信息系統(tǒng)滲透測試技術(shù)規(guī)范

1DB21/TFORMTEXTXXXX—FORMTEXTXXXX信息系統(tǒng)滲透測試技術(shù)規(guī)范本文件規(guī)定了信息系統(tǒng)滲透測試技術(shù)規(guī)范的術(shù)語和定義、原則、滲透測試技術(shù)和管理的要求。本文件適用于遼寧省內(nèi)信息系統(tǒng)滲透測試的實施。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984—2007信息安全技術(shù)信息安全風險評估規(guī)范GB/T25069信息安全技術(shù)術(shù)語GB/T31509—2015信息安全技術(shù)信息安全風險評估實施指南GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T28448—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求GB/T36627—2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測試評估技術(shù)指南3術(shù)語和定義GB/T20984—2007、GB/T25069、GB/T31509—2015、GB/T22239—2019、GB/T28448—2019、GB/T36627—20181界定的以及下列術(shù)語和定義適用于本文件。3.1網(wǎng)絡(luò)安全CyberSecurity通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。3.2滲透測試penetrationtest通過模擬惡意黑客的攻擊方法，來評估計算機網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。3.3漏洞掃描Vulnerabilityscanning基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測（滲透攻擊）行為。3.4弱口令weakpassword容易被他人猜測到或被破解工具破解的口令。2DB21/TFORMTEXTXXXX—FORMTEXTXXXX3.5測試方Testingparty為信息系統(tǒng)提供測試服務(wù)的機構(gòu)或人員。3.6SQL注入SQLinjectionweb應用程序?qū)τ脩糨斎霐?shù)據(jù)的合法性沒有判斷或過濾不嚴，攻擊者可以在web應用程序中事先定義好的查詢語句的結(jié)尾上添加額外的SQL語句，在管理員不知情的情況下實現(xiàn)非法操作，以此來實現(xiàn)欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢，從而進一步得到相應的數(shù)據(jù)信息。3.7跨站腳本攻擊cross-sitescriptingattack，XSS一種安全攻擊，攻擊者在看上去來源可靠的鏈接中惡意嵌入譯碼。它允許惡意用戶將代碼注入到網(wǎng)頁上，其他用戶在觀看網(wǎng)頁時就會受到影響。注：這類攻擊通常包含了HTML以及用戶端腳本語言。3.8安全配置錯誤Securityconfigurationerror由不安全的默認配置、不完整的臨時配置、開源云存儲、錯誤的HTTP標頭配置以及包含敏感信息的詳細錯誤信息所造成的配置錯誤。安全配置錯誤可以發(fā)生在一個應用程序堆棧的任何層面。注：包括網(wǎng)絡(luò)服務(wù)、平臺、web服務(wù)器、應用服務(wù)器、數(shù)據(jù)庫、框架、自定義的代碼、預安裝的虛擬機、容器、存4原則4.1測試目的利用各種安全測試工具對網(wǎng)站及相關(guān)服務(wù)器等設(shè)備進行非破壞性質(zhì)的模擬入侵者攻擊，侵入系統(tǒng)并獲取系統(tǒng)信息并將入侵的過程和細節(jié)總結(jié)編寫成測試報告，由此確定存在的安全威脅，并能及時提醒安全管理員完善安全策略，降低安全風險。4.2測試原則4.2.1標準性原則應按照GB/T31509—2015和GB/T36627—2018的流程進行實施，包括實施階段和運維階段的測試工作。4.2.2全面性原則在規(guī)定的測試范圍內(nèi)，應覆蓋指定目標信息系統(tǒng)中的全部服務(wù)及每個服務(wù)中的全部功能。4.2.3分級原則測試過程應對信息系統(tǒng)各項服務(wù)及漏洞進行分級管理，以保證信息系統(tǒng)重要應用服務(wù)的資源投入。3DB21/TFORMTEXTXXXX—FORMTEXTXXXX4.2.4可控性原則測試過程應按照GB/T31509—2015中的項目管理辦法對過程、人員、工具等進行控制，以保證滲透測試安全可控。4.2.5最小影響原則針對處于運維階段的信息系統(tǒng)，應提前確定合適的測試時間窗口，避開業(yè)務(wù)高峰期，同時做好被測目標系統(tǒng)的應急預案。4.2.6保密性原則未經(jīng)委托方允許，測試方不應向第三方及社會公眾泄露與被測信息系統(tǒng)相關(guān)的一切信息，包括但不限于開發(fā)及運維人員個人信息以及因測試活動所獲取的敏感信息，如網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)數(shù)據(jù)、安全漏洞等。4.2.7及時性原則測試方應保證漏洞提交的及時性，檢測出漏洞與提交漏洞的時間間隔不應超出規(guī)定時間，不應出現(xiàn)漏洞積壓的情況。4.3測試形式滲透測試應按照GB/T28448—2019、GB/T36627—2018以及GB/T20984—2007，以人工滲透測試為主，工具漏洞掃描和自評估測試為輔，互為補充。滲透測試實施的組織形式包括但不限于個人測試、團隊測試、眾測等。5技術(shù)要求5.1測試環(huán)境及準備要求測試環(huán)境及準備要求包括以下內(nèi)容：a)滲透測試應提供與生產(chǎn)環(huán)境相似的仿真環(huán)境，以便進行部分可能影響數(shù)據(jù)完整性及穩(wěn)定性的侵入式測試。測試方在生產(chǎn)環(huán)境中應避免使用可能導致數(shù)據(jù)完整性及業(yè)務(wù)穩(wěn)定性遭受破環(huán)的測試手段；b)委托方應預先準備功能與數(shù)據(jù)均完備的賬號以保證測試的有效性，若完成測試涉及必要的專有設(shè)備，如控件、證書等軟硬件設(shè)備，委托方應給予必要的配合或協(xié)助；c)如測試過程中發(fā)現(xiàn)功能損壞及數(shù)據(jù)缺失，測試方應對缺失的數(shù)據(jù)及損壞的功能進行詳細記錄，并及時反饋給系統(tǒng)開發(fā)人員進行功能及數(shù)據(jù)補足；d)通過仿真環(huán)境測試時，委托方應提供安全的測試接入方式（如現(xiàn)場接入、VPN遠程接入及IP白名單等方式），防止非授權(quán)人員對仿真環(huán)境進行違規(guī)訪問或違規(guī)測試；e)禁止測試方向任何未經(jīng)授權(quán)的第三方泄露任何與測試環(huán)境相關(guān)的信息；f)測試環(huán)境提供方應及時與測試方同步系統(tǒng)更新、維護及測試計劃等信息，以保證測試環(huán)境穩(wěn)定可用；g)如測試對象為應用接口，測試環(huán)境提供方應向測試方提供足以用來構(gòu)造并完成接口請求的說明文檔或腳本。5.2測試工具及準備要求4DB21/TFORMTEXTXXXX—FORMTEXTXXXX測試工具及準備要求包括以下內(nèi)容：a)測試方應使用不存在法律風險的或合規(guī)風險的工具進行測試；b)測試方應使用獲得網(wǎng)絡(luò)安全主管部門或行業(yè)主管部門認可的漏洞掃描工具進行測試，同時提供測試工具清單，并制定明確的掃描策略和掃描計劃以規(guī)避風險；c)委托方應建立運行類測試工具審核機制，對測試方所提供的運行類測試工具的運行安全、版本、組成以及來源渠道進行嚴格審核；d)對于新引入的測試工具，應建立嚴格的審批及測試機制，確保不存在木馬后門程序或嚴重的軟件缺陷。對于已引入的滲透測試工具，應重點關(guān)注測試工具本身的安全性，及時針對測試工具進行補丁修復和版本升級；e)對于完成當次滲透測試后不再使用的運行類測試工具應在測試完成前徹底刪除，防止運行類工具本身引入安全隱患；f)測試方應從在信息系統(tǒng)中上傳或部署運行類測試工具開始，到通知測試環(huán)境提供方并徹底刪除運行類測試工具為止的期間內(nèi)，通過書面記錄或全程錄屏的方式嚴格記錄每一步操作步驟。針對測試過程的具體記錄方式應以測試相關(guān)方的協(xié)商意愿為準；g)在未經(jīng)授權(quán)的情況下，嚴禁使用公開的平臺進行存在數(shù)據(jù)外發(fā)的漏洞利用測試，如采用公開的平臺測試遠程命令執(zhí)行、XXS和SQL注入等漏洞。5.3測試方法5.3.1測試方法分類根據(jù)滲透目標分類：a)主機操作系統(tǒng)滲透：對Windows、Solaris、AIX、Linux、SCO、SGI、Kylin等操作系統(tǒng)進行滲透測試；b)數(shù)據(jù)庫系統(tǒng)滲透：對MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、達夢等數(shù)據(jù)庫應用系統(tǒng)進行滲透測試；c)應用系統(tǒng)滲透：對滲透目標提供的各種應用，如ASP、CGI、JSP、PHP等組成的WWW應用進行滲透測試；d)網(wǎng)絡(luò)設(shè)備滲透：對各種防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)設(shè)備進行滲透測試；e)內(nèi)網(wǎng)滲透：內(nèi)網(wǎng)滲透測試指測試人員從內(nèi)部網(wǎng)絡(luò)發(fā)起測試，內(nèi)部主要可能采用的滲透方式：遠程緩沖區(qū)溢出，口令猜測，以及B/S或C/S應用程序測試（如果涉及C/S程序測試，需要提前準備相關(guān)客戶端軟件供測試使用）；f)外網(wǎng)滲透：外網(wǎng)滲透測試指測試人員完全處于外部網(wǎng)絡(luò)（例如撥號、ADSL或外部光纖），模擬對內(nèi)部狀態(tài)一無所知的外部攻擊者的行為。包括對網(wǎng)絡(luò)設(shè)備的遠程攻擊，口令管理安全性測試，防火墻規(guī)則試探、規(guī)避，Web及其它開放應用服務(wù)的安全性測試。5.3.2滲透測試常用方法指紋識別指紋識別測試包括以下內(nèi)容：a)對操作系統(tǒng)進行指紋識別測試，方法包括Banner抓取、TCP和ICMP常規(guī)指紋識別技術(shù)、數(shù)據(jù)包重傳延時技術(shù)、使用滲透測試工具進行操作系統(tǒng)探測等；5DB21/TFORMTEXTXXXX—FORMTEXTXXXXb)對CMS進行指紋識別測試，方法包括基于特殊文件的md5值匹配、請求響應主體內(nèi)容或頭信息的關(guān)鍵字匹配、基于Url關(guān)鍵字識別、基于TCP/IP請求協(xié)議識別服務(wù)指紋、在owasp中識別Web應用框架測試方法；c)對數(shù)據(jù)庫進行指紋識別測試，方法包括常規(guī)判斷（如asp->sqlserver、php->m等）、網(wǎng)站錯誤信息識別、端口服務(wù)識別（如443->sqlserver，3306->mysql，1521->oracald)對中間件進行指紋識別測試，方法包括通過http返回消息中提取server字段、通過端口服務(wù)探測中間件、通過構(gòu)造錯誤界面返回信息查看中間件（例如通過nginx和Tomcat爆出中間件的版本信息）。漏洞掃描漏洞掃描測試包括以下內(nèi)容：a)進行網(wǎng)絡(luò)安全漏洞掃描測試，發(fā)現(xiàn)目標主機或網(wǎng)絡(luò)，搜集目標信息，根據(jù)搜集到的信息判斷或者進一步測試系統(tǒng)是否存在安全漏洞；b)進行主機漏洞掃描測試，從系統(tǒng)用戶的角度檢測計算機系統(tǒng)的漏洞，包括應用軟件、運行的進程、注冊表或用戶配置等存在的漏洞；c)進行數(shù)據(jù)庫漏洞掃描測試，通過自動掃描和手動輸入發(fā)現(xiàn)數(shù)據(jù)庫，經(jīng)授權(quán)掃描、非授權(quán)掃描、弱口令、滲透攻擊等檢測方式發(fā)現(xiàn)數(shù)據(jù)庫安全隱患，形成修復建議報告提供給用戶。弱口令破解弱口令測試包括以下內(nèi)容：a)建立并維護常用的弱口令字典，并保證字典具備較高的命中率；b)通過訪談及調(diào)研的形式確認目標系統(tǒng)不存在統(tǒng)一分發(fā)的弱口令，或確認每個賬戶的默認口令各不相同且無法基于自身分配的口令對其他賬戶的口令進行預測；c)通過測試確認不能夠使用空口令登錄目標系統(tǒng)；d)通過測試確認不存在能夠使用弱口令登錄的高權(quán)限賬戶；e)對于第三方應用，應通過測試確認第三方應用不存在可預測的默認口令。如出廠口令或可輕易與開發(fā)商信息相關(guān)聯(lián)的常見口令。文件下載文件下載測試內(nèi)容包括以下內(nèi)容：a)對下載的文件類型、目錄做合理嚴謹?shù)倪^濾；b)利用“../”跳轉(zhuǎn)上級目錄，直至跳轉(zhuǎn)到想要下載的目錄，測試是否能夠查看或下載任意敏感文件；c)測試是否能利用漏洞進一步攻入服務(wù)器。文件上傳文件上傳測試包括以下內(nèi)容：a)通過測試確認系統(tǒng)不存在可以直接部署網(wǎng)頁腳本的文件上傳功能；b)通過測試確認存儲上傳文件的Web應用服務(wù)不存在腳本解析漏洞；c)通過測試確認上傳文檔前經(jīng)過有效的身份驗證；d)通過測試確認文件上傳的校驗在服務(wù)端進行。DB21/TFORMTEXTXXXX—FORMTEXTXXXX命令注入命令注入測試包括：a)用&&、&、|、||判斷是否無命令注入；b)檢查是否有過濾；c)檢查是否不能繞過。SQL注入SQL注入測試包括：a)涉及增、刪、改的注入測試，應在仿真環(huán)境下進行，嚴禁在生產(chǎn)環(huán)境中進行增、刪、改相關(guān)的各類SQL注入測試；b)嚴禁使用第三方運維的域名解析記錄平臺進行帶外注入測試；c)在使用了NoSQL及ORM相關(guān)的技術(shù)系統(tǒng)中，測試方應根據(jù)相關(guān)技術(shù)特點調(diào)整測試手段以便充分發(fā)現(xiàn)SQL注入風險；d)對所有可能存在數(shù)據(jù)庫查詢的功能進行SQL注入測試?？缯灸_本跨站腳本測試包括：a)在進行存儲型跨站腳本測試時，應確保寫入內(nèi)容能夠通過測試賬號進行自行刪除，如無法自行刪除，應在仿真環(huán)境下進行測試；b)嚴禁進行跨站腳本蠕蟲測試；c)嚴禁使用第三方運維的跨站腳本反向代理平臺進行測試；d)通過測試確認輸入過濾及輸出編碼措施的有效性。跨站請求偽造跨站請求偽造測試包括：a)梳理并記錄所有與身份強相關(guān)的單項操作，包括但不限于不需要原密碼的密碼修改功能、增加用戶功能、刪除用戶功能、賦予用戶權(quán)限功能、轉(zhuǎn)賬功能、發(fā)送公告功能等；b)如使用Referer校驗，則應通過測試確認不存在域內(nèi)的CSRF漏洞；c)如使用Token校驗，則應通過測試確認Token驗證與會話標識強相關(guān)；d)如使用雙重校驗，則應通過測試確認驗證碼不可預測且不可繞過；e)如使用圖形驗證碼，則應通過測試確認圖形驗證碼不可預測且不可繞過；f)通過測試確認目標系統(tǒng)無法進行JSON和JSONP劫持攻擊。0失效的身份認證失效的身份認證測試包括：a)進行密碼破解測試；b)進行用戶名猜解測試；c)進行用戶名枚舉測試；d)進行繞過雙因子驗證測試；e)進行暴力破解2FA驗證碼測試；f)進行重置用戶密碼測試；7DB21/TFORMTEXTXXXX—FORMTEXTXXXXg)進行修改用戶密碼測試。1失效的訪問控制失效的訪問控制測試包括：a)進行文件包含/目錄遍歷測試；b)進行文件上傳、文件包含、任意文件下載、任意文件刪除測試；c)進行權(quán)限繞過（水平越權(quán)）測試；d)進行權(quán)限提升（垂直越權(quán)）測試；e)對不安全直接對象的引用進行測試。2安全配置錯誤安全配置錯誤測試包括：a)通過訪問默認帳戶，測試是否能獲得未經(jīng)授權(quán)的訪問；b)通過訪問未使用的頁面，測試是否能獲得未經(jīng)授權(quán)的訪問；c)通過訪問未修補的漏洞，測試是否能獲得未經(jīng)授權(quán)的訪問；d)通過訪問未受保護的文件和目錄，測試是否能獲得未經(jīng)授權(quán)的訪問。3已知漏洞組件使用使用滲透測試掃描工具進行組件漏洞掃描，測試是否存在已知漏洞的庫文件、框架和其他軟件模塊的組件。4業(yè)務(wù)邏輯缺陷業(yè)務(wù)邏輯缺陷測試包括：a)通過瀏覽器或滲透測試工具發(fā)出對于指定URL的請求，檢查是否能實現(xiàn)對于特定接口的越權(quán)訪b)針對Cookie內(nèi)的參數(shù)進行修改，進行提權(quán)測試；c)通過工具或者腳本直接調(diào)用用戶名、密碼校驗接口，檢查是否能繞過驗證碼的校驗和刷新邏輯，對登錄接口進行暴力破解。5信息泄露信息泄露測試包括：a)測試連接數(shù)據(jù)庫的賬號密碼所在的配置文件，查看配置文件中的賬號密碼是否被加密；b)進入一個有敏感信息的頁面(如帶有修改口令的頁面)，單擊右鍵查看源文件，查看源文件中是否包含明文的口令等敏感信息；c)進入一個有敏感信息的頁面(如帶有修改口令的頁面)，單擊右鍵，查看源文件中有關(guān)注釋信息是否包含明文的口令等敏感信息；d)構(gòu)造一些異常的條件來訪問Web系統(tǒng)，觀察其返回的信息以判斷系統(tǒng)是否存在信息泄漏的問題。常見異常處理包括不存在的URL、非法字符和邏輯錯誤等；e)測試存儲在服務(wù)器上的配置文件、日志、源代碼等是否存在漏洞；f)測試Web服務(wù)器默認提供的服務(wù)器狀態(tài)信息查詢功能，是否會泄漏系統(tǒng)信息；g)測試HappyAxis.jsp頁面中是否存在一些服務(wù)器的敏感信息。8否否結(jié)果結(jié)果否DB21/TFORMTEXTXXXX—FORMTEXTXXXX否否結(jié)果結(jié)果否5.4測試流程滲透測試流程見圖1。滲透開始滲透開始信息收集漏洞探測是否有漏洞是否有漏洞是漏洞驗證是否可利用是否可利用是權(quán)限提升是否可進內(nèi)網(wǎng)是否可進內(nèi)網(wǎng)內(nèi)網(wǎng)滲透信息整理報告輸出痕跡清理 滲透完成圖1滲透測試流程圖5.4.1信息收集信息收集分為主動信息收集和被動信息收集，即：a)主動信息收集包括服務(wù)器和中間件信息收集、端口信息收集、子域名信息收集、域名目錄遍歷、目標IP收集等，通過直接訪問、掃描網(wǎng)站獲取目標信息的行為；b)被動信息收集包括旁站C段查詢、CMS類型、敏感目錄/文件收集、whois信息收集等，對公開渠道可獲得的信息，主要對互聯(lián)網(wǎng)的信息進行收集。5.4.2漏洞探測9DB21/TFORMTEXTXXXX—FORMTEXTXXXX當完成信息收集之后，對網(wǎng)站進行漏洞探測，方法包括：a)使用工具進行漏洞掃描：AWVS、AppScan；b)結(jié)合漏洞去exploit-db等平臺找漏洞利用程序集；c)進行POC測試，針對具體應用的驗證性測試。漏洞包括以下內(nèi)容：a)系統(tǒng)漏洞：系統(tǒng)沒有及時打補?。籦)Websever漏洞：Websever配置問題；c)Web應用漏洞：Web應用開發(fā)問題；d)其它端口服務(wù)漏洞：21/8080(st2)/7001/22/3389等；e)通信安全：明文傳輸，token在cookie中傳送等。5.4.3漏洞驗證針對“漏洞探測”中發(fā)現(xiàn)的有可能被利用的漏洞進行進一步驗證。結(jié)合實際情況，搭建模擬環(huán)境進行試驗，成功后再應用于目標中。以下是幾個常見漏洞的驗證方法：a)自動化驗證：結(jié)合自動化掃描工具對系統(tǒng)進行掃描，提供的結(jié)果；b)手工驗證：根據(jù)公開資源進行手動驗證；c)試驗驗證：搭建模擬環(huán)境進行驗證；d)登錄猜解：嘗試猜解登錄口的賬號密碼等信息，登錄系統(tǒng)；e)業(yè)務(wù)漏洞驗證：如發(fā)現(xiàn)業(yè)務(wù)漏洞，需要進行驗證；f)公開資源的利用：exploit-db/wooyun/、滲透代碼網(wǎng)站、通用或缺省口令、廠商的漏洞警告等。5.4.4權(quán)限提升權(quán)限提升包括兩種情況：a)目標系統(tǒng)存在重大弱點，可以直接控制目標系統(tǒng)；b)目標系統(tǒng)沒有遠程重大弱點，但是可以獲得遠程普通權(quán)限，通過該普通權(quán)限進一步收集目標系統(tǒng)信息獲取本地權(quán)限，收集本地資料信息，提升本地權(quán)限。5.4.5內(nèi)網(wǎng)滲透內(nèi)網(wǎng)滲透有兩種方式：a)攻擊外網(wǎng)服務(wù)器，獲取外網(wǎng)服務(wù)器的權(quán)限，利用外網(wǎng)服務(wù)器作為跳板，攻擊內(nèi)網(wǎng)其他服務(wù)器，最后獲得敏感數(shù)據(jù)；b)攻擊內(nèi)網(wǎng)的系統(tǒng)、內(nèi)網(wǎng)電腦、內(nèi)網(wǎng)無線等方式，控制辦公電腦，用獲得的辦公網(wǎng)數(shù)據(jù)獲取內(nèi)網(wǎng)或者生產(chǎn)網(wǎng)的有用數(shù)據(jù)。5.4.6信息整理信息整理包括以下三個方面：a)整理滲透過程中在滲透工具上用到的代碼，如poc，exp等；b)整理收集信息：整理滲透過程中收集的信息；c)整理漏洞信息：整理滲透過程中發(fā)現(xiàn)的各種漏洞，各種脆弱位置信息。5.4.7報告輸出DB21/TFORMTEXTXXXX—FORMTEXTXXXX按照跟客戶確定好的范圍，需要進行整理資料，并將資料形成報告。要對漏洞成因、驗證過程和帶來危害進行分析，并提出修補建議，對所有產(chǎn)生的問題提出合理高效安全的解決辦法。完成滲透測試報告編寫。滲透測試報告包括執(zhí)行層面的內(nèi)容、技術(shù)層面的內(nèi)容。a)執(zhí)行層面的內(nèi)容：業(yè)務(wù)說明、測試策略方法說明、項目風險評估等；b)技術(shù)層面的內(nèi)容：識別系統(tǒng)性問題和技術(shù)根源分析、滲透測試評價指標、技術(shù)發(fā)現(xiàn)、可重現(xiàn)結(jié)果、應急響應和監(jiān)控能力、標準組成部分。5.4.8痕跡清理Windows系統(tǒng)：a)可用MSF中的clearev命令清除痕跡；b)如果3389遠程登錄過，需要清除mstsc痕跡；c)執(zhí)行命令清除日志：del%WINDR%\*.log/a/s/q/f；d)如果是web應用，找到web日志文件，刪除。Linux系統(tǒng)，在獲取權(quán)限后，執(zhí)行以下命令，不會記錄輸入過的命令：a)刪除/var/log目錄下的日志文件；b)如果是web應用，找到web日志文件，刪除。6管理要求6.1滲透測試授權(quán)用戶應對滲透測試所有細節(jié)和風險知曉、所有過程都在用戶的控制下進行。由測試方書寫實施方案初稿并提交給客戶進行審核。在審核完成后，從客戶獲取對測試方進行書面委托授權(quán)書，授權(quán)測試方進行滲透測試，委托授權(quán)書格式參照附錄A。6.2管理基本要求管理基本要求包括：a)應針對滲透測試的原理和特點，建立管理制度，明確對應管理工作的目標、范圍、原則及實施框架。滲透測試的原理和特點見附錄B；b)應針對滲透測試工作各個相關(guān)角色明確定義和職責分工；c)應針對滲透測試工作各個相關(guān)角色制定明確的操作規(guī)程；d)應針對滲透測試工作的重要及關(guān)鍵操作建立審批流程；e)應對滲透測試方的身份、背景及專業(yè)資質(zhì)進行審查，并簽署保密協(xié)議；f)測試方應在測試前向委托方提供真實準確的測試方案。方案內(nèi)容包括但不限于測試項清單、測試時間計劃和測試人員信息等；g)委托方和測試方均應設(shè)置緊急聯(lián)系人,以便必要時進行溝通；h)應將測試方案中的測試人員信息進行統(tǒng)一備案，包括但不限于姓名和手機號碼等，委托方應僅保留能夠通過測試方定位到具體人員的基本信息，由測試方留存與人員身份相關(guān)的敏感信息；i)應對滲透測試接入的區(qū)域、系統(tǒng)、設(shè)備和信息等內(nèi)容應進行書面的規(guī)定和記錄，并按照規(guī)定嚴格執(zhí)行；j)應對滲透測試制定實施計劃，并根據(jù)實施計劃推進滲透測試工作。實施計劃應向所有滲透測試相關(guān)方同步；DB21/TFORMTEXTXXXX—FORMTEXTXXXXk)應指定或授權(quán)專門的部門或人員負責滲透測試實施過程的監(jiān)督和管理；l)測試方應對滲透測試實施人員的行為規(guī)范進行書面規(guī)定，一旦發(fā)現(xiàn)違反行為規(guī)范的行為應嚴格按照規(guī)定處理。測試方應出具正式的滲透測試報告，其中應至少包含滲透測試目標、人員、時間、測試步驟、測試分析和測試結(jié)論以及附錄C中的滲透測試報告樣例所示的其它內(nèi)容；m)委托方可要求測試方在測試實施過程中，參照附錄D中的漏洞報告樣例針對所發(fā)現(xiàn)的問題按需逐個提交漏洞報告；n)測試方應對滲透測試殘留文件進行明確的記錄和說明。測試方有義務(wù)協(xié)助委托方進行殘留文件清除及排查工作；o)測試方應提供可落地的修復建議；p)應針對滲透測試報告進行嚴格歸檔和訪問授權(quán)；q)對于網(wǎng)絡(luò)安全等級保護三級及以上的應用系統(tǒng)及服務(wù)，每年應至少進行1次滲透測試；r)應定期開展互聯(lián)網(wǎng)和內(nèi)網(wǎng)資產(chǎn)測繪工作并進行漏洞掃描測試，每年不少于4次；s)委托方應指定或授權(quán)專門的部門負責滲透測試驗收的管理，并按照管理規(guī)定的要求完成滲透測試驗收工作。DB21/TFORMTEXTXXXX—FORMTEXTXXXX（規(guī)范性）滲透測試授權(quán)委托書模板滲透測試授權(quán)書乙方：甲方委托乙方在20XX年XX月XX日至20XX年XX月XX日對甲方的系統(tǒng)進行滲透測試。為確保測試的順利進行，并保證甲方系統(tǒng)、應用及網(wǎng)絡(luò)的穩(wěn)定性和數(shù)據(jù)的安全性，甲乙雙方就下述事宜達成一致，特制定本協(xié)議。一、甲方責任1、甲方向乙方提供準確的被測系統(tǒng)的IP或域名信息。2、甲方允許乙方在測試過程中對所獲取的信息進行必要的記錄。3、甲方相關(guān)技術(shù)人員應當全程參與漏洞掃描工作，漏洞掃描所涉及甲方的設(shè)備上機操作完全由甲方人員進行，乙方進行結(jié)果記錄。4、若甲方要求乙方提供相關(guān)測試工具，則甲方不可使用乙方所提供的工具從事危害網(wǎng)絡(luò)安全的非法行為，否則引起的一切責任由甲方承擔。5、甲方在未經(jīng)乙方允許的情況下，不得泄露乙方在工作過程中所使用的工具及相關(guān)輸出。6、甲方已了解滲透測試被測系統(tǒng)可能帶來如下影響：1）對被測網(wǎng)絡(luò)設(shè)備或主機造成異常運行或停機的可能；2）對被測主機上的各種系統(tǒng)服務(wù)和應用程序造成異常運行或終止運行的可能；3）漏洞掃描期間，被測主機上的各種服務(wù)的運行速度可能會減慢；4）漏洞掃描期間，網(wǎng)絡(luò)的處理能力和傳輸速度可能會減慢。7、甲方在進行滲透測試之前針對滲透測試可能對系統(tǒng)帶來的影響和后果已做好充分應對準備和采取適當措施，如在測試之前做好系統(tǒng)的全面?zhèn)浞荨?、乙方在授權(quán)許可范圍內(nèi)開展?jié)B透測試活動而對甲方產(chǎn)生任何不良后果，甲方同意承擔相關(guān)風險。DB21/TFORMTEXTXXXX—FORMTEXTXXXX二、乙方責任1、乙方用