渗透测试方案讲解.doc

四川品胜安全性渗透测试 测 试 方 案 成都国信安信息产业基地有限公司 二 一五年十二月 成都国信安信息产业基地有限公司 第 1 页 共 16 页 目 录 目目 录录 1 1 引言引言 2 1 1 项目概述 2 2 测试概述测试概述 2 2 1 测试简介 2 2 2 测试依据 2 2 3 测试思路 3 2 3 1 工作思路 3 2 3 2 管理和技术要求 3 2 4 人员及设备计划 4 2 4 1 人员分配 4 2 4 2 测试设备 4 3 测试范围测试范围 5 4 测试内容测试内容 8 5 测试方法测试方法 10 5 1 渗透测试原理 10 5 2 渗透测试的流程 10 5 3 渗透测试的风险规避 11 5 4 渗透测试的收益 12 5 5 渗透测试工具介绍 12 6 我公司渗透测试优势我公司渗透测试优势 14 6 1 专业化团队优势 14 6 2 深入化的测试需求分析 14 6 3 规范化的渗透测试流程 14 6 4 全面化的渗透测试内容 14 7 后期服务后期服务 16 成都国信安信息产业基地有限公司 第 2 页 共 16 页 1 引言 1 1 项目概述 四川品胜品牌管理有限公司 是广东品胜电子股份有限公司的全资子公司 依托遍布全国的 5000 家加盟专卖店 四川品牌管理有限公司打造了线上线下结 合的 O2O 购物平台 品胜 当日达 建立了 线上线下同价 千城当日 达 向日葵随身服务 三大服务体系 为消费者带来便捷的 O2O 购物体验 2011 年 品胜在成都温江科技工业园建立起国内首座终端客户体验馆 以 人性化的互动设计让消费者亲身感受移动电源 数码配件与生活的智能互联 为追求高品质产品性能的用户带来便捷 现代化的操作体验 伴随业务的发展 原有的网站 系统 APP 等都进行了不同程度的功能更 新和系统投产 同时 系统安全要求越来越高 可能受到的恶意攻击包括 信 息篡改与重放 信息销毁 信息欺诈与抵赖 非授权访问 网络间谍 黑客 入侵 病毒传播 特洛伊木马 蠕虫程序 逻辑炸弹 APT 攻击等 这些攻击 完全能造成信息系统瘫痪 重要信息流失 2 测试概述 2 1 测试简介 本次测试内容为渗透测试 渗透测试 是为了证明网络防御按照预期计划正常运行而提供的一种机制 2 2 测试依据 GB T 25000 51 2010 软件工程 软件产品质量要与评价 SQuaRE 商 业现货 COTS 软件产品的质量要求和测试细则 成都国信安信息产业基地有限公司 第 3 页 共 16 页 GB T 16260 2006 软件工程 产品质量 GB T 18336 2001 信息技术 安全技术 信息技术安全性评估准则 GB T 20274 2006 信息系统安全保障评估框架 客户提出的测试需求 2 3 测试思路 2 3 1 工作思路 本次系统测试包括功能测试 性能测试 安全测试以及文档测试 本次测 试工作将系统测试对象进行控制点划分 依据项目建设要求和相关标准 规范 进行项目系统测试 并加强系统各阶段测试和实施过程控制 完善项目目标控 制手段 2 3 2 管理和技术要求 1 管理要求 为了保证本项目系统综合测试的顺利进行 将对项目实施事前评审和测试 过程监督测试管理工作 合理分配项目人员负责相应的测试工作 2 技术要求 为了保证本项目系统测试的顺利进行 在本次测试过程中将采取如下技术 要求 渗透测试 验证系统设计的安全性是否满足客户需求 成都国信安信息产业基地有限公司 第 4 页 共 16 页 2 4 人员及设备计划 2 4 1 人员分配 本次测试组织机构和人员分配如下 项目管理组 杨方秀 现场测试组 屈绯颖 王洪斌 项目文档组 龚正 质量控制组 杨方秀 屈绯颖 2 4 2 测试设备 序号设备或仪器名称功能描述数量产地备注 1 TestManager测试管理1IBM 2 ClearQuest缺陷跟踪1IBM 3 xscan 用于安全测试的漏洞扫描 工具 1 4 测试机测试机2国产 成都国信安信息产业基地有限公司 第 5 页 共 16 页 3 测试范围 检测分类检测范围 SQL 注入 XSS 跨站脚本 网页挂马 缓冲区溢出 文件上传漏洞 源代码泄露 目录浏览 遍历漏洞 数据库泄露 弱口令 越权访问 会话验证绕过 管理地址泄露 舆论信息检测 中间件漏洞 支付安全验证 Web 网站 其他 如 写入控制 防止批量添加数据 是否使用验 证码等 SOA 服务端SQL 注入 成都国信安信息产业基地有限公司 第 6 页 共 16 页 缓冲区溢出 文件上传漏洞 目录浏览 遍历漏洞 弱口令 越权访问 会话验证绕过 中间件漏洞 其他 如 写入控制 防止批量添加数据 是否使用验 证码等 组件安全检测 代码安全检测 内存安全检测 数据安全检测 业务安全检测 APP 源生客户端 应用管理检测 身份鉴别 自主访问控制 强制访问控制 可信路径 安全审计 剩余信息保护 服务器 入侵防范 成都国信安信息产业基地有限公司 第 7 页 共 16 页 恶意代码防范 资源控制 数据库数据安全 成都国信安信息产业基地有限公司 第 8 页 共 16 页 4 测试内容 检测项目检测子类类型扫描测试渗透测试 前端 SSO 单点登录网站 WEB 后端 SSO 单点登录网站 WEB 当日达商城 4 期前台网站 WEB 当日达商城 3 期后台 WEB 当日达商城 4 期后台 WEB 砸金蛋活动 WEB 砸金蛋后台 WEB 一元云购 WEB 月月抢神器 WEB 滴滴贴膜 WEB 快递查询 PC 端 WEB 快递查询 移动端 WEB 中国人民不断电 WEB 当日达 千城通 APP APP 千机团网站 APP WEB APP IMS 进销存系统 WEB 进销存 IMS 进销存管理工具 WEB 品胜云路由器固件升级后台管理 WEB 成都国信安信息产业基地有限公司 第 9 页 共 16 页 品胜云 3 2 手机版 APP 品胜云 2 0 IPAD 版 APP 品胜云 3 3 手机版 APP 品胜商城 1 0 APP 文件上传服务 WebService 当日达商城 3 期后台服务 WebService 千城通 APP 调用服务 WebService 品胜云服务 WebService 品胜商城服务 WebService WEB 服务 路由器固件升级服务 WebService CentOS 6 5 64bit 3 台 Server CentOS 7 0 64bit 3 台 Server Windows Server 2012 2 台 Server 服务器 Windows Server 2008 8 台 Server 成都国信安信息产业基地有限公司 第 10 页 共 16 页 5 测试方法 针对本次项目的测试范围和内容 我公司采取渗透测试的方法对整体系统 进行安全性评估 5 1 渗透测试原理 渗透测试过程主要依据现今已经掌握的安全漏洞信息 模拟黑客的真实攻 击方法对系统和网络进行非破坏性质的攻击性测试 这里说有的渗透测试行为 将在客户的书面明确授权和监督下进行 5 2 渗透测试的流程 方案制定 在获取到业主单位的书面授权许可后 才进行渗透测试的实施 并且将实 施范围 方法 时间 人员等具体的方案与业主单位进行交流 并得到业主单 位的认同 在测试实施之前 会做到让业主单位对渗透测试过程和风险的知晓 使随后的正式测试流程都在业主单位的控制下 信息收集 这包括 操作系统类型指纹收集 网络拓扑结构分析 端口扫描和目标系 统提供的服务识别等 可以采用一些商业安全评估系统 如 ISS 极光等 免费的检测工具 NESSUS Nmap 等 进行收集 测试实施 在规避防火墙 入侵检测 防毒软件等安全产品监控的条件下进行 操作 系统可检测到的漏洞测试 应用系统检测到的漏洞测试 如 Web 应用 此 阶段如果成功的话 可能获得普通权限 渗透测试人员可能用到的测试手段有 扫描分析 溢出测试 口令爆破 社会工程学 客户端攻击 中间人攻击等 用于测试人员顺利完成工程 在获取到普通权限后 尝试由普通权限提升为 管理员权限 获得对系统的完全控制权 一旦成功控制一台或多台服务器后 测试人员将利用这些被控制的服务器作为跳板 绕过防火墙或其他安全设备的 成都国信安信息产业基地有限公司 第 11 页 共 16 页 防护 从而对内网其他服务器和客户端进行进一步的渗透 此过程将循环进行 直到测试完成 最后由渗透测试人员清除中间数据 报告输出 渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告 内容包 括 具体的操作步骤描述 响应分析以及最后的安全修复建议 安全复查 渗透测试完成后 某某协助业主单位对已发现的安全隐患进行修复 修复 完成后 渗透测试工程师对修复的成果再次进行远程测试复查 对修复的结果 进行检验 确保修复结果的有效性 5 3 渗透测试的风险规避 在渗透测试过程中 虽然我们会尽量避免做影响正常业务运行的操作 也 会实施风险规避的计策 但是由于测试过程变化多端 渗透测试服务仍然有可 能对网络 系统运行造成一定不同程度的影响 严重的后果是可能造成服务停 止 甚至是宕机 比如渗透人员实施系统权限提升操作时 突遇系统停电 再 次重启时可能会出现系统无法启动的故障等 因此 我们会在渗透测试前与业 主单位详细讨论渗透方案 并采取如下多条策略来规避渗透测试带来的风险 时间策略 为减轻渗透测试造成的压力和预备风险排除时间 一般的安排测试时间在 业务量不高的时间段 测试策略 为了防范测试导致业务的中断 可以不做一些拒绝服务类的测试 非常重 要的系统不建议做深入的测试 避免意外崩溃而造成不可挽回的损失 具体测 试过程中 最终结果可以由测试人员做推测 而不实施危险的操作步骤加以验 证等 备份策略 为防范渗透过程中的异常问题 测试的目标系统需要事先做一个完整的数 据备份 以便在问题发生后能及时恢复工作 对于核心业务系统等不可接受可 能风险的系统的测试 可以采取对目标副本进行渗透的方式加以实施 这样就 成都国信安信息产业基地有限公司 第 12 页 共 16 页 需要完整的复制目标系统的环境 硬件平台 操作系统 应用服务 程序软件 业务访问等 然后对该副本再进行渗透测试 应急策略 测试过程中 如果目标系统出现无响应 中断或者崩溃等情况 我们会立 即中止渗透测试 并配合业主单位技术人员进行修复处理等 在确认问题 修 复系统 防范此故障再重演后 经业主单位方同意才能继续进行其余的测试 沟通策略 测试过程中 确定测试人员和业主单位方配合人员的联系方式 便于及时 沟通并解决工程中的难点 5 4 渗透测试的收益 渗透测试是站在实战角度对业主单位指定的目标系统进行的安全评估 可 以让业主单位相关人员直观的了解到自己网络 系统 应用中隐含的漏洞和危 害发生时可能导致的损失 通过我们的渗透测试 可以获得如下增益 安全缺陷 从黑客的角度发现业主单位安全体系中的漏洞 隐含缺陷 协助业主单位 明确目前降低风险的措施 为下一步的安全策略调整指明了方向 测试报告 能帮助业主单位以实际案例的形式来说明目前安全现状 从而增加业主单 位 对信息安全的认知度 提升业主单位人员的风险危机意识 从而实现内部安 全等级的整体提升 交互式渗透测试 我们的渗透测试人员在业主单位约定的范围 时间内实施测试 而业主单 位人员可以与此同时进行相关的检测监控工作 测试自己能不能发现正在进行 的渗透测试过程 从中真实的评估自己的检测预警能力 5 5 渗透测试工具介绍 渗透测试人员模拟黑客入侵攻击的过程中使用的是操作系统自带网络应用 管理和诊断工具 黑客可以在网络上免费下载的扫描器 远程入侵代码和本地 成都国信安信息产业基地有限公司 第 13 页 共 16 页 提升权限代码以及某某自主开发的安全扫描工具 这些工具经过全球数以万计 的程序员 网络管理员 安全专家以及黑客的测试和实际应用 在技术上已经 非常成熟 实现了网络检查和安全测试的高度可控性 能够根据使用者的实际 要求进行有针对性的测试 但是安全工具本身也是一把双刃剑 为了做到万无 一失 我们也将针对系统可能出现的不稳定现象提出相应对策 以确保服务器 和网络设备在进行渗透测试的过程中保持在可信状态 成都国信安信息产业基地有限公司 第 14 页 共 16 页 6 我公司渗透测试优势 6 1 专业化团队优势 我公司有渗透测试优势专业化的渗透测试团队 渗透测试服务开展相对较 早 经验非常丰富 曾经参与过很多大型网站的渗透测试工作 渗透测试团队 会根据项目的规模有选择性的申请部分漏洞研发团队专家参与到项目中 共同 组成临时的渗透测试小组 面向用户提供深层次 多角度 全方位的渗透测试 6 2 深入化的测试需求分析 在渗透测试开展前期 会从技术层面 网络层 系统层 应用层 着手与 用户进行广泛沟通 对用户当前的一些重要资料进行采集 汇总 梳理 掌握 以便为渗透测试工作地开展奠定良好的基础 除了技术层面以外 某某也将会 根据用户渗透测试的目标以及提出的需求着重对于用户的业务层面进行分析 并且将分析结果应用于渗透测试当中 做到明确所有需求的基础上准确而深入 的贯彻用户的意图 将渗透测试的目标与业务系统连续性运行保障紧密的结合 起来 6 3 规范化的渗透测试流程 渗透测试流程分为准备 渗透以及加固三个基本阶段 在每个阶段都会生 成阶段文档 最终在完成渗透测试整个流程以后将会由项目经理将三个阶段的 文档进行整理 汇总 提交给用户 并且针对过程中遇到的问题向用户进行汇 报 某某提供的渗透测试流程特点就在于将渗透准备阶段及安全加固阶段