云計(jì)算平臺滲透測試技術(shù)規(guī)范

1云計(jì)算平臺滲透測試技術(shù)規(guī)范本文件介紹了云計(jì)算平臺特性，規(guī)定了云計(jì)算平臺滲透測試的總則、對象、方法及工具、分類、流程、內(nèi)容等技術(shù)要求。本文件適用于云計(jì)算平臺監(jiān)管部門、運(yùn)營機(jī)構(gòu)和第三方服務(wù)機(jī)構(gòu)開展?jié)B透測試工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T31168-2023信息安全技術(shù)云計(jì)算服務(wù)安全能力要求GB/T25069-2022信息安全技術(shù)術(shù)語GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求GB/T31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估實(shí)施指南3術(shù)語和定義GB/T31168-2023、GB/T25069-2022界定的以及下列術(shù)語和定義適用于本文件。3.1云計(jì)算cloudcomputing通過網(wǎng)絡(luò)訪問可擴(kuò)展的、靈活的物理或虛擬共享資源池，并可按需自助獲取和管理資源的模式。注：資源實(shí)例包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)軟件、3.2云計(jì)算平臺cloudcomputingplatform云服務(wù)商提供的云基礎(chǔ)設(shè)施及其上的服務(wù)軟件的集合。3.3滲透測試penetrationtesting以未經(jīng)授權(quán)的動(dòng)作繞過某一系統(tǒng)的安全機(jī)制來檢查信息系統(tǒng)的安全功能，以發(fā)現(xiàn)信息系統(tǒng)安全問題的手段。3.42漏洞掃描vulnerabilityscanning基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測(滲透攻擊)行為。3.5SQL注入SQLinjectionweb應(yīng)用程序?qū)τ脩糨斎霐?shù)據(jù)的合法性沒有判斷或過濾不嚴(yán)，攻擊者可以在web應(yīng)用程序中事先定義好的查詢語句的結(jié)尾上添加額外的SQL語句，在管理員不知情的情況下實(shí)現(xiàn)非法操作，以此來實(shí)現(xiàn)欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢，從而進(jìn)一步得到相應(yīng)的數(shù)據(jù)信息。4云計(jì)算平臺特性4.1.1虛擬化通過動(dòng)態(tài)地組織多種云計(jì)算平臺資源，實(shí)現(xiàn)透明化的云計(jì)算平臺架構(gòu)，提高資源的使用效率。4.1.2動(dòng)態(tài)資源池云服務(wù)商將資源（如：計(jì)算資源、存儲資源、網(wǎng)絡(luò)資源等）提供給多個(gè)客戶使用，這些物理的、虛擬的資源根據(jù)客戶的需求進(jìn)行動(dòng)態(tài)分配或重新分配。4.1.3服務(wù)可計(jì)量云計(jì)算平臺可按照多種計(jì)量方式（如按次付費(fèi)或充值使用等）自動(dòng)控制或量化資源，計(jì)量的對象可以是存儲空間、計(jì)算能力、網(wǎng)絡(luò)帶寬或賬戶數(shù)等。4.1.4高可用性云計(jì)算平臺在預(yù)計(jì)的時(shí)間內(nèi)保持長時(shí)間連續(xù)運(yùn)行的能力，當(dāng)遇到計(jì)劃中（如日常升級或維護(hù)）或意料之外（如系統(tǒng)故障或斷電事故）的因素導(dǎo)致停機(jī)時(shí)，需要盡可能地快速恢復(fù)系統(tǒng)。5總則5.1測試目的利用各種安全測試工具對云計(jì)算平臺進(jìn)行非破壞性質(zhì)的模擬入侵者攻擊，侵入平臺并獲取平臺信息并將入侵的過程和細(xì)節(jié)總結(jié)編寫成滲透測試報(bào)告，由此確定存在的安全威脅，并及時(shí)提醒安全管理員完善安全策略，降低安全風(fēng)險(xiǎn)。5.2測試原則5.2.1穩(wěn)定性原則測試工作應(yīng)該在能夠確保云計(jì)算平臺持續(xù)穩(wěn)定運(yùn)行的前提下進(jìn)行，通過合理的選擇測試工具、測試方法和測試時(shí)間，將滲透測試對平臺正常運(yùn)行的影響降到最小。5.2.2可控性原則3測試過程應(yīng)按照GB/T31509中的項(xiàng)目管理辦法對過程、人員、工具等進(jìn)行控制，以保證滲透測試安全可控。5.2.3最小影響原則針對處于運(yùn)維階段的云計(jì)算平臺，應(yīng)提前確定合適的測試時(shí)間窗口，避開業(yè)務(wù)高峰期，同時(shí)做好被測目標(biāo)平臺的應(yīng)急預(yù)案。5.2.4保密性原則未經(jīng)委托方允許，測試方不應(yīng)向第三方及社會(huì)公眾泄露與被測信息系統(tǒng)相關(guān)的一切信息，包括但不限于開發(fā)及運(yùn)維人員個(gè)人信息以及因測試活動(dòng)所獲取的敏感信息，如網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)數(shù)據(jù)、安全漏洞等。6測試對象測試對象包括但不限于云計(jì)算服務(wù)器、云存儲設(shè)備、密碼產(chǎn)品、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫、虛擬化設(shè)備和組件以及云管理平臺、綜合網(wǎng)管系統(tǒng)、云安全管理系統(tǒng)、云資源管理系統(tǒng)及部署在云上的業(yè)務(wù)系統(tǒng)。7測試方法及工具7.1測試方法滲透測試方法主要包括：a)外部測試。模擬從組織外部發(fā)起的攻擊行為，可能來自于對組織內(nèi)部信息一無所知的攻擊者。模擬一個(gè)外部攻擊，測試人員不知道任何關(guān)于目標(biāo)環(huán)境以外的信息，特別是IP地址或地址范圍情況的真實(shí)信息。測試人員可通過公共網(wǎng)頁、新聞頁面以及類似的網(wǎng)站收集目標(biāo)信息，進(jìn)行綜合分析；使用端口掃描器和漏洞掃描器，以識別目標(biāo)主機(jī)。b)內(nèi)部測試。模擬組織內(nèi)部違規(guī)操作者的行為。除了測試人員位于內(nèi)部網(wǎng)絡(luò)，并被授予對網(wǎng)絡(luò)或特定系統(tǒng)一定程度的訪問權(quán)限（通常是作為一個(gè)用戶，但有時(shí)層次更高）之外，內(nèi)部滲透測試與外部測試類似。7.2測試工具應(yīng)使用不存在法律風(fēng)險(xiǎn)或合規(guī)風(fēng)險(xiǎn)的測試工具，常見的測試工具主要包括：a)信息收集工具，如端口掃描工具、目錄枚舉工具、網(wǎng)絡(luò)監(jiān)聽工具等。b)漏洞掃描工具，如網(wǎng)站漏洞掃描工具、系統(tǒng)層漏洞掃描工具等。c)漏洞利用工具，如暴力破解工具、數(shù)據(jù)包攔截和篡改工具、典型高危漏洞的專用工具等。d)測試文檔管理工具。e)缺陷管理工具。8測試分類8.1黑盒測試測試者完全處于對系統(tǒng)一無所知的狀態(tài)，通常這類型測試，最初的信息獲取來自于DNS、Web、Email及各種公開對外的信息。48.2白盒測試測試者可以通過正常渠道向被測單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)?、員工資料甚至網(wǎng)站或其它程序的代碼片段，也能夠與單位的其它員工進(jìn)行面對面的溝通。這類測試的目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作。8.3灰盒測試測試者對測試對象有一定的了解，主要是模擬離職的員工或合作伙伴，他們對組織的結(jié)構(gòu)比較了解，但不在公司內(nèi)部，沒有權(quán)限訪問。9測試流程9.1主要流程云計(jì)算平臺滲透測試流程如圖1所示。圖1云計(jì)算平臺滲透測試流程9.2信息收集信息收集分為主動(dòng)信息收集和被動(dòng)信息收集，即：a)主動(dòng)信息收集包括API接口、服務(wù)模式、云憑證信息、云服務(wù)、服務(wù)器和中間件信息收集、端口信息收集、子域名信息收集、域名目錄遍歷、目標(biāo)IP收集等，通過直接訪問、掃描系統(tǒng)獲取目標(biāo)信息的行為。5b)被動(dòng)信息收集包括旁站C段查詢、CMS類型、whois信息收集等，對公開渠道可獲得的信息，主要對互聯(lián)網(wǎng)的信息進(jìn)行收集。9.3漏洞發(fā)現(xiàn)根據(jù)信息收集情況，測試發(fā)現(xiàn)潛在的漏洞，包括但不限于：a)弱口令、認(rèn)證繞過、會(huì)話未正常結(jié)束、登錄請求重放、越權(quán)訪問、接口暴露。b)重要業(yè)務(wù)參數(shù)篡改與偽造、數(shù)據(jù)訪問頻度控制不足、數(shù)據(jù)重放。c)結(jié)構(gòu)化查詢語言（SQL，StructuredQueryLanguage）注入、操作系統(tǒng)命令注入、可擴(kuò)展標(biāo)記語言（XML，ExtensibleMarkupLanguage）注入、代碼注入。d)跨站腳本（XSS，CrossSiteScripting）、跨站請求偽e)可執(zhí)行文件上傳、任意文件下載。f)不正確的目錄及頁面訪問控制、不正確的錯(cuò)誤處理。g)緩沖區(qū)溢出、敏感信息截取、功能接口濫用、程序邏輯逆向破解、生物識別突破、密碼密鑰硬編碼。9.4滲透攻擊在滲透攻擊階段宜嘗試實(shí)施如下攻擊過程：a)驗(yàn)證單個(gè)漏洞的可利用性及可能造成的實(shí)質(zhì)影響。b)嘗試通過多個(gè)漏洞的關(guān)聯(lián)利用驗(yàn)證漏洞的綜合可利用性及可能造成的實(shí)質(zhì)影響。c)攻擊獲取權(quán)限后，如非系統(tǒng)最高權(quán)限，嘗試開展權(quán)限提升可行性驗(yàn)證。d)攻擊獲取權(quán)限后，嘗試橫向滲透。以已有成果為基礎(chǔ)，重復(fù)信息收集、威脅建模、漏洞發(fā)現(xiàn)、滲透攻擊等環(huán)節(jié)，確定進(jìn)一步攻擊滲透其他目標(biāo)的可能性。如具有可能性，開展相關(guān)驗(yàn)證工作。e)攻擊實(shí)施完成后保存相關(guān)證據(jù)，包括但不限于截圖、錄像等。9.5痕跡清理應(yīng)在滲透測試結(jié)束后清除滲透測試痕跡及相關(guān)影響內(nèi)容：a)應(yīng)對命令操作痕跡進(jìn)行清理。b)應(yīng)對訪問痕跡進(jìn)行清理。c)應(yīng)對文件操作痕跡進(jìn)行還原和清理。d)應(yīng)對數(shù)據(jù)操作痕跡進(jìn)行還原和清理。e)應(yīng)對滲透測試活動(dòng)產(chǎn)生的日志進(jìn)行清理。9.6報(bào)告編寫按照跟客戶確定好的范圍，需要進(jìn)行整理資料，并將資料形成報(bào)告。要對漏洞成因、驗(yàn)證過程和漏洞威脅進(jìn)行分析，并提出修補(bǔ)建議，對所有產(chǎn)生的問題提出合理高效安全的解決辦法，完成滲透測試報(bào)告編寫。10測試內(nèi)容10.1端口掃描端口掃描測試包括但不限于：a)對主機(jī)及存在潛在漏洞的端口進(jìn)行識別，并用于確定滲透性測試的目標(biāo)。6b)應(yīng)盡量減少掃描工具對網(wǎng)絡(luò)運(yùn)行的干擾，如選擇端口掃描的時(shí)間。10.2口令破解口令測試包括但不限于：a)應(yīng)建立并維護(hù)常用的弱口令字典，并保證字典具備較高的命中率。b)應(yīng)通過測試確認(rèn)不能夠使用空口令登錄目標(biāo)系統(tǒng)。c)應(yīng)通過測試確認(rèn)不存在能夠使用弱口令登錄的高權(quán)限賬戶。d)對于第三方應(yīng)用，宜通過測試確認(rèn)第三方應(yīng)用不存在可預(yù)測的默認(rèn)口令，如出廠口令或可輕易與開發(fā)商信息相關(guān)聯(lián)的常見口令。e)可通過訪談及調(diào)研的形式確認(rèn)目標(biāo)系統(tǒng)不存在統(tǒng)一分發(fā)的弱口令，或確認(rèn)每個(gè)賬戶的默認(rèn)口令各不相同且無法基于自身分配的口令對其他賬戶的口令進(jìn)行預(yù)測。10.3信息泄露信息泄露測試包括但不限于：a)應(yīng)測試連接數(shù)據(jù)庫的賬號密碼所在的配置文件，查看配置文件中的賬號密碼是否被加密。b)應(yīng)進(jìn)入一個(gè)有敏感信息的頁面(如帶有修改口令的頁面)，單擊右鍵查看源文件，查看源文件中是否包含明文的口令等敏感信息。c)應(yīng)進(jìn)入一個(gè)有敏感信息的頁面(如帶有修改口令的頁面)，單擊右鍵，查看源文件中有關(guān)注釋信息是否包含明文的口令等敏感信息。d)應(yīng)構(gòu)造一些異常的條件來訪問Web系統(tǒng)，觀察其返回的信息以判斷系統(tǒng)是否存在信息泄漏的問題；常見異常處理包括不存在的URL、非法字符和邏輯錯(cuò)誤等。e)應(yīng)測試存儲在服務(wù)器上的配置文件、日志、源代碼等是否存在漏洞。f)應(yīng)測試Web服務(wù)器默認(rèn)提供的服務(wù)器狀態(tài)信息查詢功能，是否會(huì)泄漏系統(tǒng)信息。g)應(yīng)測試頁面中是否存在一些服務(wù)器的敏感信息。10.4SQL注入SQL注入測試包括但不限于：a)涉及增、刪、改的注入測試，應(yīng)在仿真環(huán)境下進(jìn)行，嚴(yán)禁在生產(chǎn)環(huán)境中進(jìn)行增、刪、改相關(guān)的各類SQL注入測試。b)應(yīng)禁止使用第三方運(yùn)維的域名解析記錄平臺進(jìn)行帶外注入測試。c)在使用了NoSQL及ORM相關(guān)的技術(shù)系統(tǒng)中，測試方應(yīng)根據(jù)相關(guān)技術(shù)特點(diǎn)調(diào)整測試手段以便充分發(fā)現(xiàn)SQL注入風(fēng)險(xiǎn)。d)可對所有可能存在數(shù)據(jù)庫查詢的功能進(jìn)行SQL注入測試。10.5跨站腳本跨站腳本測試包括但不限于：a)在進(jìn)行存儲型跨站腳本測試時(shí)，應(yīng)確保寫入內(nèi)容能夠通過測試賬號進(jìn)行自行刪除，如無法自行刪除，應(yīng)在仿真環(huán)境下進(jìn)行測試。b)應(yīng)禁止進(jìn)行跨站腳本蠕蟲測試。c)應(yīng)禁止使用第三方運(yùn)維的跨站腳本反向代理平臺進(jìn)行測試。d)可通過測試確認(rèn)輸入過濾及輸出編碼措施的有效性。10.6命令執(zhí)行7命令執(zhí)行測試包括但不限于：a)應(yīng)通過測試檢查是否能隨意執(zhí)行系統(tǒng)命令。b)通過提交執(zhí)行命令，檢查服務(wù)器端是否針對執(zhí)行函數(shù)做過濾。10.7文件上傳文件上傳測試包括但不限于：a)應(yīng)通過測試確認(rèn)系統(tǒng)不存在可以直接部署網(wǎng)頁腳本的文件上傳功能。b)應(yīng)通過測試確認(rèn)存儲上傳文件的Web應(yīng)用服務(wù)不存在腳本解析漏洞。c)應(yīng)通過測試確認(rèn)上傳文檔前經(jīng)過有效的身份驗(yàn)證。d)應(yīng)通過測試確認(rèn)文件上傳的校驗(yàn)在服務(wù)端進(jìn)行。e)應(yīng)通過測試確認(rèn)上傳文件的權(quán)限得到限制。10.8文件下載文件下載測試包括但不限