渗透测试实施解决方案.doc

渗透测试实施方案 第 1 页 共 16 页 渗透测试实施方案 渗透测试实施方案 第 2 页 共 16 页 目 录 1 渗透测试项目范围 3 2 渗透测试说明 4 2 1 渗透测试的必要性 4 2 2 渗透测试的可行性 4 2 3 渗透测试的原理 5 3 渗透测试流程 5 3 1 客户委托 7 3 2 信息收集分析 7 3 3 提升权限 7 4 工具介绍 7 4 1 系统自带网络工具 8 4 2 自由软件和渗透测试工具 8 5 渗透测试常用方法 9 5 1SQL 注入漏洞 9 5 2 文件上传 9 5 3 目录遍历 9 5 4 XSS 跨站攻击 10 5 5 弱口令漏洞 10 5 6 溢出漏洞 10 渗透测试实施方案 第 3 页 共 16 页 5 7 嗅探攻击 10 5 8 拒绝服务攻击 10 5 9 DNS 劫持攻击 11 5 10 旁注攻击 11 5 11 字符集转换并发盲注攻击 11 5 12 诱导攻击 11 5 13 已知漏洞利用 12 5 14 其它渗透方法 12 6 实施日程 12 7 输出结果 12 8 服务与质量控制 12 9 信息保密和风险控制措施 13 9 1 信息保密 13 9 2 实施风险控制 15 10 服务与支持 16 1 渗透测试项目范围 本次渗透测试主要对象如下 序号网站IP 地址重要级别用途 渗透测试实施方案 第 4 页 共 16 页 2 渗透测试说明 2 1 渗透测试的必要性 安全工程人员利用安全扫描器 渗透测试工具结合人工对第一创业证券有限责任公司 指定的 IP 进行非破坏性质的黑客模拟攻击 目的是尝试入侵系统并获取机密信息并将入侵 的过程和技术细节产生报告提供给第一创业证券有限责任公司信息技术部门 渗透测试和工具扫描可以很好的互相补充 工具扫描具有很好的效率和速度 但是存 在一定的误报率 不能发现高层次 复杂的安全问题 渗透测试需要投入的人力资源较大 对测试者的专业技能要求很高 渗透测试报告的价值直接依赖于渗透测试者的专业技能 但是 非常准确 可以发现逻辑性更强 更深层次的脆弱点 2 2 渗透测试的可行性 2 2 1 对现有信息系统资源的要求 渗透测试主要针对系统主机进行 因此 将占用主机系统及其所在的网络环境的部分 资源 同时需要工作人员的一些配合 某些特定条件下 如为了节省时间破解密码 渗透 测试将首先得到普通用户权限 对于其他的资源没有特殊的要求 2 2 2 渗透测试的方法 黑客的攻击入侵需要利用目标网络的安全弱点 渗透测试也是同样的道理 它模拟真 正的黑客入侵攻击方法 以人工渗透为主 辅助以攻击工具的使用 这样保证了整个渗透 测试过程都在可以控制和调整的范围之内 2 2 3 渗透测试前后系统的状态 由于采用可控制的 非破坏性质的渗透测试 因此 不会对渗透测试对象造成严重的 渗透测试实施方案 第 5 页 共 16 页 影响 在渗透测试结束后 系统将保持正常运行状态 2 3 渗透测试的原理 渗透测试主要依据已经掌握的安全漏洞信息 模拟黑客的真实攻击方法对系统和网络 进行非破坏性质的攻击性测试 原则上 渗透测试工程师不会使用未知 EXP 即并非被外 界或者安全厂商所获悉的安全弱点 对目标对象进行测试 但不排除某些 EXP 可能引发重 大安全事件 比如 严重的溢出 无权限但可远程执行代码等 的时 针对性的做出检测 或者向用户预警 渗透测试类似于军事上的 实战演习 或 沙盘推演 的概念 可以让用户清晰了解 目前网络所处的脆弱性和可能造成的影响 以便采取必要的防范措施 下图标示了一个攻 击者的攻击路径和基础原理 图 攻击的基础原理 这里 所有的渗透测试行为将在客户接口人的书面明确授权和监督下进行 3 渗透测试流程 虽然渗透测试并不会一成不变的依照某个模式进行 也许过程当中因为其他的发现而 发生策略上的变化 但它总归是有个原则需要依赖 必须是一个全面的 可以揭示更多问 题的过程 有些安全公司在渗透测试的时候 发现了一个严重的高危漏洞 并且利用该漏 洞获取了权限 然后输出报告给客户 但实际上 这个系统还存在着其他漏洞没有被发现 这就充分说明 渗透测试必须是一个系统化的服务 渗透测试服务 严格履行流程原则 也就是说 哪怕发现一个高危漏洞并且可以获取 更高权限 也绝对不会放过其它问题 哪怕是个很小的问题 因为 对于攻击者而言 一 渗透测试实施方案 第 6 页 共 16 页 个小小的泄露 都可能引发他的攻击兴趣 渗透测试工程师 会严格依照 XXXX 公司的操作流程进行 每个攻击都将进行尝试 直到确定问题的根源为止 图 渗透测试流程 参见上面的渗透测试流程图 信息的收集和分析伴随着每一个渗透测试步骤 每一个 步骤又有三个部分组成 操作 响应和结果分析 渗透测试实施方案 第 7 页 共 16 页 3 1 客户委托 客户委托是进行渗透测试的必要条件 我们将尽最大努力做到客户对渗透测试所有细 节和风险的知晓 所有过程都在客户的控制下进行 3 2 信息收集分析 信息收集分析几乎是所有入侵攻击的前奏 通过信息收集分析 渗透测试人员可以相 应地 有针对性的制定入侵攻击的计划 提高入侵的成功率 减小暴露或被发现的几率 信息收集的方法包括主机网络扫描 端口扫描 操作系统类型辨别 应用服务辨别 账号 扫描 配置信息辨别等 入侵常用的工具包括 nmap nessus nc 等工具 同时 还有操 作系统中内置的许多工具也是常用的工具补充 信息收集后的分析的基础是安全漏洞知识库 3 3 提升权限 通过收集信息和分析 存在两种可能性 其一是目标系统存在重大漏洞 渗透测试人 员可以直接远程控制目标系统 这时渗透测试人员可以直接调查目标系统中的漏洞分布 原因 形成最终的渗透测试报告 其二是目标系统没有远程严重漏洞 但是可以获得远程 普通权限 这时渗透测试人员可以通过该普通权限进一步收集目标系统信息 接下来 尽 最大努力获取本地权限 收集本地信息 寻求本地权限提升的机会 这些信息收集分析 权限提升的循环上升结果构成了整个渗透测试过程的输出 XXXX 公司渗透测试服务有别于其它公司的最显著特点在于 细微的 哪怕并不成为 黑客攻击点的问题也都将纳入我们的视线 包括目标 IP 周界域内的其它信任 IP 4 工具介绍 渗透测试人员模拟黑客入侵攻击的过程中使用的是操作系统自带网络应用 管理和诊 断工具 黑客可以在网络上免费下载的扫描器 远程入侵代码和本地提升权限代码以及自 主开发的安全扫描及漏洞工具包 这些工具经过全球数以万计的程序员 网络管理员 安全专家以及黑客的测试和实际 渗透测试实施方案 第 8 页 共 16 页 应用 在技术上已经非常成熟 实现了网络检查和安全测试的高度可控性 能够根据使用 者的实际要求进行有针对性的测试 但是 安全工具本身也是一把双刃剑 为了做到万无 一失 我们也将针对系统可能出现的不稳定现象提出相应对策 以确保服务器和网络设备 在进行渗透测试的过程中保持在可信状态 4 1 系统自带网络工具 以下列出了主要应用到的系统自带网络应用 管理和诊断工具 透测试工程师将用到 但不限于只使用以下系统命令进行渗透测试 工具名称风险等级获取途径主要用途风险描述风险控制 ping无系统自带获取主机信息无无 telnet无系统自带登录系统无无 ftp无系统自带传输文件无无 tracert无系统自带获取网络信息无无 net use无系统自带建立连接无无 net user无系统自带查看系统用户无无 echo无系统自带文件输出无无 nslookup无系统自带获取主机信息无无 IE无系统自带 获得 web 信息 进行 SQL 注入 无无 4 2 自由软件和渗透测试工具 以下列出了渗透测试中常用到的网络扫描工具 网络管理软件等工具 这些工具都是 网络上的免费软件 透测试工程师将可能利用到但不限于以下工具 远程溢出代码和本地 溢出代码需要根据具体系统的版本和漏洞情况来选择 由于种类繁杂并且不具代表性 在 这里不会一一列出 工具风险获取途径主要用途风险描述风险控制 nmap无官方网站 获取主机开放的 服务 端口信息 无无 nessus低官方网站对主机进行漏洞可能造成如果主机负载 渗透测试实施方案 第 9 页 共 16 页 扫描网络资源 的占用 过高 停止扫 描 nc无端口连接工具无无 远程溢出 工具 中 packetstormsecurity nl 通过漏洞远程进 入系统 溢出程序 可能造成 服务不稳 定 备份数据 服 务异常时重启 服务 本地溢出 工具 中 packetstormsecurity nl 通过漏洞本地提 升权限 溢出程序 可能造成 服务不稳 定 备份数据 服 务异常时重启 服务 5 渗透测试常用方法 5 1SQL 注入漏洞 利用 Web 应用对数据库语言过滤不严格的漏洞 查找注入点并且利用 通告注入点 的利用可以获取到 WebShell 或者向网站页面内注入特定代码 篡改页面内容等 SQL 注入是从正常的 WWW 端口访问 而且表面看起来跟一般的 Web 页面访问没什 么区别 所以 目前市面的防火墙都不会对 SQL 注入发出警报 如果管理员没查看 IIS 日 志的习惯 可能被入侵很长时间都不会发觉 5 2 文件上传 如果目标对象因为业务需要而有网页文件上传的功能的话 如果对文件上传过滤不严 谨 可能导致被添加后门 利用上传漏洞可以直接得到 WEBSHELL 风险性极高 现在的 入侵中上传漏洞也是常见的漏洞 5 3 目录遍历 如果目标站点服务器对 WEB 服务程序配置不当 则会导致用户可以查看网站的所有 渗透测试实施方案 第 10 页 共 16 页 目录结构 获取可以利用的信息 如 后台路径 数据库路径等信息 如果碰上一些编辑 器直接修改文件后产生 BAK 文件的话 这可以直接查看文件的源码 然后利用该信息 获 取 webshell 甚至服务器控制权限 5 4 XSS 跨站攻击 XSS 全称是 Cross Site Scripting 意思是跨站脚本 通过该脚本可以诱使用户在 不知不觉间泄漏个人信息 甚至中恶意代码 通过对获取的 COOKIE 利用 经常可在不知 道该用户密码的情况下 而使用该用户登陆服务器 5 5 弱口令漏洞 常用的弱口令包括系统管理员 数据库管理员 FTP 用户 WEB 服务后台管理员 MAIL 管理员等等 通过这些可以获取 webshell 乃至系统权限 5 6 溢出漏洞 溢出包括本地溢出和远程溢出漏洞 包括系统本身的溢出以及第三方软件的溢出 通 过对溢出漏洞的利用 可获取目标服务器的信息 甚至获取到一个最高权限的 shell 5 7 嗅探攻击 如果获取得到目标服务器同一网段的一台服务器 则可以通过 sniffer arp 欺骗之类 的攻击方式收集信息 或者欺骗目标服务器访问某些含有恶意代码网站 执行恶意程序 最后获得目标机器的控制权 5 8 拒绝服务攻击 渗透测试所针对的拒绝服务攻击并非指 僵尸主机 式攻击 被攻击者入侵过或可间 接利用的主机 而是指因为系统存在拒绝服务的漏洞引发的拒绝服务 很多时候 运行在 互联网的服务器存在多种复杂或者隐蔽的缓存溢出 那么 这种溢出也很容易导致被攻击 者利用时产生拒绝服务的后果 渗透测试人员会严格并谨慎的对目标进行缓存查询 通过 服务器的回应来判断缓存是否可被利用 一旦缓存可利用 那么 就会告知用户对该问题 渗透测试实施方案 第 11 页 共 16 页 进行修复 当然 如果用户知晓后果并且授权利用该问题时 渗透测试人员方可进行下一 步溢出 直至产生拒绝服务 5 9 DNS 劫持攻击 通过某些手段取得某域名的解析记录控制权 进而修改此域名的解析结果 导致对该 域名的访问由原 IP 地址转入到修改后的指定 IP 其结果就是对特定的网址不能访问或访 问的是假网址 从而实现窃取资料或者破坏原有正常服务的目的 5 10 旁注攻击 旁注 顾名思义是从旁注入 旁注就是通过目标网站所在的主机上存放的其他网站进 行注入攻击的方法 通过搜索到当前主机上捆绑的其他站点 入侵者就可能从这些站点找 到攻击的入口 旁注实际上是一种思想 一种考虑到管理员的设置和程序的功能缺陷而产生 的攻击思路 不是一种单纯的路线入侵方法 旁注也可以以同以个网站上不同的组件之间 的注入攻击来进行 5 11 字符集转换并发盲注攻击 字符集转换错误属于类跨站和类 SQL 注入的另外一种攻击形式 很多时候 攻击者发 现注入点但并意味着就可以完全利用的了 但高深的攻击者会利用注入点来实现盲注攻击 盲注攻击的危害性很高 一个精心构造的盲注攻击脚本产生的量变可以导致整个数据库被 劫持和篡改 金融行业一旦存在盲注 中间件跨越数据不驳回 将产生不可预估的严重后 果 总之 盲注是很隐蔽的安全漏洞 均由过滤不严或者过滤失当导致 它的存在对于网 上交易来说 其危害相当严重 依赖中间件来抵消这种攻击不是一个安全的解决方法 5 12 诱导攻击 诱导攻击是一种新式攻击技巧 属于 IE 攻击的类型 但有超越 IE 攻击的高度 诱导 攻击是利用报头探针存储转发的形式来获取网络应用的惯性 安全防范 模式 然后利用 这种递增的结论来编译诱导脚本 骗取服务器的不可对外信息 渗透测试实施方案 第 12 页 共 16 页 5 13 已知漏洞利用 检测目标服务器或应用程序厂商已公开的漏洞 如果发现 将针对该漏洞编译测试 EXP 程序进行攻击 5 14 其它渗透方法 在测试过程中发现的其它问题 并可用于攻击的手段 6 实施日程 根据客户的授权 此次渗透测试将于以下时间段内进行 7 输出结果 1 渗透测试提交的报告包括原始资料和分析报告 2 分析报告是渗透测试后提供的最终分析和建议报告 3 对于存在严重安全问题的目标 输出独立的渗透测试报告 8 服务与质量控制 对于安全服务项目的验收 由于目前国内没有权威的安全工程第三方验收机构 因此 验收方式都不尽相同 XXXX 公司根据历年安全工程验收方面积累的丰富经验 在此提出 进一步的验收方法以供参考 XXXX 公司使用的验收方式参照了 SSE CMM 信息安全工程能力成熟度模型 中保 证过程域中的相应要求 这些过程域也是项目验收的理论依据 DIEM 安全工程模型的安 全保证 Ensure 过程部分是专门的验收过程 建议采用这种规范的安全工程验收方法 我 方愿意配合客户项目组 严格按照这一过程中定义的实施过程和文档进行 参照 DIEM 安全工程模型 在验收阶段客户主要应做以下几方面的工作 渗透测试实施方案 第 13 页 共 16 页 确定验收目标 完成合同范围内的定期安全服务工作 提交相应报告 完成安全咨询与规划工作 提交相应报告 完成安全事件管理服务工作 提交相应报告 完成安全监控 依照内容按时提交报告 确定验收指标 安全服务范围内节点没有遗漏方案中规定的服务客体 提交的汇总评估报告无遗漏内容 投标文件规定的文件已交付 所有规定的文件经的双方项目经理签字认可 9 信息保密和风险控制措施 9 1 信息保密 XXXX 公司对客户的信息控制有完善的保护措施 并建立有客户信息管理制度 在各 个环节实施上指定了专门的信息管理责任人 并且制订了 内部办公安全管理办法 和 外出实施安全管理办法 XXXX 公司主要通过信息分级 技术控制 人员控制 职责分离等措施保障项目实施 过程中所涉及的数据不泄露给无关人员 9 1 1 信息分级 我们将对项目相关的文档进行分类 主要目的是为了便于统计哪些电子文档需要纳入 专业安全服务的电子文档保护体系 而分级的主要标准是以文档所含内容的敏感程度 文 档的保密级别总共分为三级 第一级 是指由用户提供或 XXXX 公司调查得来的 IP 地址 帐号等信息 第二级 是指由用户提供或 XXXX 公司调查得来的网络拓扑 资产信息等 第三级 是指由用户提供或 XXXX 公司调查得来的业务流程 规章制度 操作规程等 文档 保密手段 按照项目资料的三级情况 采取如下的手段 对于第一级的文档资料 要求可在用户内部借阅 但不得带离用户物理所在地的范围 由用户授权批准的例外 但需要按照授权方式进行处理 过程文档中及结果文档中涉及这 渗透测试实施方案 第 14 页 共 16 页 些文档 要求做一定的处理 如 IP 地址用设备名称加描述信息来代替 对于第二级的文档资料 要求仅在具体项目小组内使用 要求由项目经理统一交接 加强控制 过程文档中及结果文档中涉及这些文档 要求做一定的处理 如网络拓扑可整 理为逻辑示意图 不涉及具体的现网核心资产 可体现核心资产的重要性信息 但不体现 核心资产的具体用途 对于第三级的文档资料 要求可在项目组内交流 同时注意内部保密 过程文档中及 结果文档中可直接引用这些文档资料 9 1 2 技术控制 对于客户相关的信息 XXXX 公司强制要求公司工程师采用统一的安全机密软件对客 户信息进行加密 保证客户机密信息的安全性 9 1 3 人员控制 XXXX 公司作为服务提供商 我们将派出具有丰富评估经验的工程师参与本次评估 并保证评估过程中人员的稳定性和连续性 所有人员的操作均遵从相关规范要求 在协商 确定项目组人员组成后未经客户确认不能随意更换项目组成员 如果确实需要更换人员我 们将在与客户就更换人员达成共识后 提交正式的人员变更申请 9 1 4 职责分离 在实施专业服务项目时 项目经理将对敏感的信息系统资料 包括 IP 地址 网络拓扑 业务流程 规章制度 资产信息等内容 进行权限管理 项目参与人员将根据不同的角色 得到不同的项目数据 相关负责人将根据项目经理派发的项目数据进行分析并生成各阶段 的评估报告 项目经理将掌握所有项目的数据 包括业务调查 过程文档资料以及结果文档资料 项目小组长将掌握其负责阶段的原始数据以及过程文档资料 项目小组成员只会获得其负责的工作的原始数据 而不会得到项目的其他细节 如果在项目中出现由于工作需要出现超越角色权限的信息传递时 需要向客户提交信 息传递报告 并以双方签字确认 渗透测试实施方案 第 15 页 共 16 页 9 1 5 保密协议 XXXX 公司在项目中将和客户签订 项目保密协议 XXXX 公司保