门户网站渗透测试及人工评估实施方案

1、 门户网站渗透测试及人工评估实施方案二二一二二一年七月目录1.目标42.范围43.注意事项64.渗透测试64.1渗透测试原理64.2渗透测试的必要性64.3渗透测试对现有信息资源的要求74.4渗透测试过程描述75.从互联网进行渗透测试95.1黑客攻击的模拟测试95.1.1渗透测试目的95.1.2渗透测试方式95.1.3渗透测试过程95.1.4渗透测试内容91. 目标通过渗透测试和人工评估的手段充分了解对公众开放的互联网网站的安全。2. 范围黑盒渗透测试范围：网站ip地址人工评估范围1防火墙23服务器-14服务器-25netscreen防火墙-16netscreen防火墙-27服务器-18服务器

2、-29pix-110pix-211sso服务器-112sso服务器-213sso服务器-314pix15sims服务器16netscreen防火墙-117netscreen防火墙-218前置机服务器19前置机服务器-120前置机服务器-221前置机服务器-322前置机服务器-423前置机服务器-524前置机服务器-625前置机服务器-726前置机服务器-827前置机服务器-1028前置机服务器-1129防火墙30前置机服务器-1231防火墙32防火墙33前置机-134前置机-235pix-136pix-237服务器-138服务器-239211.136.18.19740211.136.112.8

3、241211.136.112.8342防火墙3. 注意事项 渗透测试n 黑盒渗透不采用缓冲溢出手段n 渗透测试时间订在13：0015：00之间n 开始黑盒渗透必须与客户经过电话确认4. 渗透测试渗透测试主要是在保证可控的条件下，通过模拟各种真实的攻击方法，来检查系统安全防护的有效性，具有较强的真实性，可发现最突出的问题。4.1 渗透测试原理渗透测试主要依据安全专家已经掌握的安全漏洞，模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。这里，所有的测试将在客户的授权和监控下进行。4.2 渗透测试的必要性渗透测试利用安全扫描器和富有经验的安全工程师的人工经验对网络中的核心服务器及重要的网络设

4、备，包括服务器、交换机、防火墙等进行非破坏性质的模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业机能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。4.3 渗透测试对现有信息资源的要求将占用主机系统及其所在的网络环境的部分资源，对于其他的资源没有特殊的要求。4.4 渗透测试过程描述渗透测试详细流程客户接受申请客户委托是公司进行渗透测试的必要

5、条件。公司将尽最大努力做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。这也是公司的专业服务与黑客攻击入侵的本质不同。渗透测试实施步骤公司渗透测试服务流程定义为如下阶段：l 信息收集、分析1) 工具扫描该部分主要利用一系列现有的安全产品或黑客工具对目标网络进行全方位的安全扫描，其中包括服务，端口等其他，使用的工具包括：is-one linktrust internet scanner、nessus scanner、nmap、snmpscanner等。2) 工程师智能判断利用工程师多年来积累的网络安全经验，对目标主机进行信息收集和分析。l 前段信息汇总、分析此阶段中，渗透测试

6、小组进行信息分析，筛选出有效信息，用于下一阶段的权限提升。l 权限提升、内部渗透科技渗透测试小组尝试由普通权限提升为管理员权限，获得对系统的完全控制权。并利用各种黑客手段尝试渗透逻辑相联的设备，获取尽可能多的设备控制权。在时间许可的情况下，必要时从第一阶段重新进行。l 渗透结果总结白客渗透测试小组对上述步骤的输出结果进行总结，评估渗透成果，判断是否继续进行渗透测试。清除渗透过程中产生的文件资料。l 输出渗透测试报告报告将详细列出所有使用过的攻击技术手段，并对实际攻击结果给出详细的列表，对一些无法在短时间内进行判断的潜在安全或一些可能存在的安全隐患将做详细的分析介绍。同时将根据具体的情况对同网络

7、内的其他目标做一个简单的测试，如有薄弱环节将同样在报告内指出。l 制定详细的安全解决方案全部渗透完成后将结合渗透测试报告和实际网络情况给出一个具有针对性的安全解决方案。5. 从互联网进行渗透测试5.1 黑客攻击的模拟测试5.1.1 渗透测试目的模拟对内部状态一无所知的外部攻击者的行为，通过对面向互联网提供的服务进行技术渗透，目的是发现来自于互联网的恶意攻击者给系统带来的安全风险，检查系统安全防护的有效性。5.1.2 渗透测试方式黑盒测试 5.1.3 渗透测试过程 接入互联网通过扫描和网络配置分析，确定出系统提供的服务； 探测业务系统提供的具体服务信息，收集网络、主机和应用信息； 分析收集到的业务系统资料，采取针对性的渗透测试方法； 汇总各种渗透尝试的结果，输出渗透测试报告及安全建议；5.1.4 渗透测试内容本