(完整版)滲透測試方案

（完整版）滲透測試方案（完整版）滲透測試方案第第#頁共16頁四川品勝安全性滲透測試測試方案成都國信安信息產(chǎn)業(yè)基地有限公司二O一五年十二月TOC\o"1-5"\h\z目錄 1\o"CurrentDocument"引言 2\o"CurrentDocument"項目概述 2\o"CurrentDocument"測試概述 2\o"CurrentDocument"2。1 測試簡介 2\o"CurrentDocument" 測試依據(jù) 22。3 測試思路 32。3。1 工作思路 32。3。2。 管理和技術要求 32。4 人員及設備計劃 41。 人員分配 4\o"CurrentDocument"2。4。2 測試設備 4\o"CurrentDocument"3。測試范圍 5測試內(nèi)容 7測試方法 95。1。 滲透測試原理 95。2 滲透測試的流程 9 滲透測試的風險規(guī)避 105。4 滲透測試的收益 115。5 滲透測試工具介紹 12我公司滲透測試優(yōu)勢 13 專業(yè)化團隊優(yōu)勢 136。2 深入化的測試需求分析 13規(guī)范化的滲透測試流程 13 全面化的滲透測試內(nèi)容 147。后期服務 15引言項目概述四川品勝品牌管理有限公司，是廣東品勝電子股份有限公司的全資子公司。依托遍布全國的5000家加盟專賣店，四川品牌管理有限公司打造了線上線下結合的O2O購物平臺--“品勝?當日達”,建立了“線上線下同價”、“千城當日達”、“向日葵隨身服務”三大服務體系，為消費者帶來便捷的O2O購物體驗。2011年,品勝在成都溫江科技工業(yè)園建立起國內(nèi)首座終端客戶體驗館，以人性化的互動設計讓消費者親身感受移動電源、數(shù)碼配件與生活的智能互聯(lián)，為追求高品質產(chǎn)品性能的用戶帶來便捷、現(xiàn)代化的操作體驗。伴隨業(yè)務的發(fā)展，原有的網(wǎng)站、系統(tǒng)、APP等都進行了不同程度的功能更新和系統(tǒng)投產(chǎn)，同時，系統(tǒng)安全要求越來越高，可能受到的惡意攻擊包括：信息篡改與重放、信息銷毀、信息欺詐與抵賴、非授權訪問、網(wǎng)絡間諜、“黑客”入侵、病毒傳播、特洛伊木馬、蠕蟲程序、邏輯炸彈、APT攻擊等.這些攻擊完全能造成信息系統(tǒng)癱瘓、重要信息流失。測試概述測試簡介本次測試內(nèi)容為滲透測試。滲透測試：是為了證明網(wǎng)絡防御按照預期計劃正常運行而提供的一種機制.測試依據(jù)XGB/T25000。51-2010《軟件工程軟件產(chǎn)品質量要與評價（SQuaRE）商業(yè)現(xiàn)貨（COTS）軟件產(chǎn)品的質量要求和測試細則》※GB/T16260—2006《軟件工程產(chǎn)品質量》※GB/T18336-2001《信息技術安全技術信息技術安全性評估準則》※GB/T20274-2006《信息系統(tǒng)安全保障評估框架》※客戶提出的測試需求測試思路工作思路本次系統(tǒng)測試包括功能測試、性能測試、安全測試以及文檔測試，本次測試工作將系統(tǒng)測試對象進行控制點劃分，依據(jù)項目建設要求和相關標準、規(guī)范進行項目系統(tǒng)測試,并加強系統(tǒng)各階段測試和實施過程控制，完善項目目標控制手段。管理和技術要求管理要求為了保證本項目系統(tǒng)綜合測試的順利進行，將對項目實施事前評審和測試過程監(jiān)督測試管理工作，合理分配項目人員負責相應的測試工作。技術要求為了保證本項目系統(tǒng)測試的順利進行，在本次測試過程中將采取如下技術要求：※滲透測試:驗證系統(tǒng)設計的安全性是否滿足客戶需求。人員及設備計劃人員分配本次測試組織機構和人員分配如下:項目管理組：楊方秀現(xiàn)場測試組：屈緋穎、王洪斌、項目文檔組：龔正質量控制組：楊方秀、屈緋穎測試設備序號設備或儀器名稱功能描述數(shù)量產(chǎn)地備注1.TestManager測試管理1IBM2.ClearQuest缺陷跟蹤1IBM3.xscan用于安全測試的漏洞掃描工具14.測試機測試機2國產(chǎn)

測試范圍檢測分類檢測范圍Web網(wǎng)站SQL注入XSS跨站腳本網(wǎng)頁掛馬緩沖區(qū)溢出文件上傳漏洞源代碼泄露目錄瀏覽、遍歷漏洞數(shù)據(jù)庫泄露弱口令越權訪問會話驗證繞過管理地址泄露輿論信息檢測中間件漏洞支付安全驗證其他（如：寫入