渗透测试方案讲解

《渗透测试方案讲解》由会员分享，可在线阅读，更多相关《渗透测试方案讲解（20页珍藏版）》请在装配图网上搜索。

1、细心整理四川品胜平安性渗透测试测试方案成都国信安信息产业基地有限公司二一五年十二月目 录目 录11.引言21.1.工程概述22.测试概述22.1.测试简介22.2.测试依据22.3.测试思路32.3.1.工作思路32.3.2.管理和技术要求32.4.人员及设备准备42.4.1.人员支配42.4.2.测试设备43.测试范围54.测试内容85.测试方法105.1.渗透测试原理105.2.渗透测试的流程105.3.渗透测试的风险躲避115.4.渗透测试的收益125.5.渗透测试工具介绍126.我公司渗透测试优势146.1.专业化团队优势146.2.深化化的测试需求分析146.3.标准化的渗透测试流程

2、146.4.全面化的渗透测试内容147.后期效劳16细心整理1. 引言1.1. 工程概述四川品胜品牌管理有限公司，是广东品胜电子股份有限公司的全资子公司。依托遍布全国的5000家加盟专卖店，四川品牌管理有限公司打造了线上线下结合的O2O购物平台“品胜当日达”，建立了“线上线下同价”、“千城当日达”、“向日葵随身效劳”三大效劳体系，为消费者带来便捷的O2O购物体验。2011年，品胜在成都温江科技工业园建立起国内首座终端客户体验馆，以人性化的互动设计让消费者亲身感受移动电源、数码配件及生活的智能互联，为追求高品质产品性能的用户带来便捷、现代化的操作体验。伴随业务的开展，原有的网站、系统、APP等都

3、进展了不同程度的功能更新和系统投产，同时，系统平安要求越来越高，可能受到的恶意攻击包括：信息篡改及重放、信息销毁、信息欺诈及抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、APT攻击等。这些攻击完全能造成信息系统瘫痪、重要信息流失。2. 测试概述2.1. 测试简介本次测试内容为渗透测试。渗透测试：是为了证明网络防备遵照预期准备正常运行而供应的一种机制。2.2. 测试依据 GB/T 25000.51-2010软件工程 软件产品质量要及评价(SQuaRE) 商业现货(COTS)软件产品的质量要求和测试细那么 GB/T 16260-2006软件工程 产品质量 GB

4、/T 18336-2001信息技术 平安技术 信息技术平安性评估准那么 GB/T 20274-2006信息系统平安保障评估框架 客户提出的测试需求2.3. 测试思路2.3.1. 工作思路本次系统测试包括功能测试、性能测试、平安测试以及文档测试，本次测试工作将系统测试对象进展限制点划分，依据工程建立要求和相关标准、标准进展工程系统测试，并加强系统各阶段测试和实施过程限制，完善工程目标限制手段。2.3.2. 管理和技术要求1、 管理要求为了保证本工程系统综合测试的顺当进展，将对工程实施事前评审和测试过程监视测试管理工作，合理支配工程人员负责相应的测试工作。2、 技术要求为了保证本工程系统测试的顺当

5、进展，在本次测试过程中将接受如下技术要求： 渗透测试：验证系统设计的平安性是否满足客户需求。细心整理2.4. 人员及设备准备2.4.1. 人员支配本次测试组织机构和人员支配如下：工程管理组：杨方秀现场测试组：屈绯颖、王洪斌、工程文档组：龚正质量限制组：杨方秀、屈绯颖2.4.2. 测试设备序号设备或仪器名称功能描述数量产地备注1.TestManager测试管理1IBM2.ClearQuest缺陷跟踪1IBM3.xscan用于平安测试的漏洞扫描工具14.测试机测试机2国产3. 测试范围检测分类检测范围Web网站SQL注入XSS跨站脚本网页挂马缓冲区溢出文件上传漏洞源代码泄露书目阅读、遍历漏洞数据库

6、泄露弱口令越权访问会话验证绕过管理地址泄露舆论信息检测中间件漏洞支付平安验证其他如：写入限制,防止批量添加数据,是否运用验证码等SOA效劳端SQL注入缓冲区溢出文件上传漏洞书目阅读、遍历漏洞弱口令越权访问会话验证绕过中间件漏洞其他如：写入限制,防止批量添加数据,是否运用验证码等APP源生客户端组件平安检测代码平安检测内存平安检测数据平安检测业务平安检测应用管理检测效劳器身份鉴别自主访问限制强制访问限制可信路径平安审计剩余信息爱惜入侵防范恶意代码防范资源限制数据库数据平安4. 测试内容检测工程检测子类类型扫描测试渗透测试当日达前端SSO单点登录网站WEB后端SSO单点登录网站WEB当日达商城4期

7、前台网站WEB当日达商城3期后台WEB当日达商城4期后台WEB砸金蛋活动WEB砸金蛋后台WEB一元云购WEB月月抢神器WEB滴滴贴膜WEB快递查询PC端WEB快递查询移动端WEB中国人民不断电WEB千城通APPAPP千机团网站+APPWEB+APP进销存IMS进销存系统WEBIMS进销存管理工具WEB品胜云路由器固件升级后台管理WEB品胜云3.2手机版APP品胜云2.0IPAD版APP品胜云3.3手机版APP品胜商城1.0APPWEB效劳文件上传效劳WebService当日达商城3期后台效劳WebService千城通APP调用效劳WebService品胜云效劳WebService品胜商城效劳W

8、ebService路由器固件升级效劳WebService效劳器CentOS 6.5 64bit (3台)ServerCentOS 7.0 64bit (3台)ServerWindows Server 2012 (2台)ServerWindows Server 2008 (8台)Server5. 测试方法针对本次工程的测试范围和内容，我公司接受渗透测试的方法对整体系统进展平安性评估。5.1. 渗透测试原理渗透测试过程主要依据现今已经驾驭的平安漏洞信息，模拟黑客的真实攻击方法对系统和网络进展非破坏性质的攻击性测试，这里说有的渗透测试行为将在客户的书面明确授权和监视下进展。5.2. 渗透测试的流程

9、方案制定：在获得到业主单位的书面授权许可后， 才进展渗透测试的实施。并且将实施范围、方法、时间、 人员等详细的方案及业主单位进展沟通，并得到业主单位的认同。 在测试实施之前，会做到让业主单位对渗透测试过程和风险的知晓， 使随后的正式测试流程都在业主单位的限制下。 信息收集：这包括：操作系统类型指纹收集；网络拓扑构造分析；端口扫描和目标系统供应的效劳识别等。 可以接受一些商业平安评估系统如： ISS、极光等 ； 免费的检测工具NESSUS、Nmap 等进展收集 测试实施：在躲避防火墙、入侵检测、防毒软件等平安产品监控的条件下进展：操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试如：Web应用

10、，此阶段假如成功的话，可能获得平凡权限。渗透测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺当完成工程。 在获得到平凡权限后， 尝试由平凡权限提升为管理员权限， 获得对系统的完全限制权。一旦成功限制一台或多台效劳器后，测试人员将利用这些被限制的效劳器作为跳板，绕过防火墙或其他平安设备的防护，从而对内网其他效劳器和客户端进展进一步的渗透。此过程将循环进展， 直到测试完成。最终由渗透测试人员去除中间数据。 报告输出：渗透测试人员依据测试的过程结果编写直观的渗透测试效劳报告。内容包括：详细的操作步骤描述；响应分析以及最终的平安修复建议

11、平安复查：渗透测试完成后，某某帮助业主单位对已发觉的平安隐患进展修复。修复完成后，渗透测试工程师对修复的成果再次进展远程测试复查，对修复的结果进展检验，确保修复结果的有效性。5.3. 渗透测试的风险躲避在渗透测试过程中，虽然我们会尽量幸免做影响正常业务运行的操作，也会实施风险躲避的计谋，但是由于测试过程变更多端，渗透测试效劳照旧有可能对网络、系统运行造成必需不同程度的影响，紧要的后果是可能造成效劳停顿， 甚至是宕机。比方渗透人员实施系统权限提升操作时，突遇系统停电，再次重启时可能会出现系统无法启动的故障等。因此，我们会在渗透测试前及业主单位详细探讨渗透方案，并接受如下多条策略来躲避渗透测试带来

12、的风险。 时间策略：为减轻渗透测试造成的压力和预备风险解除时间，一般的支配测试时间在业务量不高的时间段。 测试策略：为了防范测试导致业务的中断，可以不做一些拒绝效劳类的测试。特殊重要的系统不建议做深化的测试，幸免意外崩溃而造成不行挽回的损失；详细测试过程中，最终结果可以由测试人员做推想，而不实施紧急的操作步骤加以验证等。 备份策略：为防范渗透过程中的异样问题，测试的目标系统须要事先做一个完整的数据备份，以便在问题发生后能刚好复原工作。对于核心业务系统等不行承受可能风险的系统的测试，可以接受对目标副本进展渗透的方式加以实施。这样就须要完整的复制目标系统的环境：硬件平台、操作系统、应用效劳、程序软

13、件、业务访问等；然后对该副本再进展渗透测试。 应急策略：测试过程中，假如目标系统出现无响应、中断或者崩溃等状况，我们会立刻中止渗透测试，并协作业主单位技术人员进展修复处理等。 在确认问题、修复系统、 防范此故障再重演后，经业主单位方同意才能接着进展其余的测试。 沟通策略：测试过程中，确定测试人员和业主单位方协作人员的联系方式，便于刚好沟通并解决工程中的难点。5.4. 渗透测试的收益渗透测试是站在实战角度对业主单位指定的目标系统进展的平安评估，可以让业主单位相关人员直观的了解到自己网络、系统、应用中隐含的漏洞和危害发生时可能导致的损失。通过我们的渗透测试，可以获得如下增益。 平安缺陷：从黑客的角

14、度发觉业主单位平安体系中的漏洞隐含缺陷，帮助业主单位明确目前降低风险的措施，为下一步的平安策略调整指明白方向。 测试报告：能帮助业主单位以实际案例的形式来说明目前平安现状，从而增加业主单位 对信息平安的认知度，提升业主单位人员的风险危机意识，从而实现内部平安等级的整体提升。 交互式渗透测试： 我们的渗透测试人员在业主单位约定的范围、时间内实施测试，而业主单位人员可以及此同时进展相关的检测监控工作，测试自己能不能发觉正在进展的渗透测试过程，从中真实的评估自己的检测预警实力。5.5. 渗透测试工具介绍渗透测试人员模拟黑客入侵攻击的过程中运用的是操作系统自带网络应用、 管理和诊断工具、黑客可以在网络

15、上免费下载的扫描器、远程入侵代码和本地提升权限代码以及某某自主开发的平安扫描工具。这些工具经过全球数以万计的程序员、网络管理员、平安专家以及黑客的测试和实际应用，在技术上已经特殊成熟，实现了网络检查和平安测试的高度可控性，能够依据运用者的实际要求进展有针对性的测试。 但是平安工具本身也是一把双刃剑，为了做到万无一失， 我们也将针对系统可能出现的不稳定现象提出相应对策，以确保效劳器和网络设备在进展渗透测试的过程中保持在可信状态。6. 我公司渗透测试优势6.1. 专业化团队优势我公司有渗透测试优势专业化的渗透测试团队。渗透测试效劳开展相对较早，经验特殊丰富，曾经参及过很多大型网站的渗透测试工作。渗

16、透测试团队会依据工程的规模有选择性的申请局部漏洞研发团队专家参及到工程中，共同组成临时的渗透测试小组，面对用户供应深层次、多角度、全方位的渗透测试6.2. 深化化的测试需求分析在渗透测试开展前期，会从技术层面网络层、系统层、应用层着手及用户进展广泛沟通，对用户当前的一些重要资料进展采集、汇总、梳理、驾驭， 以便为渗透测试工作地开展奠定良好的根底。除了技术层面以外，某某也将会依据用户渗透测试的目标以及提出的需求着重对于用户的业务层面进展分析， 并且将分析结果应用于渗透测试当中，做到明确全部需求的根底上精确而深化的贯彻用户的意图，将渗透测试的目标及业务系统连续性运行保障严密的结合起来。6.3. 标

17、准化的渗透测试流程渗透测试流程分为准备、渗透以及加固三个根本阶段，在每个阶段都会生成阶段文档，最终在完成渗透测试整个流程以后将会由工程经理将三个阶段的文档进展整理、汇总、提交给用户。并且针对过程中遇到的问题向用户进展汇报。 某某供应的渗透测试流程特点就在于将渗透准备阶段及平安加固阶段作为两个独立而重要环节贯穿于整个渗透测试过程当中，这样就可以结合某某在工程监控管理方面的优势对整个渗透测试工程开展的标准化加以保障。6.4. 全面化的渗透测试内容渗透测试内容根本围绕技术层面系统层、应用层、网络层进绽开展，并且针对不同层面的平安漏洞及威逼某某供应了一系列渗透测试方法及流程。并且结合不同的漏洞也提出相应的修补建议供用户借鉴。7. 后期效劳1、供应系统性能优化改良方案。2、测试过程中、测试后提出改良看法，测试后协作做好系统优化改良工作，供应回来测试。