XX网站安全测试方案

1、作者:、检测背景-1 -、检测目标-1 -XX检测计划版本：时间：目录三、检测方案-1 -1方案概况-1 -2配合要求-2 -3检测流程-2 -4检测对象-3 -5检测周期-3 -四、风险声明-4 -1操作系统和常见应用漏洞扫描 -4 -2.WEB应用漏洞扫描-5 -一、检测背景二、检测目标三、检测方案1.方案概况方案概况预计检测时间预计检测地点预计检测人员预计检测范围预计检测内容预计检测方法预计检测工具预计检测标准2.配合要求?人员配合要求?提供的资料文档?提供的现场环境和条件3.检测流程信息收集：此阶段中，渗透检测小组进行必要的信息收集，通过 现场访谈确定检测时间、检测方式、检测地点、注意

2、事项等。通过互 联网搜集，获取IP地址、DNS域名、应用系统、软硬件环境等。 初步完成分析网络拓扑、操作系统、数据库版本等相关环境的目标。渗透检测：此阶段中，渗透检测小组根据信息收集阶段分析的信 息，从互联网模拟黑客攻击方式，对外部网络、系统进行渗透检测。 此阶段如果发现问题，进行收集证据，简单利用漏洞获取非敏感信息， 证明漏洞可用；如果未发现问题则渗透检测结束。本次测试将大量使用自动化检测设备进行测试， 主要针对网站安 全性，网站敏感字，网页暗链进行检测。输出报告：此阶段中，渗透检测小组根据检测的结果编写直观的 渗透检测服务报告。4. 检测对象对XX进行安全检测和渗透检测的范围:序号 名称域

3、名IP地址 备注12345检测周期编号 阶段名工作内容最早启动时间 最早结束时间最晚启动时间最晚结束时间最长天数-3- JJii四、风险声明1. 操作系统和常见应用漏洞扫描在使用扫描器对目标系统扫描的过程中，可能会出现以下的风险：? 占用带宽（风险不高） 。? 进程、系统崩溃。由于目标系统的多样性及脆弱性，或是目标 系统上某些特殊服务本身存在的缺陷，对扫描器发送的探测包或 者渗透测试工具发出的测试数据不能正常响应，可能会出现系统 崩溃或程序进程的崩溃。? 登录界面锁死。 扫描器可以对某些常用应用程序 （系统登录、， SNMP ，SSH，WEBLOGIC ）的登录口令进行弱口令猜测验证， 如果目

4、标系统对登录失败次数进行了限制，尝试登录次数超过限 定次数系统可能会锁死登录界面。风险规避方法：? 根据目标系统的网络、应用状况，调整扫描测试时间段，采取 避峰扫描；? 对扫描器扫描策略进行配置， 适当调整扫描器的并发任务数和 扫描的强度，可使减少扫描器工作时占用的带宽，降低对目标系 统影响；? 根据目标系统及目标系统上运行的应用程序， 通过与测评委托 方相关人员协商， 定制针对本系统测试的扫描插件、 端口等配置， 尽量合理设置扫描强度，降低目标系统或进程崩溃的风险；? 如目标系统对登录某些相关程序的尝试次数进行了限制， 在进 行扫描时，可屏蔽暴力猜解功能，以避免登录界面锁死的情况发 生。2. WEB 应用漏洞扫描 在使用 WEB 应用漏洞扫描器对目标系统扫描的过程中，可能会存在 以下的风险：? 占用带宽（风险不高） 。? 登录界面锁死。 WEB 应用漏洞扫描会对登录页面进行弱口令 猜测，猜测过程可能会造成应用系统某些帐号锁死。风险规避方法：? 根据目标系统的网络、应用状况，调整扫描测试时间段