 158.2測(cè)試數(shù)據(jù)分析 158.3差異分析 158.4風(fēng)險(xiǎn)決策根據(jù)分析 158.5報(bào)告編寫(xiě) 168.6測(cè)試評(píng)審 178.7測(cè)試總結(jié)階段文檔 17附錄A(資料性)銀行互聯(lián)網(wǎng)滲透測(cè)試過(guò)程要點(diǎn)清單 18附錄B(資料性)銀行互聯(lián)網(wǎng)滲透測(cè)試漏洞風(fēng)險(xiǎn)定級(jí)參考 21參考文獻(xiàn) 26JR/T0232—2021前言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中國(guó)銀行業(yè)協(xié)會(huì)提出。本文件由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC180)歸口。本文件起草單位：中國(guó)銀行業(yè)協(xié)會(huì)、中國(guó)工商銀行股份有限公司、中國(guó)農(nóng)業(yè)銀行股份有限公司、中信銀行股份有限公司、興業(yè)銀行股份有限公司、北京銀聯(lián)金卡科技有限公司、中金金融認(rèn)證中心有限公司、北京梆梆安全科技有限公司、北京長(zhǎng)亭未來(lái)科技有限公司。本文件主要起草人：潘光偉、張芳、高峰、李寬、王陽(yáng)、敦宏程、蘇建明、劉涌、王貴智、蔣家堂、葉紅、戴心齊、孟憲哲、李亞敏、王金希、李沁蕾、趙成剛、陳嘉、江超、李樂(lè)天、高強(qiáng)裔、劉淑敏、劉一鳴、馬男。IJR/T0232—2021引言滲透測(cè)試(PenetrationTest)也叫穿透測(cè)試，是一種通過(guò)模擬真實(shí)世界中的攻擊動(dòng)作，發(fā)現(xiàn)并利用安全漏洞，進(jìn)而檢驗(yàn)、評(píng)估信息系統(tǒng)實(shí)際安全水平的測(cè)試方法。滲透測(cè)試具有深入、直接、客觀的特點(diǎn)，是主動(dòng)提升信息系統(tǒng)(尤其是互聯(lián)網(wǎng)信息系統(tǒng))安全性的有力手段，已得到了廣泛使用?；ヂ?lián)網(wǎng)滲透測(cè)試主要模擬的是來(lái)自互聯(lián)網(wǎng)的攻擊行為，是當(dāng)前最主要的一種滲透測(cè)試形式。銀行信息系統(tǒng)是國(guó)家的重要基礎(chǔ)設(shè)施，對(duì)互聯(lián)網(wǎng)的依賴與日俱增，面臨的互聯(lián)網(wǎng)攻擊也日趨嚴(yán)峻。因此通過(guò)互聯(lián)網(wǎng)滲透測(cè)試這一技術(shù)手段主動(dòng)發(fā)現(xiàn)安全漏洞也是當(dāng)前銀行普遍的現(xiàn)實(shí)需求。滲透測(cè)試雖然是一項(xiàng)基礎(chǔ)的安全技術(shù)，但在不同的行業(yè)應(yīng)用場(chǎng)景下又有各自的特殊性。銀行信息系統(tǒng)直接涉及資金安全，且需要非常高的穩(wěn)定性，不規(guī)范的滲透測(cè)試不僅無(wú)法全面覆蓋與資金安全密切相關(guān)的核心安全風(fēng)險(xiǎn)，還可能給系統(tǒng)的安全穩(wěn)定帶來(lái)負(fù)面影響。因此，在國(guó)家層面尚未建立成熟的滲透測(cè)試實(shí)施相關(guān)標(biāo)準(zhǔn)的情況下，很有必要從行業(yè)安全的角度，結(jié)合銀行業(yè)務(wù)的特點(diǎn)，針對(duì)性地制定一套規(guī)范的銀行互聯(lián)網(wǎng)滲透測(cè)試方法，以保障測(cè)試質(zhì)量、控制實(shí)施風(fēng)險(xiǎn)，確保銀行機(jī)構(gòu)能更加規(guī)范、系統(tǒng)、有效、方便地開(kāi)展互聯(lián)網(wǎng)滲透測(cè)試工作?；谝陨闲袠I(yè)需求，制定本文件。依照本文件開(kāi)展?jié)B透測(cè)試時(shí)，首先遵循國(guó)家的法律法規(guī)、監(jiān)管制度及強(qiáng)制性標(biāo)準(zhǔn)的最新條款，如本文件與前述各項(xiàng)條款矛盾，遵循前述各項(xiàng)條款。JR/T0232—2021銀行互聯(lián)網(wǎng)滲透測(cè)試指南1范圍本文件提供了在銀行信息系統(tǒng)中開(kāi)展互聯(lián)網(wǎng)滲透測(cè)試的整體流程以及流程各個(gè)環(huán)節(jié)中保障測(cè)試質(zhì)量、控制測(cè)試風(fēng)險(xiǎn)的指南。本文件適用于銀行互聯(lián)網(wǎng)滲透測(cè)試的策劃、設(shè)計(jì)、執(zhí)行、總結(jié)，也供保險(xiǎn)、證券等其他金融行業(yè)參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T15532—2008計(jì)算機(jī)軟件測(cè)試規(guī)范GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯JR/T0101—2013銀行業(yè)軟件測(cè)試文檔規(guī)范3術(shù)語(yǔ)和定義GB/T25069—2010和GB/T29246—2017界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1滲透測(cè)試penetrationtest滲透性測(cè)試穿透性測(cè)試以模擬真實(shí)攻擊的動(dòng)作，檢測(cè)發(fā)現(xiàn)信息系統(tǒng)存在的技術(shù)漏洞，并利用漏洞突破信息系統(tǒng)的安全控制機(jī)制，進(jìn)而評(píng)估信息系統(tǒng)面臨的實(shí)際安全風(fēng)險(xiǎn)的一種測(cè)試手段。[來(lái)源：GB/T25069—2010,2.3.87,有修改]3.2通過(guò)技術(shù)手段界定滲透測(cè)試實(shí)施范圍的過(guò)程。示例：通過(guò)防火墻策略僅允許滲透測(cè)試實(shí)施人員訪問(wèn)測(cè)試范圍內(nèi)的信息系統(tǒng)。[來(lái)源：GB/T25069—2010,2.1.33,有修改]3.3威脅代理threatagent有動(dòng)機(jī)和能力破壞信息系統(tǒng)安全性的人或程序。示例：企圖通過(guò)攻擊信息系統(tǒng)非法獲取資金的黑客團(tuán)伙。3.41JR/T0232—2021威脅建模threatmodeling對(duì)信息系統(tǒng)的資產(chǎn)、流程、攻擊信息系統(tǒng)的主要?jiǎng)訖C(jī)、潛在威脅代理及其能力等進(jìn)行分析，對(duì)相關(guān)的主體和關(guān)系進(jìn)行有效組織。注：威脅建模的目的是構(gòu)建信息系統(tǒng)面臨的最可能攻擊場(chǎng)景。3.5敏感信息sensitiveinformation由權(quán)威機(jī)構(gòu)確定的必須受保護(hù)的信息，該信息的泄露、修改、破壞或丟失會(huì)對(duì)人或事產(chǎn)生可預(yù)知的損害。注：敏感信息的具體分級(jí)標(biāo)準(zhǔn)宜參考JR/T0197—2020。[來(lái)源：GB/T25069—2010,2.2.4.7]3.6脆弱性弱點(diǎn)信息系統(tǒng)中可能被攻擊者利用的薄弱環(huán)節(jié)。[來(lái)源：GB/T25069—2010,2.3.30,有修改]3.7實(shí)施風(fēng)險(xiǎn)implementrisk滲透測(cè)試實(shí)施過(guò)程中可能對(duì)目標(biāo)信息系統(tǒng)的保密性、完整性、可用性帶來(lái)的影響。3.8訪問(wèn)控制accesscontrol一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進(jìn)行訪問(wèn)的手段。[來(lái)源：GB/T25069—2010,2.2.1.42]3.9為避免直接在目標(biāo)信息系統(tǒng)中實(shí)施測(cè)試所引入的實(shí)施風(fēng)險(xiǎn)，仿照目標(biāo)信息系統(tǒng)搭建且具備測(cè)試所需的各項(xiàng)條件的滲透測(cè)試實(shí)施環(huán)境。示例：業(yè)務(wù)系統(tǒng)及配置與生產(chǎn)一致的測(cè)試環(huán)境；生產(chǎn)環(huán)境中與生產(chǎn)服務(wù)器配置一致但不承載實(shí)際業(yè)務(wù)的模擬服務(wù)器；與生產(chǎn)高度一致的網(wǎng)絡(luò)靶場(chǎng)環(huán)境。3.10在低權(quán)限用戶狀態(tài)下，利用信息系統(tǒng)中存在的漏洞突破權(quán)限控制，獲得該用戶原本不具備的操作權(quán)限的過(guò)程。示例：利用操作系統(tǒng)漏洞從普通用戶權(quán)限提升為超級(jí)管理員用戶權(quán)限。3.11現(xiàn)場(chǎng)清理siteclearing滲透測(cè)試實(shí)施完畢后，將目標(biāo)信息系統(tǒng)恢復(fù)到測(cè)試前狀態(tài)的過(guò)程。示例：刪除上傳到目標(biāo)信息系統(tǒng)中的測(cè)試腳本。2JR/T0232—20213.12應(yīng)急預(yù)案contingencyplan一種關(guān)于備份、應(yīng)急響應(yīng)和災(zāi)后恢復(fù)的計(jì)劃。[來(lái)源：GB/T25069—2010,2.2.3.4]3.13保密性confidentiality信息對(duì)未授權(quán)的個(gè)人、實(shí)體或過(guò)程不可用或不泄露的特性。[來(lái)源：GB/T29246—2017,2.12]3.14完整性integrity準(zhǔn)確和完備的特性。[來(lái)源：GB/T29246—2017,2.40]3.15ability根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和可使用的特性。[來(lái)源：GB/T29246—2017,2.9]3.16遵從性compliance遵守指導(dǎo)活動(dòng)的相關(guān)條款的程度。4概述銀行互聯(lián)網(wǎng)滲透測(cè)試是指從互聯(lián)網(wǎng)渠道發(fā)起的針對(duì)銀行信息系統(tǒng)的滲透測(cè)試，宜按照GB/T15532—2008中4.3規(guī)定的要求，將測(cè)試流程劃分為策劃、設(shè)計(jì)、執(zhí)行、總結(jié)四個(gè)階段，并根據(jù)整體測(cè)試情況編制總結(jié)文檔。滲透測(cè)試過(guò)程中的相關(guān)文檔，宜按照J(rèn)R/T0101—2013中4.4.3規(guī)定的要求，給出的單項(xiàng)測(cè)試三級(jí)規(guī)范編制。5滲透測(cè)試策劃5.1概述滲透測(cè)試策劃(以下簡(jiǎn)稱測(cè)試策劃)主要進(jìn)行滲透測(cè)試需求分析，包括確定測(cè)試范圍，確定測(cè)試引用文檔，確定測(cè)試項(xiàng)以及被測(cè)試特性和不被測(cè)試特性，確定測(cè)試方法與測(cè)試通過(guò)準(zhǔn)則，確定暫停準(zhǔn)則和恢復(fù)條件，規(guī)定測(cè)試活動(dòng)、任務(wù)與進(jìn)度，明確環(huán)境需求，分配職責(zé)、權(quán)限和各部門(mén)間的工作銜接，明確人員配備和培訓(xùn)目標(biāo)，明確風(fēng)險(xiǎn)和應(yīng)急措施，確定質(zhì)量保證過(guò)程。在測(cè)試過(guò)程中，如發(fā)現(xiàn)在測(cè)試規(guī)劃階段確定的內(nèi)容有變化，宜及時(shí)變更測(cè)試策劃，并妥善管理測(cè)試策劃的版本。應(yīng)用程序編程接口(API，ApplicationProgrammingInterface)方式接入前，需要進(jìn)行接入方系統(tǒng)改造和接口開(kāi)發(fā)，并與接口平臺(tái)開(kāi)展聯(lián)調(diào)測(cè)試，其中功能測(cè)試和業(yè)務(wù)場(chǎng)景測(cè)試是必做項(xiàng)。5.2確定測(cè)試范圍概述本滲透測(cè)試涉及到的范圍及其特征。示例：本滲透測(cè)試在因特網(wǎng)中國(guó)境內(nèi)網(wǎng)段，針對(duì)實(shí)際生產(chǎn)環(huán)境進(jìn)行。5.3確定測(cè)試引用文檔3JR/T0232—2021確定開(kāi)展?jié)B透測(cè)試所考慮的需求因素，每個(gè)文檔宜明確具體的標(biāo)識(shí)(包括版本)和條款，典型的引用文檔包括：a)國(guó)家監(jiān)管制度。b)金融行業(yè)監(jiān)管制度。c)組織自身安全管理策略規(guī)范。d)團(tuán)體組織準(zhǔn)入規(guī)范。示例：支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)(PCISSC，PaymentCardIndustrySecurityStandardsCouncil)、環(huán)球銀行金融電信協(xié)會(huì)(SWIFT，SocietyWorldwideInterbankFinancialTelecommunication)等團(tuán)體組織均有定期對(duì)特定信息系統(tǒng)進(jìn)行滲透測(cè)試的相關(guān)規(guī)范。e)業(yè)務(wù)需求以及非功能需求。示例：某些重要業(yè)務(wù)系統(tǒng)需要很高的安全性，上線前和(或)上線后可能會(huì)提出專項(xiàng)的滲透測(cè)試需求。5.4確定測(cè)試項(xiàng)根據(jù)界定的測(cè)試范圍，確定具體的滲透測(cè)試對(duì)象。測(cè)試項(xiàng)宜能夠進(jìn)行明確的標(biāo)識(shí)和界定。示例：測(cè)試項(xiàng)通過(guò)具有唯一性的屬性予以標(biāo)識(shí)的例子包括互聯(lián)網(wǎng)協(xié)議(IP，InternetProtocol)地址、域名、域名+統(tǒng)一資源定位符(URL，UniformResourceLocators)、客戶端程序版本、客戶端程序文件哈希值。當(dāng)測(cè)試范圍為因特網(wǎng)中國(guó)境內(nèi)網(wǎng)段實(shí)際生產(chǎn)環(huán)境時(shí)，測(cè)試項(xiàng)為銀行的整個(gè)信息與通信(ICT，InformationandCommunicationsTechnology)系統(tǒng)。5.5確定被測(cè)試特性和不被測(cè)試特性確定具體的滲透測(cè)試特性，即滲透測(cè)試針對(duì)測(cè)試項(xiàng)的哪些方面和不針對(duì)哪些方面。示例：當(dāng)測(cè)試范圍為因特網(wǎng)中國(guó)境內(nèi)網(wǎng)段，測(cè)試項(xiàng)為銀行的整個(gè)ICT系統(tǒng)時(shí)，被測(cè)試特性為針對(duì)通用信息技術(shù)產(chǎn)品的通過(guò)互聯(lián)網(wǎng)的攻擊和利用應(yīng)用系統(tǒng)業(yè)務(wù)需求邏輯漏洞進(jìn)行的攻擊。不被測(cè)試特性包括高級(jí)可持續(xù)威脅((APT，AdvancedPersistentThreat)攻擊和分布式拒絕服務(wù)(DDOS，DistributedDenyOfService)攻擊。5.6確定測(cè)試方法與測(cè)試通過(guò)準(zhǔn)則根據(jù)滲透測(cè)試的目的、內(nèi)容以及實(shí)施特性，選定滲透測(cè)試方法，明確成功實(shí)施該測(cè)試的準(zhǔn)則。示例：滲透測(cè)試全流程中典型的測(cè)試方法包括：a)搜索，如基于搜索引擎收集信息。b)掃描，如通過(guò)自動(dòng)化掃描工具收集信息或檢測(cè)漏洞。c)監(jiān)聽(tīng)，如通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)竊取未加密敏感信息。d)篡改，如篡改上傳服務(wù)端的交易數(shù)據(jù)。e)繞過(guò)，如繞過(guò)登錄控制直接訪問(wèn)敏感信息。f)濫用，如惡意、頻繁地使用正常的業(yè)務(wù)功能。g)破解，如破解相關(guān)密碼算法還原加密的敏感信息。h)逆向，如通過(guò)動(dòng)態(tài)調(diào)試、反編譯等方式掌握程序的運(yùn)行邏輯。i)注入，如輸入包含惡意代碼的數(shù)據(jù)。5.7確定暫停準(zhǔn)則和恢復(fù)條件包括計(jì)劃內(nèi)暫停和計(jì)劃外暫停兩種情況。在暫停后恢復(fù)時(shí)，宜關(guān)注是否需要進(jìn)行回歸測(cè)試。5.8測(cè)試交付項(xiàng)確定可交付的文檔。測(cè)試輸入數(shù)據(jù)、測(cè)試輸出數(shù)據(jù)以及測(cè)試輔助軟件(如滲透測(cè)試工具的腳本)，宜確定為可交付項(xiàng)。5.9確定測(cè)試活動(dòng)、任務(wù)與進(jìn)度4JR/T0232—2021明確準(zhǔn)備和執(zhí)行滲透測(cè)試的主要活動(dòng)、任務(wù)和所需的時(shí)間周期，粒度宜符合實(shí)際需要，對(duì)不同的活動(dòng)、任務(wù)可按照不同的粒度進(jìn)行規(guī)劃。明確各項(xiàng)任務(wù)間的所有依賴關(guān)系和所需要的任何特殊技示例：在典型情況下，具體的實(shí)施計(jì)劃宜包括測(cè)試的起始時(shí)間點(diǎn)、測(cè)試的結(jié)束時(shí)間點(diǎn)或結(jié)束標(biāo)志，以及測(cè)試周期內(nèi)的具體實(shí)施時(shí)間段。5.10明確環(huán)境需求典型的測(cè)試環(huán)境需求包括但不限于：a)所需的硬件。b)所需的軟件，包括基礎(chǔ)軟件和測(cè)試工具軟件。c)所需的特殊硬件設(shè)備。d)所需的網(wǎng)絡(luò)環(huán)境，包括網(wǎng)絡(luò)種類、帶寬、賬號(hào)。e)測(cè)試所需的基礎(chǔ)數(shù)據(jù)。f)測(cè)試設(shè)計(jì)和執(zhí)行的物理場(chǎng)地與辦公設(shè)施。g)測(cè)試所需的銀行產(chǎn)品憑據(jù)。5.11分配職責(zé)、權(quán)限和各部門(mén)間的工作銜接確定負(fù)責(zé)管理、設(shè)計(jì)、準(zhǔn)備、執(zhí)行、監(jiān)督和解決問(wèn)題的各個(gè)小組，實(shí)現(xiàn)所有的工作任務(wù)均有任務(wù)屬主，且明確承擔(dān)相關(guān)屬主角色之間的不兼容職責(zé)。所有參與者從承擔(dān)責(zé)任上分為任務(wù)屬主或參與者。從時(shí)間投入上分為全職人員或共享人員。宜確定這些個(gè)人和小組之間交流的內(nèi)容和方法，包括闡明信息流和數(shù)據(jù)流的圖表。按最小權(quán)限原則對(duì)滲透測(cè)試全體人員進(jìn)行合理授權(quán)。對(duì)涉及到內(nèi)部網(wǎng)絡(luò)的，宜僅開(kāi)通測(cè)試所需的網(wǎng)絡(luò)訪問(wèn)范圍和相關(guān)支撐系統(tǒng)、應(yīng)用系統(tǒng)所必要的用戶權(quán)限。對(duì)所有滲透測(cè)試涉及的文檔(包括本計(jì)劃)、工具、數(shù)據(jù)的歸屬、共享做出規(guī)定。5.12明確人員配備和培訓(xùn)目標(biāo)根據(jù)任務(wù)和設(shè)置的小組與職責(zé)提出對(duì)人員的配備和技能的需求，對(duì)不具備相關(guān)技能的情況，說(shuō)明如何進(jìn)行培訓(xùn)。示例：指導(dǎo)組、工具組、環(huán)境組人員來(lái)自專業(yè)團(tuán)隊(duì)且已經(jīng)具備了所需的知識(shí)與技能。設(shè)計(jì)組需外部專家指導(dǎo)且已經(jīng)在相關(guān)采購(gòu)合同中包括了所需的人員，需要由工具組和外部專家進(jìn)行工具腳本設(shè)計(jì)和工具使用的專業(yè)培訓(xùn)。5.13明確風(fēng)險(xiǎn)和應(yīng)急措施標(biāo)識(shí)測(cè)試策劃的風(fēng)險(xiǎn)假設(shè)，提出應(yīng)對(duì)各種風(fēng)險(xiǎn)的應(yīng)急措施。示例：本滲透測(cè)試可預(yù)料到的風(fēng)險(xiǎn)和應(yīng)急措施包括：a)對(duì)生產(chǎn)環(huán)境可能導(dǎo)致的破壞風(fēng)險(xiǎn)，應(yīng)急措施為提前編制應(yīng)急預(yù)案，提前備份敏感數(shù)據(jù)及重要系統(tǒng)。b)對(duì)生產(chǎn)環(huán)境的功能產(chǎn)生影響的風(fēng)險(xiǎn)，應(yīng)急措施為提前編制應(yīng)急預(yù)案，實(shí)施過(guò)程中暫停測(cè)試，并馬上啟動(dòng)對(duì)該功能涉及到應(yīng)用系統(tǒng)的修復(fù)。c)對(duì)生產(chǎn)環(huán)境的性能產(chǎn)生影響的風(fēng)險(xiǎn)，應(yīng)急措施為加強(qiáng)對(duì)應(yīng)用系統(tǒng)的監(jiān)控，實(shí)施階段的滲透攻擊環(huán)節(jié)錯(cuò)開(kāi)生產(chǎn)業(yè)務(wù)高峰期，限制自動(dòng)化工具的并發(fā)數(shù)。d)測(cè)試過(guò)程中誤操作可能導(dǎo)致的風(fēng)險(xiǎn)，應(yīng)急措施為測(cè)試均應(yīng)采用腳本化方式，操作時(shí)雙人實(shí)施。e)滲透測(cè)試不充分導(dǎo)致的殘留風(fēng)險(xiǎn)，應(yīng)急措施為對(duì)測(cè)試結(jié)果進(jìn)行分析，保留測(cè)試現(xiàn)場(chǎng)數(shù)據(jù)和測(cè)試用例、規(guī)程數(shù)據(jù)，以便后期通過(guò)回歸測(cè)試復(fù)現(xiàn)測(cè)試過(guò)程。5.14確定質(zhì)量保證過(guò)程明確為保證測(cè)試過(guò)程和產(chǎn)品質(zhì)量所用的方法，包含或引用異常的跟蹤和解決過(guò)程。示例：所有的滲透測(cè)試均經(jīng)過(guò)設(shè)計(jì)，編制了測(cè)試規(guī)格說(shuō)明并經(jīng)過(guò)評(píng)審。所有的測(cè)試過(guò)程均編制了測(cè)試日志，經(jīng)質(zhì)量控制人員審核，記錄內(nèi)容與測(cè)試過(guò)程一致。編制了測(cè)試總結(jié)報(bào)告并通過(guò)評(píng)審。5.15測(cè)試策劃階段文檔5JR/T0232—2021在測(cè)試策劃階段，宜按照J(rèn)R/T0101—2013中第5章規(guī)定的要求，制定測(cè)試策劃。在本測(cè)試復(fù)用概率較低、且對(duì)后繼工作影響較小情況下，可按照J(rèn)R/T0101—2013中第10章規(guī)定的要求，編制測(cè)試預(yù)案中與測(cè)試策劃相關(guān)的部分。在應(yīng)急測(cè)試時(shí)，宜按照J(rèn)R/T0101—2013中第15章規(guī)定的要求，編制測(cè)試綜合報(bào)告中涉及到測(cè)試策劃的相關(guān)內(nèi)容。在確定質(zhì)量保證過(guò)程中，參考相關(guān)文檔進(jìn)行審核時(shí)，測(cè)試規(guī)格說(shuō)明宜按照J(rèn)R/T0101—2013中第9章規(guī)定的要求編制；測(cè)試日志宜按照J(rèn)R/T0101—2013中第11章規(guī)定的要求編制，測(cè)試總結(jié)報(bào)告宜按照J(rèn)R/T0101—2013中第14章規(guī)定的要求編制。6滲透測(cè)試設(shè)計(jì)6.1概述滲透測(cè)試設(shè)計(jì)(以下簡(jiǎn)稱測(cè)試設(shè)計(jì))是按照測(cè)試策劃，進(jìn)一步細(xì)化針對(duì)被測(cè)試特征的測(cè)試方法和通過(guò)準(zhǔn)則，選用已有的測(cè)試用例或設(shè)計(jì)新的測(cè)試用例；獲取并驗(yàn)證測(cè)試數(shù)據(jù)；確定測(cè)試用例執(zhí)行順序的測(cè)試規(guī)程；準(zhǔn)備測(cè)試工具并在必要時(shí)開(kāi)發(fā)測(cè)試軟件；建立并驗(yàn)證測(cè)試環(huán)境；進(jìn)行測(cè)試就緒評(píng)審。在測(cè)試設(shè)計(jì)過(guò)程中，發(fā)現(xiàn)測(cè)試策劃需要變更的，宜在經(jīng)過(guò)評(píng)審后及時(shí)變更測(cè)試策劃，使測(cè)試策劃與測(cè)試規(guī)格保持一致與協(xié)調(diào)。6.2確定測(cè)試范圍說(shuō)明本滲透測(cè)試涉及到的范圍及其特征。若測(cè)試策劃的范圍描述已經(jīng)能夠滿足對(duì)不同測(cè)試方法的設(shè)計(jì)，則可直接參考該測(cè)試策劃。在必要時(shí)，可針對(duì)測(cè)試策劃中描述的測(cè)試范圍有選擇地進(jìn)行細(xì)化，以說(shuō)明應(yīng)用相關(guān)測(cè)試方法的必要性。6.3被測(cè)試特征、測(cè)試方法與通過(guò)準(zhǔn)則在測(cè)試策劃描述的測(cè)試項(xiàng)、測(cè)試方法與測(cè)試通過(guò)準(zhǔn)則的基礎(chǔ)上，針對(duì)每一測(cè)試特征，在必要時(shí)細(xì)化測(cè)試方法。描述的粒度宜能按照給定的方法進(jìn)行測(cè)試用例和測(cè)試規(guī)程的設(shè)計(jì)。示例：測(cè)試項(xiàng)、測(cè)試方法與測(cè)試通過(guò)準(zhǔn)則見(jiàn)測(cè)試策劃。6.4測(cè)試用例6.4.1測(cè)試用例標(biāo)識(shí)規(guī)則明確測(cè)試用例描述的方式。不論采用哪種方式，均可唯一定位和檢索，并說(shuō)明使用的規(guī)則與注意事項(xiàng)。6.4.2測(cè)試用例概述測(cè)試用例可根據(jù)測(cè)試的特征分組，其粒度可根據(jù)測(cè)試用例是新設(shè)計(jì)還是選用庫(kù)中現(xiàn)有測(cè)試用例、測(cè)試設(shè)計(jì)，本測(cè)試使用是否需要執(zhí)行回歸測(cè)試，測(cè)試用例是否計(jì)劃復(fù)用，以及實(shí)施人員的知識(shí)與技能綜合確定。宜集中描述測(cè)試用例的公共屬性，包括但不限于：a)對(duì)相關(guān)測(cè)試用例集合中每個(gè)輸入都有效的約束條件。b)任何共享環(huán)境的需求。c)對(duì)共享的特殊規(guī)程的規(guī)定。d)共享的測(cè)試用例之間的依賴關(guān)系。6.4.3測(cè)試用例詳述6.4.3.1概述每個(gè)或每組測(cè)試用例均宜遵循的規(guī)范，具體如下：a)測(cè)試用例宜具有可操作性，完整包含測(cè)試用例執(zhí)行所必不可少的各項(xiàng)內(nèi)容，包括但不限于：1)對(duì)應(yīng)的測(cè)試要點(diǎn)。6JR/T0232—20212)適用測(cè)試規(guī)程(場(chǎng)景)描述。3)測(cè)試用例的輸入和預(yù)期的結(jié)果。4)測(cè)試結(jié)果判定方法。5)案例實(shí)施所需數(shù)據(jù)，如用戶。b)測(cè)試用例對(duì)應(yīng)的測(cè)試要點(diǎn)覆蓋整體測(cè)試規(guī)程，見(jiàn)附錄A。c)測(cè)試用例宜滿足的特殊需求。d)宜對(duì)測(cè)試用例潛在的實(shí)施風(fēng)險(xiǎn)及應(yīng)急措施進(jìn)行說(shuō)明。e)生產(chǎn)環(huán)境下的滲透測(cè)試所使用的用戶宜提前備案并全程監(jiān)控。6.4.3.2測(cè)試用例編號(hào)為本測(cè)試用例賦予一個(gè)唯一標(biāo)識(shí)符，以便將其與其他測(cè)試用例區(qū)分開(kāi)，宜通過(guò)自動(dòng)工具生成標(biāo)識(shí)符。6.4.3.3輸入與輸出說(shuō)明規(guī)定執(zhí)行測(cè)試用例所需的各種輸入(或測(cè)試方法)與預(yù)期的輸出(或預(yù)期可能接收到的反饋)。WASPTopOpenWebApplicationSecurityProjectTop10)等各項(xiàng)行業(yè)最佳實(shí)踐，對(duì)本文件漏洞發(fā)現(xiàn)(見(jiàn)7.4)和攻擊驗(yàn)證內(nèi)容(見(jiàn)7.5.1)的每一項(xiàng)的用例制定明確的輸入和輸出說(shuō)明，規(guī)定所有合適的數(shù)據(jù)庫(kù)、文件、配置參數(shù)、接口報(bào)文、輸入終端、內(nèi)存駐留區(qū)域及操作系統(tǒng)傳送的各個(gè)值。對(duì)于新技術(shù)、新業(yè)務(wù)場(chǎng)景等原因無(wú)法明確測(cè)試輸入輸出的，可采用莽撞測(cè)試的方法，宜描述具體數(shù)據(jù)記錄的方法，但相關(guān)測(cè)試宜由具有三年以上滲透測(cè)試工作經(jīng)驗(yàn)的測(cè)試人員完成，并提前獲得測(cè)試需求方授權(quán)。規(guī)定輸入之間的所有必要的關(guān)系。示示例：輸入存在時(shí)序，前導(dǎo)交易和后繼交易均為輸入之間的關(guān)系。6.4.3.4采用的測(cè)試設(shè)計(jì)方法描述本測(cè)試用例所采用的測(cè)試設(shè)計(jì)方法。對(duì)于在6.3中已經(jīng)詳細(xì)描述的方法，本節(jié)不必重新描述，僅需引用。注：本節(jié)的目的是使得所有測(cè)試用例都采用了已經(jīng)確定的測(cè)試設(shè)計(jì)方法。6.4.3.5對(duì)其他用例依賴關(guān)系列出本測(cè)試用例與其他用例的依賴關(guān)系，宜區(qū)分以下情況：a)其他用例是執(zhí)行本測(cè)試用例的必要條件。b)本測(cè)試用例是執(zhí)行其他用例的必要條件。6.4.3.6特殊需求說(shuō)明描述執(zhí)行本測(cè)試用例時(shí)特殊的需求，包括但不限于管理需求、對(duì)人員的需求。對(duì)環(huán)境的需求宜在6.5中描述，本測(cè)試用例屬于特殊情況的，宜在本節(jié)提及。6.5測(cè)試環(huán)境6.5.1概述描述啟動(dòng)滲透測(cè)試、執(zhí)行滲透測(cè)試和記錄結(jié)果所需的測(cè)試環(huán)境，通常按每個(gè)(或每組)場(chǎng)景進(jìn)行描述，可使用一個(gè)(或多個(gè))圖形來(lái)展示所有的環(huán)境組成成分及其間信息交互。滲透測(cè)試環(huán)境描述策略，具體如下：a)當(dāng)滲透測(cè)試環(huán)境為生產(chǎn)環(huán)境時(shí)，可僅描述測(cè)試現(xiàn)場(chǎng)所需的環(huán)境。b)當(dāng)在測(cè)試策劃中對(duì)環(huán)境的描述足夠清晰和細(xì)致的情況下，以及在單獨(dú)制定了測(cè)試環(huán)境需求規(guī)格說(shuō)明和(或)測(cè)試數(shù)據(jù)需求規(guī)格說(shuō)明時(shí)，本節(jié)可直接引用這些文檔。7JR/T0232—2021c)當(dāng)測(cè)試策劃、測(cè)試環(huán)境需求規(guī)格說(shuō)明、測(cè)試數(shù)據(jù)需求規(guī)格說(shuō)明發(fā)生變更時(shí)，本節(jié)宜對(duì)變更情況進(jìn)行詳細(xì)描述。d)僅為部分特殊的測(cè)試用例需求的測(cè)試環(huán)境，可不在本節(jié)描述。6.5.2測(cè)試執(zhí)行環(huán)境滲透測(cè)試實(shí)施前宜完成各項(xiàng)環(huán)境準(zhǔn)備工作，具體如下：a)基礎(chǔ)環(huán)境準(zhǔn)備工作，當(dāng)在為滲透測(cè)試專門(mén)搭建的仿真環(huán)境進(jìn)行測(cè)試時(shí)，需說(shuō)明與生產(chǎn)環(huán)境的差異并評(píng)價(jià)可比性，主要包括：1)測(cè)試所需的系統(tǒng)資源，包括硬件、基礎(chǔ)軟件和支撐軟件等。2)測(cè)試所需的網(wǎng)絡(luò)資源，包括硬件、地址、端口、賬號(hào)等。3)應(yīng)用系統(tǒng)。4)測(cè)試基礎(chǔ)數(shù)據(jù)。b)監(jiān)控審計(jì)環(huán)境準(zhǔn)備工作，確保測(cè)試過(guò)程得到有效的監(jiān)控和記錄，該環(huán)境宜滿足：1)所有網(wǎng)絡(luò)流量均得以記錄，并在所需的時(shí)間周期(例如半年)內(nèi)可用。2)所有終端操作均得以記錄，并在所需的時(shí)間周期(例如半年)內(nèi)可用。終端操作記錄方式可通過(guò)錄屏、命令行日志記錄等方式實(shí)現(xiàn)。3)已采取信息防泄漏措施。c)對(duì)基礎(chǔ)環(huán)境及監(jiān)控審計(jì)環(huán)境的有效性設(shè)立了檢查確認(rèn)準(zhǔn)則。6.5.3測(cè)試工具準(zhǔn)備滲透測(cè)試實(shí)施前宜完成各項(xiàng)工具準(zhǔn)備工作，具體如下：a)準(zhǔn)備以下常用滲透測(cè)試工具：1)信息收集工具，如端口掃描工具、目錄枚舉工具、網(wǎng)絡(luò)監(jiān)聽(tīng)工具等。2)漏洞掃描工具，如網(wǎng)站漏洞掃描工具、系統(tǒng)層漏洞掃描工具等。3)漏洞利用工具，如暴力破解工具、數(shù)據(jù)包攔截和篡改工具、典型高危漏洞的專用工具。4)測(cè)試文檔管理工具。5)缺陷管理工具。b)非實(shí)施方自主開(kāi)發(fā)測(cè)試工具宜具備可跟蹤的、合規(guī)的獲取路徑。c)實(shí)施方自主開(kāi)發(fā)測(cè)試工具宜由實(shí)施方進(jìn)行工具安全性審查，重點(diǎn)審核不包含與銀行互聯(lián)網(wǎng)滲透測(cè)試實(shí)施無(wú)關(guān)的功能。d)對(duì)擬采用的工具進(jìn)行詳細(xì)記錄，包括但不限于：1)工具名稱。2)工具用途。3)工具提供方。4)工具獲取途徑。5)工具版本號(hào)。6)工具的散列值。6.5.4測(cè)試驗(yàn)證授權(quán)對(duì)授權(quán)策略的執(zhí)行情況進(jìn)行驗(yàn)證，具體如下：a)測(cè)試實(shí)施人員宜具有達(dá)成測(cè)試目標(biāo)所需的必要權(quán)限，包括以下內(nèi)容：1)測(cè)試對(duì)象網(wǎng)絡(luò)可達(dá)。2)具有特定權(quán)限的測(cè)試用戶。b)根據(jù)測(cè)試目標(biāo)配置合理的安全策略，包括以下內(nèi)容：8JR/T0232—20211)單純以發(fā)現(xiàn)應(yīng)用軟件漏洞為目標(biāo)的測(cè)試，宜通過(guò)白名單策略，放開(kāi)對(duì)測(cè)試源的限制。2)以驗(yàn)證目標(biāo)系統(tǒng)整體安全防護(hù)狀況為目標(biāo)的測(cè)試，不宜單獨(dú)為測(cè)試源開(kāi)通特殊安全策c)采取有效措施來(lái)控制測(cè)試實(shí)施人員行為超越授權(quán)范圍的風(fēng)險(xiǎn)，包括以下內(nèi)容：1)防火墻隔離。2)邊界監(jiān)控。3)日志審計(jì)。6.6測(cè)試過(guò)程描述6.6.1日志列出記錄日志的工具和方法，記錄的內(nèi)容包括測(cè)試執(zhí)行的結(jié)果，任何觀測(cè)到的異常，以及任何其他有關(guān)測(cè)試的事件。6.6.2建立提供準(zhǔn)備執(zhí)行規(guī)程所需的動(dòng)作序列。典型地，信息收集、威脅建模、漏洞發(fā)現(xiàn)都是建立的重要?jiǎng)幼鳌?.6.3啟動(dòng)提供開(kāi)始執(zhí)行規(guī)程所需的動(dòng)作。典型地，滲透攻擊是啟動(dòng)的重要?jiǎng)幼鳌?.6.4處理提供在規(guī)程執(zhí)行過(guò)程中所需的動(dòng)作。若測(cè)試用例按照?qǐng)鼍盎蛳盗袌?chǎng)景設(shè)計(jì)，即由多組輸入、輸出的有序排列構(gòu)成，則不必在此重復(fù)描述測(cè)試用例的執(zhí)行序列。本文件描述的攻擊過(guò)程(見(jiàn)7.5.2)是典型的處理過(guò)程。6.6.5度量描述如何進(jìn)行測(cè)試度量。度量可以是多維度的，例如對(duì)進(jìn)度的度量和對(duì)測(cè)試結(jié)果的度量。6.6.6暫停因計(jì)劃外事件導(dǎo)致的臨時(shí)暫停，描述測(cè)試所需的動(dòng)作。對(duì)已經(jīng)在測(cè)試策劃中描述了暫停的，此處引用即可。6.6.7再啟動(dòng)規(guī)定所有再啟動(dòng)點(diǎn)，描述在各再啟動(dòng)點(diǎn)上重新啟動(dòng)規(guī)程所必需的動(dòng)作。對(duì)已經(jīng)在測(cè)試策劃中描述了再啟動(dòng)的，此處引用即可。6.6.8停止描述正常停止執(zhí)行時(shí)所必需的動(dòng)作。6.6.9結(jié)束描述在運(yùn)行的規(guī)程全部執(zhí)行完成后(包括終止記錄日志)，恢復(fù)環(huán)境所必需的動(dòng)作。典型地，包括回收用于測(cè)試的權(quán)限。6.6.10應(yīng)急描述處理執(zhí)行過(guò)程中可能發(fā)生的異常事件所必需的動(dòng)作。6.7測(cè)試就緒評(píng)審在測(cè)試執(zhí)行前，宜對(duì)測(cè)試策劃和測(cè)試設(shè)計(jì)進(jìn)行評(píng)審，評(píng)審測(cè)試策劃的合理性、測(cè)試環(huán)境和測(cè)試工具的有效性，以及測(cè)試用例的可操作性和覆蓋充分性等。評(píng)審的主要內(nèi)容有：9JR/T0232—2021a)評(píng)審測(cè)試策劃的合理性，包括測(cè)試目標(biāo)、測(cè)試項(xiàng)、測(cè)試內(nèi)容、測(cè)試方法、時(shí)間計(jì)劃及授權(quán)策略等的合理性。b)評(píng)審測(cè)試環(huán)境和測(cè)試工具的有效性。c)評(píng)審測(cè)試用例的可操作性和充分性。6.8測(cè)試設(shè)計(jì)階段文檔在測(cè)試設(shè)計(jì)過(guò)程中，宜按照J(rèn)R/T0101—2013中第9章規(guī)定的要求，編制測(cè)試規(guī)格說(shuō)明。對(duì)認(rèn)為本滲透測(cè)試文檔具有高度復(fù)用價(jià)值的，宜按照J(rèn)R/T0101—2013中第6、7、8章規(guī)定的要求，分別編制測(cè)試設(shè)計(jì)說(shuō)明、測(cè)試用例說(shuō)明和測(cè)試規(guī)程說(shuō)明。在本測(cè)試復(fù)用概率較低且對(duì)后繼工作影響較小情況下，可按照J(rèn)R/T0101—2013中第10章規(guī)定的要求，編制測(cè)試預(yù)案中與測(cè)試設(shè)計(jì)相關(guān)的部分；在應(yīng)急測(cè)試時(shí)，宜按照J(rèn)R/T0101—2013中第15章規(guī)定的要求，編制測(cè)試綜合報(bào)告中涉及到測(cè)試設(shè)計(jì)的相關(guān)內(nèi)容。如有必要，測(cè)試環(huán)境需求規(guī)格說(shuō)明宜參照J(rèn)R/T0101—2013中附錄D.4規(guī)定的要求，測(cè)試數(shù)據(jù)需求規(guī)格說(shuō)明宜參照J(rèn)R/T0101—2013中附錄D.5規(guī)定的要求。7滲透測(cè)試執(zhí)行7.1概述滲透測(cè)試執(zhí)行(以下簡(jiǎn)稱測(cè)試執(zhí)行)是按照設(shè)計(jì)的過(guò)程執(zhí)行測(cè)試用例，獲得滲透測(cè)試結(jié)果，編制測(cè)試日志；分析并判定滲透測(cè)試是否達(dá)到預(yù)期以及是否進(jìn)行多輪測(cè)試；測(cè)試結(jié)束前，審核測(cè)試記錄文檔是否完整、有效、一致；在測(cè)試過(guò)程中，如出現(xiàn)異常情況，按照測(cè)試設(shè)計(jì)進(jìn)行處理并編制測(cè)試事件報(bào)告；完成全部預(yù)定的測(cè)試任務(wù)后，清理測(cè)試現(xiàn)場(chǎng)。本章描述的是測(cè)試過(guò)程的典型活動(dòng)，宜事先在測(cè)試設(shè)計(jì)的建立、啟動(dòng)、處理等活動(dòng)中有所反映，鑒于滲透測(cè)試可能需要根據(jù)某個(gè)測(cè)試的結(jié)果動(dòng)態(tài)進(jìn)行調(diào)整，故本文件將有關(guān)活動(dòng)的細(xì)節(jié)放在本章描述。在應(yīng)急測(cè)試時(shí)，編制測(cè)試綜合報(bào)告中涉及到測(cè)試執(zhí)行的相關(guān)內(nèi)容。在測(cè)試執(zhí)行過(guò)程中，發(fā)現(xiàn)測(cè)試策劃、測(cè)試設(shè)計(jì)需要變更的，宜在評(píng)審后及時(shí)變更，使測(cè)試策劃、測(cè)試設(shè)計(jì)與實(shí)際執(zhí)行的滲透測(cè)試保持一致與協(xié)調(diào)。7.2信息收集滲透測(cè)試的信息收集宜根據(jù)具體的測(cè)試范圍、測(cè)試引用文檔和測(cè)試項(xiàng)，結(jié)合測(cè)試需求方提供的信息，在測(cè)試需求方認(rèn)同并知曉的情況下，通過(guò)滲透收集或刺探性收集。7.2.1基礎(chǔ)信息收集滲透測(cè)試宜嘗試進(jìn)行基礎(chǔ)信息收集，具體如下：a)網(wǎng)絡(luò)信息，包括但不限于：1)域名解析記錄。2)IP地址段。3)開(kāi)放端口。b)系統(tǒng)信息，包括但不限于：1)設(shè)備類型。2)操作系統(tǒng)版本，既包括通用操作系統(tǒng)也包括網(wǎng)絡(luò)設(shè)備、專用硬件設(shè)備的專用操作系統(tǒng)。3)已安裝的軟件，如中間件、數(shù)據(jù)庫(kù)、虛擬化軟件等。4)操作系統(tǒng)和已安裝軟件的官方補(bǔ)丁列表。c)應(yīng)用信息，包括但不限于：1)開(kāi)發(fā)語(yǔ)言。2)開(kāi)源框架或插件。JR/T0232—20213)功能接口。4)URL路徑。5)業(yè)務(wù)功能。6)業(yè)務(wù)面向的用戶群體。7)應(yīng)用的官方補(bǔ)丁列表。d)安全防護(hù)信息，包括但不限于：1)已部署的安全防護(hù)產(chǎn)品功能。2)已部署的安全防護(hù)產(chǎn)品的廠商。7.2.2其他信息收集滲透測(cè)試可嘗試開(kāi)展信息收集工作，具體如下：a)通過(guò)互聯(lián)網(wǎng)等公開(kāi)合法渠道進(jìn)一步收集與本滲透測(cè)試相關(guān)的信息如下：1)相關(guān)文檔資料。2)郵件列表。3)所處公共托管環(huán)境。4)已公開(kāi)歷史安全漏洞。5)通過(guò)公開(kāi)渠道所收集的信息如為委托方已泄露的內(nèi)部敏感信息，及時(shí)告知委托方。b)提升測(cè)試效率及質(zhì)量，經(jīng)委托方同意，實(shí)施方可申請(qǐng)直接從委托方獲取部分測(cè)試對(duì)象相關(guān)信息如下：1)已使用的各類軟、硬件及其版本。2)部分源代碼。3)網(wǎng)絡(luò)拓?fù)洹?.3威脅建模7.3.1概述威脅建模是指在分析業(yè)務(wù)功能特征基礎(chǔ)上分析攻擊者動(dòng)機(jī)、判斷最主要威脅場(chǎng)景的過(guò)程。不是所有滲透測(cè)試或黑客攻擊都有該流程，在銀行互聯(lián)網(wǎng)滲透測(cè)試實(shí)施階段引入該環(huán)節(jié)的目的是通過(guò)分析銀行系統(tǒng)的不同業(yè)務(wù)特性，能更好地判斷攻擊動(dòng)機(jī)，從而開(kāi)展更加有針對(duì)性的測(cè)試。7.3.2攻擊動(dòng)機(jī)分析在分析滲透測(cè)試對(duì)象承載的業(yè)務(wù)及其流程的基礎(chǔ)上，分析評(píng)估潛在攻擊者的攻擊動(dòng)機(jī)，具體如a)竊取資金。b)竊取敏感信息。c)作為入侵更重要系統(tǒng)的跳板。d)造成不良社會(huì)影響。7.3.3威脅主體分析根據(jù)攻擊動(dòng)機(jī)分析結(jié)果，分析評(píng)估潛在的威脅主體及其能力，具體如下：a)分析潛在外部威脅主體：1)逐利的黑產(chǎn)團(tuán)伙。2)追求知名度的非授權(quán)安全技術(shù)人員。3)敵對(duì)政治勢(shì)力。4)無(wú)政府主義組織。b)分析潛在內(nèi)部威脅主體：JR/T0232—20211)心懷惡意的員工。2)外包技術(shù)支持人員。7.3.4主要攻擊場(chǎng)景判斷在攻擊動(dòng)機(jī)分析和威脅主體分析基礎(chǔ)上，明確本次滲透所需要模擬的最主要攻擊場(chǎng)景，并據(jù)此調(diào)整滲透測(cè)試案例及工具方法。7.4漏洞發(fā)現(xiàn)7.4.1基礎(chǔ)漏洞發(fā)現(xiàn)滲透測(cè)試的基礎(chǔ)漏洞發(fā)現(xiàn)宜滿足如下一般性操作要點(diǎn)：a)在使用自動(dòng)化漏洞掃描工具檢測(cè)漏洞的同時(shí)，根據(jù)威脅建模結(jié)果，有重點(diǎn)地開(kāi)展手工漏洞檢測(cè)工作。b)在生產(chǎn)環(huán)境中，不直接實(shí)施影響系統(tǒng)正常對(duì)外提供業(yè)務(wù)服務(wù)的漏洞檢測(cè)技術(shù)。c)根據(jù)目標(biāo)系統(tǒng)性能情況控制自動(dòng)化漏洞掃描工具的并發(fā)數(shù)。d)在生產(chǎn)環(huán)境中，不直接對(duì)原有數(shù)據(jù)進(jìn)行篡改。7.4.2應(yīng)用層漏洞發(fā)現(xiàn)根據(jù)信息收集情況，嘗試檢測(cè)發(fā)現(xiàn)潛在的應(yīng)用層漏洞，具體如下：a)檢測(cè)應(yīng)用在身份鑒別方面的漏洞，包括但不限于：1)弱口令。2)圖片驗(yàn)證碼繞過(guò)。3)認(rèn)證繞過(guò)。4)會(huì)話未正常結(jié)束。5)登錄請(qǐng)求重放。6)短信驗(yàn)證碼泄露。b)檢測(cè)應(yīng)用在訪問(wèn)控制方面的漏洞，包括但不限于：1)越權(quán)訪問(wèn)。2)交易步驟繞過(guò)。3)內(nèi)部接口暴露。4)后臺(tái)安全防控模型繞過(guò)。c)檢測(cè)應(yīng)用在敏感數(shù)據(jù)保護(hù)方面的漏洞，包括但不限于：1)重要業(yè)務(wù)參數(shù)篡改與偽造。2)數(shù)據(jù)訪問(wèn)頻度控制不足。3)數(shù)據(jù)重放。4)返回非業(yè)務(wù)所需敏感數(shù)據(jù)。d)檢測(cè)應(yīng)用在網(wǎng)站實(shí)現(xiàn)層面的漏洞，包括但不限于：1)結(jié)構(gòu)化查詢語(yǔ)言(SQL，StructuredQueryLanguage)注入。2)操作系統(tǒng)命令注入。3)可擴(kuò)展標(biāo)記語(yǔ)言(XML，ExtensibleMarkupLanguage)注入。4)代碼注入。5)跨站腳本(XSS，CrossSiteScripting)。6)跨站請(qǐng)求偽造(CSRF，CrossSiteRequestForgery)。7)可執(zhí)行文件上傳。8)任意文件下載。JR/T0232—20219)服務(wù)端請(qǐng)求偽造(SSRF，ServerSideRequestForgery)。10)不正確的目錄及頁(yè)面訪問(wèn)控制。11)不正確的錯(cuò)誤處理。12)存在通用應(yīng)用層框架已知漏洞。e)檢測(cè)應(yīng)用在客戶端程序?qū)崿F(xiàn)層面的漏洞，包括但不限于：1)緩沖區(qū)溢出。2)敏感信息截取。3)功能接口濫用。4)程序邏輯逆向破解。5)生物識(shí)別突破。6)密碼密鑰硬編碼。7.4.3網(wǎng)絡(luò)層漏洞發(fā)現(xiàn)根據(jù)信息收集情況，嘗試檢測(cè)發(fā)現(xiàn)潛在的網(wǎng)絡(luò)層漏洞，具體如下：a)檢測(cè)網(wǎng)絡(luò)傳輸?shù)拿舾行畔⑹欠褚巡扇∮行У谋Ｃ苄院屯暾员Ｗo(hù)措施，包括但不限于：1)機(jī)密數(shù)據(jù)是否加密傳輸。2)所使用密碼算法是否安全。b)檢測(cè)相關(guān)網(wǎng)絡(luò)協(xié)議的安全性，包括但不限于：1)域名解析協(xié)議。2)路由交換協(xié)議。3)網(wǎng)絡(luò)管理協(xié)議。4)文件傳輸協(xié)議。5)無(wú)線射頻協(xié)議。c)檢測(cè)網(wǎng)絡(luò)安全策略中可能存在的漏洞，包括但不限于：1)防火墻策略不嚴(yán)格。2)入侵防御系統(tǒng)(IPS，IntrusionPreventionSystem)策略繞過(guò)。3)入侵檢測(cè)系統(tǒng)(IDS，IntrusionDetectionSystem)策略繞過(guò)。4)網(wǎng)站應(yīng)用級(jí)防火墻(WAF，WebApplicationFirewall)策略繞過(guò)。d)檢測(cè)網(wǎng)絡(luò)設(shè)備中軟件版本存在的已知漏洞。e)檢測(cè)網(wǎng)絡(luò)設(shè)備中存在的配置漏洞，包括但不限于：1)弱口令。2)權(quán)限過(guò)高。3)未限制遠(yuǎn)程管理地址。7.4.4系統(tǒng)層漏洞發(fā)現(xiàn)根據(jù)信息收集情況，嘗試檢測(cè)發(fā)現(xiàn)潛在的系統(tǒng)層漏洞，具體如下：a)檢測(cè)相關(guān)系統(tǒng)存在的已知版本漏洞。b)檢測(cè)相關(guān)系統(tǒng)存在的配置漏洞，包括但不限于：1)弱口令。2)訪問(wèn)控制不嚴(yán)格。3)權(quán)限過(guò)高。c)檢測(cè)相關(guān)系統(tǒng)在敏感數(shù)據(jù)存儲(chǔ)方面的漏洞，包括但不限于：1)敏感信息明文存儲(chǔ)。2)測(cè)試數(shù)據(jù)未變形。JR/T0232—20217.5滲透攻擊7.5.1攻擊驗(yàn)證內(nèi)容在滲透攻擊階段通過(guò)模擬實(shí)際攻擊，嘗試對(duì)漏洞的保密性、完整性、可用性及可能造成的實(shí)質(zhì)影響進(jìn)行驗(yàn)證，具體內(nèi)容包括但不限于：a)通過(guò)模擬實(shí)際攻擊，驗(yàn)證可能對(duì)保密性造成的實(shí)質(zhì)影響，包括但不限于：1)獲取網(wǎng)絡(luò)中敏感數(shù)據(jù)。2)獲取服務(wù)器中敏感文件。3)獲取數(shù)據(jù)庫(kù)敏感信息。4)獲取應(yīng)用系統(tǒng)中未授權(quán)訪問(wèn)的敏感信息。b)通過(guò)模擬實(shí)際攻擊，驗(yàn)證可能對(duì)完整性造成的實(shí)質(zhì)影響，包括但不限于：1)獲取數(shù)據(jù)庫(kù)操作權(quán)限。2)獲取服務(wù)器控制權(quán)限。3)獲取專用設(shè)備控制權(quán)限。4)獲取應(yīng)用系統(tǒng)管理權(quán)限。5)篡改網(wǎng)站頁(yè)面、應(yīng)用邏輯等應(yīng)用系統(tǒng)的各個(gè)組成部分。6)篡改交易金額、賬戶、時(shí)間、重要提示信息等關(guān)鍵交易要素。7)破壞交易的不可否認(rèn)性。c)通過(guò)模擬實(shí)際攻擊，驗(yàn)證可能對(duì)可用性造成的實(shí)質(zhì)影響，包括但不限于：1)導(dǎo)致網(wǎng)絡(luò)不可用。2)導(dǎo)致服務(wù)器不可用。3)導(dǎo)致應(yīng)用程序不可用。4)導(dǎo)致數(shù)據(jù)庫(kù)服務(wù)不可用。7.5.2攻擊過(guò)程在滲透攻擊階段宜嘗試實(shí)施如下攻擊過(guò)程：a)驗(yàn)證單個(gè)漏洞的可利用性及可能造成的實(shí)質(zhì)影響。b)嘗試通過(guò)多個(gè)漏洞的關(guān)聯(lián)利用驗(yàn)證漏洞的綜合可利用性及可能造成的實(shí)質(zhì)影響。c)攻擊獲取權(quán)限后，如非系統(tǒng)最高權(quán)限，嘗試開(kāi)展權(quán)限提升可行性驗(yàn)證。d)攻擊獲取權(quán)限后，嘗試橫向滲透。以已有成果為基礎(chǔ)，重復(fù)信息收集、威脅建模、漏洞發(fā)現(xiàn)、滲透攻擊等環(huán)節(jié)，確定進(jìn)一步攻擊滲透其他目標(biāo)的可能性。如具有可能性，開(kāi)展相關(guān)驗(yàn)證工作。e)攻擊實(shí)施完成后保存相關(guān)證據(jù)，包括但不限于截圖、錄像等。f)攻擊實(shí)施完成并保存相關(guān)證據(jù)后，開(kāi)展現(xiàn)場(chǎng)清理工作，確保應(yīng)用系統(tǒng)得到恢復(fù)，包括但不限于刪除上傳的文件、刪除增加的用戶、刪除安裝的工具等。7.5.3風(fēng)險(xiǎn)控制在滲透攻擊階段宜采取如下措施控制實(shí)施風(fēng)險(xiǎn)：a)攻擊實(shí)施前在測(cè)試用例中說(shuō)明含詳盡步驟的攻擊實(shí)施方案。b)攻擊實(shí)施過(guò)程每個(gè)步驟的指令及結(jié)果均在測(cè)試日志中進(jìn)行詳細(xì)記錄。c)如滲透測(cè)試執(zhí)行過(guò)程涉及非法定必要的第三方人員，宜從如下方面做好工作：1)評(píng)估第三方人員可執(zhí)行的測(cè)試任務(wù)，使第三方人員僅接觸必要且可控的信息。2)在相關(guān)工作實(shí)施前與第三方人員及其派出單位簽署保密協(xié)議。JR/T0232—20213)在項(xiàng)目實(shí)施過(guò)程中，第三方人員不能使用未經(jīng)授權(quán)的設(shè)備，必要時(shí)不能攜帶電子設(shè)備入場(chǎng)。4)項(xiàng)目完成后，在做好備份的前提下，監(jiān)督第三方人員清除測(cè)試現(xiàn)場(chǎng)，刪除測(cè)試相關(guān)數(shù)據(jù)，妥善處置紙質(zhì)記錄文檔。d)如相關(guān)工作的實(shí)施風(fēng)險(xiǎn)在生產(chǎn)環(huán)境不可接受，則在仿真環(huán)境中開(kāi)展。示例：對(duì)重要業(yè)務(wù)系統(tǒng)的DDOS攻擊測(cè)試，在仿真環(huán)境中開(kāi)展。7.6測(cè)試執(zhí)行階段文檔在測(cè)試執(zhí)行階段，宜按照J(rèn)R/T0101—2013中第11章規(guī)定的要求，編制測(cè)試日志；在測(cè)試過(guò)程中，如出現(xiàn)異常情況，按照測(cè)試設(shè)計(jì)進(jìn)行處理并按照J(rèn)R/T0101—2013中第12章規(guī)定的要求，編制測(cè)試事件報(bào)告。在應(yīng)急測(cè)試時(shí)，宜按照J(rèn)R/T0101—2013中第15章規(guī)定的要求，編制測(cè)試綜合報(bào)告中涉及到測(cè)試執(zhí)行的相關(guān)內(nèi)容。8滲透測(cè)試總結(jié)8.1概述滲透測(cè)試總結(jié)(以下簡(jiǎn)稱測(cè)試總結(jié))包括整理和分析測(cè)試數(shù)據(jù)，說(shuō)明實(shí)際測(cè)試與測(cè)試策劃和測(cè)試設(shè)計(jì)的差異，進(jìn)行測(cè)試充分性分析并描述未能解決的測(cè)試事件，進(jìn)行測(cè)試結(jié)果匯總，給出建議和結(jié)論并說(shuō)明依據(jù)，編制測(cè)試總結(jié)報(bào)告，并通過(guò)測(cè)試評(píng)審。在應(yīng)急測(cè)試時(shí)，編制測(cè)試綜合報(bào)告中涉及到測(cè)試總結(jié)的相關(guān)內(nèi)容并最終完成測(cè)試綜合報(bào)告。在認(rèn)為必要時(shí)，可編制測(cè)試工作總結(jié)。8.28.2測(cè)試數(shù)據(jù)分析對(duì)所有的測(cè)試日志進(jìn)行分析。根據(jù)是否需要進(jìn)行回歸測(cè)試判定測(cè)試日志記錄(包括采用信息化手段進(jìn)行的記錄)的完整性，確認(rèn)根據(jù)測(cè)試日志得出測(cè)試結(jié)論的充分性和可信性。8.3差異分析分析測(cè)試日志和測(cè)試事件報(bào)告記錄的測(cè)試過(guò)程與測(cè)試策劃和測(cè)試規(guī)格說(shuō)明的一致性，對(duì)不一致的內(nèi)容進(jìn)行分析以判定是否實(shí)現(xiàn)了預(yù)定的測(cè)試覆蓋。按照基線管理策略，在此時(shí)對(duì)測(cè)試策劃和測(cè)試規(guī)格說(shuō)明進(jìn)行變更的，宜進(jìn)行必要的回歸測(cè)試以保證最小的測(cè)試覆蓋。8.4風(fēng)險(xiǎn)決策根據(jù)分析8.4.1分析目的對(duì)安全漏洞的風(fēng)險(xiǎn)定級(jí)方法做出統(tǒng)一的原則性規(guī)定，同時(shí)提供一個(gè)參考性的風(fēng)險(xiǎn)定級(jí)計(jì)算工具，：a)漏洞定級(jí)既考慮了技術(shù)風(fēng)險(xiǎn)，又考慮了銀行業(yè)務(wù)的特性以及監(jiān)管規(guī)定。b)本文件的應(yīng)用者有較為統(tǒng)一的漏洞定級(jí)方法，為統(tǒng)一管理評(píng)價(jià)奠定基礎(chǔ)。8.4.2分析維度對(duì)風(fēng)險(xiǎn)的分析宜按照如下維度進(jìn)行：a)信息系統(tǒng)重要性考量：1)受漏洞影響的信息系統(tǒng)整體重要性。2)受漏洞影響的具體功能模塊的重要性。b)漏洞對(duì)信息系統(tǒng)安全屬性的影響程度考量：1)對(duì)保密性的影響程度。JR/T0232—20212)對(duì)完整性的影響程度。3)對(duì)可用性的影響程度。c)漏洞本身的利用難度考量：1)漏洞被利用的前提條件限制。2)針對(duì)漏洞的攻擊發(fā)起路徑。3)攻擊工具的獲取難度及操作復(fù)雜度。d)遵從性主要考量漏洞的存在是否違背國(guó)家法律、法規(guī)及相關(guān)行業(yè)監(jiān)管規(guī)定的情況。根據(jù)上述描述可將漏洞帶來(lái)的風(fēng)險(xiǎn)分為嚴(yán)重、高、中、低、提示五個(gè)級(jí)別，具體定級(jí)方法見(jiàn)附錄B。8.5報(bào)告編寫(xiě)8.5.1總體設(shè)計(jì)銀行互聯(lián)網(wǎng)滲透測(cè)試報(bào)告宜按照J(rèn)R/T0101—2013中第14章規(guī)定的要求編制，其中對(duì)引用文獻(xiàn)中描述的內(nèi)容，可根據(jù)需要在測(cè)試總結(jié)報(bào)告中做必要的引用，以便于閱讀。8.5.2范圍概要描述本滲透測(cè)試的工作范圍，宜特別說(shuō)明是否對(duì)生產(chǎn)環(huán)境進(jìn)行測(cè)試。在認(rèn)為必要時(shí)，可說(shuō)明哪些內(nèi)容沒(méi)有包括在本滲透測(cè)試中。8.5.3引用文件引用列出所有適用的引用文件。尤其是外部有關(guān)滲透測(cè)試的文件，以及內(nèi)部的測(cè)試策劃、測(cè)試規(guī)格說(shuō)明文檔。為了便于閱讀，宜說(shuō)明對(duì)引用文件摘錄到本測(cè)試總結(jié)報(bào)告中的情況。8.5.4測(cè)試概要情況測(cè)試概要情況宜包括以下內(nèi)容：a)規(guī)劃及準(zhǔn)備階段各個(gè)環(huán)節(jié)的概要描述包括：1)委托方、實(shí)施方、實(shí)施人員。2)測(cè)試目標(biāo)。3)測(cè)試對(duì)象。4)測(cè)試內(nèi)容。5)測(cè)試方法。6)實(shí)施環(huán)境。7)工具清單。8)案例清單。b)在測(cè)試數(shù)據(jù)分析(見(jiàn)8.2)的基礎(chǔ)上，描述實(shí)施階段各個(gè)環(huán)節(jié)具體開(kāi)展情況的概要描述包括：1)信息收集情況。2)威脅建模結(jié)論。3)漏洞發(fā)現(xiàn)情況。4)滲透攻擊情況。c)在差異分析(見(jiàn)8.3)的基礎(chǔ)上，說(shuō)明制定的測(cè)試策劃、測(cè)試規(guī)格說(shuō)明與測(cè)試執(zhí)行的差異以及必要的回歸測(cè)試情況。8.5.5決策根據(jù)與結(jié)論和建議JR/T0232—2021決策根據(jù)與結(jié)論和建議宜包括如下內(nèi)容：a)描述包括風(fēng)險(xiǎn)決策根據(jù)分析(見(jiàn)8.4)的內(nèi)容。b)所發(fā)現(xiàn)漏洞的詳細(xì)技術(shù)分析及整改建議包括：1)漏洞在信息系統(tǒng)中的具體位置。2)漏洞的可利用情況及相關(guān)證據(jù)。3)漏洞的具體利用方式。4)漏洞的整改方案建議。c)所發(fā)現(xiàn)漏洞的整體統(tǒng)計(jì)分析及改進(jìn)建議包括：1)不同維度的統(tǒng)計(jì)分布圖。2)統(tǒng)計(jì)分析所反映的問(wèn)題。3)針對(duì)相關(guān)問(wèn)題的改進(jìn)建議。8.6測(cè)試評(píng)審在測(cè)試完成后，評(píng)審測(cè)試執(zhí)行過(guò)程是否達(dá)到滲透測(cè)試目的。主要對(duì)測(cè)試執(zhí)行過(guò)程中的信息收集和漏洞發(fā)現(xiàn)的覆蓋充分性、威脅建模的有效性、滲透攻擊的完整性和深入性，以及攻擊驗(yàn)證內(nèi)容的保密性、完整性、可用性進(jìn)行評(píng)審。評(píng)審的主要內(nèi)容有：a)評(píng)審信息收集和漏洞發(fā)現(xiàn)的覆蓋充分性。b)評(píng)審?fù){建模的有效性。c)評(píng)審攻擊驗(yàn)證內(nèi)容的保密性、完整性、可用性，以及攻擊過(guò)程的深入性。8.7測(cè)試總結(jié)階段文檔按照J(rèn)R/T0101—2013中第14章規(guī)定的要求，編制測(cè)試總結(jié)報(bào)告。在應(yīng)急在應(yīng)急測(cè)試時(shí)，宜按照J(rèn)R/T0101—2013中第15章規(guī)定的要求，編制測(cè)試綜合報(bào)告中涉及到測(cè)試總結(jié)的相關(guān)內(nèi)容并最終完成測(cè)試綜合報(bào)告。在認(rèn)為必要時(shí)，可按照J(rèn)R/T0101—2013中附錄D.2規(guī)定的要求，編制測(cè)試工作總結(jié)。JR/T0232—2021A附錄A(資料性)銀行互聯(lián)網(wǎng)滲透測(cè)試過(guò)程要點(diǎn)清單本附錄給出了在進(jìn)行銀行互聯(lián)網(wǎng)滲透測(cè)試設(shè)計(jì)時(shí)需要考慮到的基本測(cè)試要點(diǎn)，見(jiàn)表A.1。表A.1銀行互聯(lián)網(wǎng)滲透測(cè)試過(guò)程要點(diǎn)清單一級(jí)項(xiàng)二級(jí)項(xiàng)三級(jí)項(xiàng)測(cè)試要點(diǎn)信息收集基礎(chǔ)信息收集網(wǎng)絡(luò)信息收集IP地址段信息收集開(kāi)放端口信息收集域名解析記錄收集系統(tǒng)信息收集設(shè)備類型信息收集操作系統(tǒng)版本信息收集已安裝軟件信息收集應(yīng)用信息收集開(kāi)發(fā)語(yǔ)言信息收集開(kāi)源框架或插件信息收集功能接口信息收集URL路徑信息收集業(yè)務(wù)功能信息收集業(yè)務(wù)面向的用戶群體信息收集應(yīng)用的官方補(bǔ)丁信息收集安全防護(hù)安全防護(hù)產(chǎn)品功能信息收集安全防護(hù)產(chǎn)品廠商信息收集拓展信息收集互聯(lián)網(wǎng)搜索相關(guān)文檔資料信息收集相關(guān)郵件列表信息收集所處公共托管環(huán)境信息收集已公開(kāi)歷史安全漏洞信息收集委托方提供信息從委托方獲取相關(guān)信息威脅建模目標(biāo)對(duì)象分析目標(biāo)對(duì)象業(yè)務(wù)分析業(yè)務(wù)流程分析目標(biāo)對(duì)象價(jià)值分析可能包含的敏感信息分析可能的資金竊取途徑分析對(duì)入侵其他重要系統(tǒng)的幫助分析可能造成的社會(huì)影響分析威脅主體分析外部威脅主體分析外部威脅主體的動(dòng)機(jī)及能力分析內(nèi)部威脅主體分析內(nèi)部威脅主體的動(dòng)機(jī)及能力分析主要威脅判斷明確主要攻擊場(chǎng)景明確主要攻擊場(chǎng)景漏洞發(fā)現(xiàn)應(yīng)用層漏洞發(fā)現(xiàn)身份鑒別弱口令檢測(cè)JR/T0232—2021表A.1銀行互聯(lián)網(wǎng)滲透測(cè)試過(guò)程要點(diǎn)清單(續(xù))一級(jí)項(xiàng)二級(jí)項(xiàng)三級(jí)項(xiàng)測(cè)試要點(diǎn)漏洞發(fā)現(xiàn)應(yīng)用層漏洞發(fā)現(xiàn)圖片驗(yàn)證碼繞過(guò)檢測(cè)認(rèn)證繞過(guò)檢測(cè)會(huì)話未正常結(jié)束檢測(cè)登錄請(qǐng)求重放檢測(cè)短信驗(yàn)證碼泄露檢測(cè)訪問(wèn)控制越權(quán)訪問(wèn)檢測(cè)交易步驟繞過(guò)檢測(cè)內(nèi)部接口暴露檢測(cè)后臺(tái)安全防控模型繞過(guò)檢測(cè)功能邏輯重要業(yè)務(wù)參數(shù)篡改與偽造檢測(cè)頻度控制不足檢測(cè)數(shù)據(jù)重放檢測(cè)返回非業(yè)務(wù)所需敏感數(shù)據(jù)檢測(cè)網(wǎng)站程序?qū)崿F(xiàn)SQL注入檢測(cè)操作系統(tǒng)命令注入檢測(cè)XML注入檢測(cè)代碼注入檢測(cè)RF可執(zhí)行文件上傳檢測(cè)任意文件下載檢測(cè)不正確的目錄及頁(yè)面訪問(wèn)控制檢測(cè)不正確的錯(cuò)誤處理檢測(cè)存在通用應(yīng)用層框架已知漏洞檢測(cè)客戶端程序?qū)崿F(xiàn)緩沖區(qū)溢出檢測(cè)敏感信息截取檢測(cè)功能接口濫用檢測(cè)程序邏輯逆向破解檢測(cè)生物識(shí)別突破檢測(cè)密碼密鑰硬編碼檢測(cè)網(wǎng)絡(luò)傳輸機(jī)密數(shù)據(jù)是否加密檢測(cè)密碼算法是否安全檢測(cè)網(wǎng)絡(luò)協(xié)議域名解析協(xié)議相關(guān)漏洞檢測(cè)路由交換協(xié)議相關(guān)漏洞檢測(cè)JR/T0232—2021表A.1銀行互聯(lián)網(wǎng)滲透測(cè)試過(guò)程要點(diǎn)清單(續(xù))一級(jí)項(xiàng)二級(jí)項(xiàng)三級(jí)項(xiàng)測(cè)試要點(diǎn)漏洞發(fā)現(xiàn)應(yīng)用層漏洞發(fā)現(xiàn)網(wǎng)絡(luò)管理協(xié)議相關(guān)漏洞檢測(cè)文件傳輸協(xié)議相關(guān)漏洞檢測(cè)無(wú)線射頻協(xié)議相關(guān)漏洞檢測(cè)網(wǎng)絡(luò)安全策略防火墻策略不嚴(yán)格檢測(cè)IPS策略繞過(guò)檢測(cè)IDS策略繞過(guò)檢測(cè)WAF策略繞過(guò)檢測(cè)網(wǎng)絡(luò)設(shè)備軟件版本軟件版本已知漏洞檢測(cè)網(wǎng)絡(luò)設(shè)備配置弱口令檢測(cè)權(quán)限過(guò)高檢測(cè)遠(yuǎn)程管理地址限制檢測(cè)系統(tǒng)層漏洞發(fā)現(xiàn)系統(tǒng)軟件版本軟件版本已知漏洞檢測(cè)系統(tǒng)軟件配置弱口令檢測(cè)訪問(wèn)控制不嚴(yán)格檢測(cè)權(quán)限過(guò)高檢測(cè)敏感數(shù)據(jù)存儲(chǔ)敏感信息明文存儲(chǔ)檢測(cè)測(cè)試數(shù)據(jù)未變形檢測(cè)滲透攻擊攻擊過(guò)程(如無(wú)法在生產(chǎn)環(huán)境直接開(kāi)展，則在仿真環(huán)境開(kāi)展)單個(gè)漏洞驗(yàn)證嘗試驗(yàn)證單個(gè)漏洞的可利用性(包括對(duì)保密性、完整性、可用性三方面造成的實(shí)質(zhì)影響)關(guān)聯(lián)利用嘗試多個(gè)漏洞的關(guān)聯(lián)利用權(quán)限提升嘗試權(quán)限提升橫向滲透以已有成果為基礎(chǔ)，嘗試進(jìn)一步攻擊滲透其他目標(biāo)的可能性保存證據(jù)保存證據(jù)信息現(xiàn)場(chǎng)清理刪除上傳的文件刪除增加的用戶刪除安裝的工具在具體實(shí)施階段，當(dāng)某一測(cè)試用例需以某項(xiàng)特殊條件為前提時(shí)，如該前提客觀上不存在，則該要點(diǎn)可標(biāo)注為“不具備前提條件”，并說(shuō)明具體原因。示例：在設(shè)計(jì)“權(quán)限提升”用例時(shí)，宜以能獲取某個(gè)系統(tǒng)的低級(jí)別權(quán)限的測(cè)試用例為前提。若在漏洞檢測(cè)及模擬利用過(guò)程中并未發(fā)現(xiàn)可獲取低級(jí)別權(quán)限的安全漏洞，則“權(quán)限提升”要點(diǎn)即為“不具備前提條件”。20JR/T0232—2021附錄B(資料性)銀行互聯(lián)網(wǎng)滲透測(cè)試漏洞風(fēng)險(xiǎn)定級(jí)參考B.1概述本附錄是在參考通用漏洞評(píng)分系統(tǒng)(CVSS，CommonVulnerabilityScoringSystem)、開(kāi)放式互聯(lián)網(wǎng)應(yīng)用程序安全項(xiàng)目(OWASP，OpenWebApplicationSecurityProject)等漏洞定級(jí)相關(guān)業(yè)界最佳實(shí)踐方法基礎(chǔ)上，結(jié)合銀行信息系統(tǒng)的特點(diǎn)制定。本附錄提出先通過(guò)影響程度、資產(chǎn)重要性、可利用性、遵從性4個(gè)參數(shù)計(jì)算出漏洞綜合風(fēng)險(xiǎn)值，再根據(jù)風(fēng)險(xiǎn)值給出定性的漏洞風(fēng)險(xiǎn)等級(jí)判定，具體見(jiàn)下圖，具體測(cè)算方法見(jiàn)本附錄其余各章。圖B弱點(diǎn)綜合風(fēng)險(xiǎn)關(guān)系圖B.2影響程度測(cè)算影響程度由漏洞對(duì)保密性、完整性、可用性的影響3方面決定，不同的影響級(jí)別賦予不同的值，見(jiàn)表B.1。表B.1影響程度測(cè)算影響因子定性分級(jí)定性描述賦值對(duì)保密性的影響無(wú)影響不會(huì)導(dǎo)致信息泄露的漏洞。0部分影響a)可導(dǎo)致少量服務(wù)器敏感泄露的漏洞，包括內(nèi)網(wǎng)IP地址、隱藏目錄、JAVA錯(cuò)誤信息、服務(wù)器物理路徑等信息。0.27521JR/T0232—2021表B.1影響程度測(cè)算(續(xù))影響因子定性分級(jí)定性描述賦值對(duì)保密性的影響部分影響b)可導(dǎo)致個(gè)別客戶信息被泄露的漏洞。嚴(yán)重影響a)可導(dǎo)致操作系統(tǒng)、網(wǎng)站后臺(tái)、數(shù)據(jù)庫(kù)等系統(tǒng)的管理員權(quán)限被獲取的漏洞。b)可導(dǎo)致客戶的賬戶權(quán)限被獲取的漏洞。c)可導(dǎo)致大量客戶敏感信息被泄露的漏洞。d)可導(dǎo)致數(shù)據(jù)庫(kù)信息被泄露的漏洞。e)可導(dǎo)致服務(wù)器上大量敏感信息被泄露的漏洞。f)可導(dǎo)致機(jī)密程度非常高的信息被泄露的漏洞，即使量少，也描述為嚴(yán)重影響。示例：漏洞泄露了賬戶密碼或其他公司秘密信息。0.66對(duì)完整性的影響無(wú)影響攻擊者無(wú)法利用漏洞非法篡改(新增、刪除或修改)目標(biāo)系統(tǒng)上的任何數(shù)據(jù)。0部分影響a)攻擊者可非法篡改的數(shù)據(jù)范圍非常有限。b)攻擊者不能非法篡改指定的數(shù)據(jù)，即攻擊者無(wú)法控制和使用篡改的數(shù)據(jù)。0.275嚴(yán)重影響a)可導(dǎo)致操作系統(tǒng)、網(wǎng)站后臺(tái)、數(shù)據(jù)庫(kù)等系統(tǒng)的管理員權(quán)限被獲取的漏洞。b)可導(dǎo)致任意客戶的賬戶權(quán)限被獲取的漏洞。c)攻擊者可非法篡改目標(biāo)系統(tǒng)上指定數(shù)據(jù)內(nèi)容，即攻擊者可控制和使用這些數(shù)據(jù)。d)攻擊者可非法篡改目標(biāo)系統(tǒng)的大量數(shù)據(jù)。e)攻擊者可非法篡改目標(biāo)系統(tǒng)上的核心數(shù)據(jù)，比如資金交易數(shù)據(jù)。0.66對(duì)可用性的影響無(wú)影響對(duì)目標(biāo)系統(tǒng)的使用和運(yùn)行無(wú)任何影響的漏洞。0部分影響a)對(duì)目標(biāo)系統(tǒng)的可用性造成一定影響的漏洞。比如服務(wù)器基本可用，但運(yùn)行效率會(huì)明顯下降。b)對(duì)網(wǎng)絡(luò)造成部分影響的漏洞，出現(xiàn)一定程度的網(wǎng)絡(luò)延遲。c)對(duì)服務(wù)器運(yùn)行沒(méi)影響，但一定程度上會(huì)影響用戶正常使用的漏洞，比如未驗(yàn)證的重定向和轉(zhuǎn)發(fā)。0.275嚴(yán)重影響a)可導(dǎo)致操作系統(tǒng)、網(wǎng)站后臺(tái)、數(shù)據(jù)庫(kù)等系統(tǒng)的管理員權(quán)限被獲取的漏洞。b)可導(dǎo)致任意客戶的賬戶權(quán)限被獲取的漏洞。c)可導(dǎo)致服務(wù)器拒絕服務(wù)的漏洞，比如導(dǎo)致服務(wù)器崩潰、宕機(jī)、重啟或者其他導(dǎo)致服務(wù)器無(wú)法正常運(yùn)行的漏洞。d)導(dǎo)致網(wǎng)絡(luò)擁塞、癱瘓或其他影響正常訪問(wèn)的漏洞。e)雖然對(duì)服務(wù)器運(yùn)行沒(méi)有影響，但可能完全影響用戶正常使用該服務(wù)器提供的服務(wù)，比如服務(wù)器內(nèi)的數(shù)據(jù)被篡改后，嚴(yán)重影響用戶使用。0.66影響程度的具體測(cè)算公式為：Impact=10.41×(1-(1-ConfImpact)×(1-IntegImpact)×(1-AvailImpact))式中：ConfImpact—對(duì)保密性的影響。IntegImpact—對(duì)完整性的影響。AvailImpact—對(duì)可用性的影響。B.3資產(chǎn)重要性測(cè)算22JR/T0232—2021資產(chǎn)重要性由信息系統(tǒng)類別和業(yè)務(wù)交易類型2個(gè)因素決定。信息系統(tǒng)類別是指存在漏洞的信息系統(tǒng)的整體功能屬性，業(yè)務(wù)交易類型是指漏洞所在功能點(diǎn)所對(duì)應(yīng)的功能屬性，具體見(jiàn)表B.2。表B.2資產(chǎn)重要性測(cè)算影響因子定性分級(jí)定性描述賦值信息系統(tǒng)類別JRT2020的4.2規(guī)定的C3類信息的信息系統(tǒng)。1JRT2020的4.2規(guī)定的C2類信息的信息系統(tǒng)。2JRT2020的4.2規(guī)定的C1類信息的信息系統(tǒng)。3處理不包含在JR/T0171—2020的4.2規(guī)定信息的信息系統(tǒng)。4業(yè)務(wù)交易類型資金交易類指通過(guò)銀行信息進(jìn)行資金操作交易，如轉(zhuǎn)賬、訂單支付、繳費(fèi)等。本人名下的投資理財(cái)、托管賬戶以及本人簽訂委托代扣協(xié)議的委托代扣等風(fēng)險(xiǎn)可控的資金變動(dòng)不屬于此范疇。1業(yè)務(wù)變更類通過(guò)銀行信息變更客戶相關(guān)信息或開(kāi)通、取消業(yè)務(wù)的交易，如客戶修改基本信息、調(diào)整交易額度、授權(quán)委托交易、修改交易訂單、開(kāi)通(簽訂)新業(yè)務(wù)、取消某項(xiàng)業(yè)務(wù)、電子合同簽署、電子保單等。2業(yè)務(wù)查詢類僅僅是一個(gè)查詢的平臺(tái)，不能進(jìn)行任何資金交易和信息業(yè)務(wù)變更。3其他類a)不涉及客戶數(shù)據(jù)及業(yè)務(wù)辦理，比如業(yè)務(wù)介紹、廣告、咨詢平臺(tái)。b)涉及其他與業(yè)務(wù)無(wú)關(guān)的數(shù)據(jù)，比如與業(yè)務(wù)無(wú)關(guān)的論壇。c)漏洞為一般的技術(shù)漏洞，與具體業(yè)務(wù)功能無(wú)關(guān)。4B.4影響程度修正影響程度修正是指在考慮資產(chǎn)重要性因素后對(duì)影響程度進(jìn)行相應(yīng)調(diào)整后的一個(gè)漏洞影響度量值，其B.4影響程度修正影響程度修正是指在考慮資產(chǎn)重要性因素后對(duì)影響程度進(jìn)行相應(yīng)調(diào)整后的一個(gè)漏洞影響度量值，其計(jì)算公式為：AdjustedImpact=min(10,10.41×(1-(1-ConfImpact×Req)×(1-IntegImpact×Req)×(1-AvailImpact×Req)))式中：ConfImpact—對(duì)保密性的影響。Req—資產(chǎn)重要性。IntegImpact—對(duì)完整性的影響。AvailImpact—對(duì)可用性的影響。B.5可利用性測(cè)算可利用性通過(guò)利用發(fā)起路徑、利用復(fù)雜度、登錄認(rèn)證限制3個(gè)維度來(lái)測(cè)算，具體見(jiàn)表B.3。表B.3可利用性測(cè)算23Req=0.2+(8-AppType-FuncType)×1.31/6式中：AppType—信息系統(tǒng)類別。FuncType—業(yè)務(wù)交易類型。JR/T0232—2021影響因子定性分級(jí)定性描述賦值發(fā)起路徑遠(yuǎn)程a)直接通過(guò)互聯(lián)網(wǎng)即可遠(yuǎn)程訪問(wèn)利用的漏洞。b)在測(cè)試環(huán)境中發(fā)現(xiàn)的，但將來(lái)部署在生產(chǎn)環(huán)境后可通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程利用的漏洞。1局域網(wǎng)在內(nèi)網(wǎng)環(huán)境才能利用的漏洞，通過(guò)互聯(lián)網(wǎng)上無(wú)法直接利用該