证券行业网站及WEB交易系统安全评价方案

1、上海交通大学信息安全服务技术研究实验室XX证券公司网站及WEB交易交易系统安全评估方案上海交通大学信息安全服务技术研究实验室日期：2008年5月22日目录1. 概述11.1 评估对象11.2 评估目标11.3 评估范围11.4 评估方法22. 评估原则22.1. 标准性原则22.2. 可控性原则32.3. 完整性原则32.4. 最小影响原则32.5. 保密原则33. 扫描策略34. 资源需求44.1. 人员需求44.2. 评估工具44.2.1. 网站及WEB交易系统评估工具 44.2.2. 数据库弱点评估工具 44.2.3. 网站服务器漏洞评估工具 54.2.4. 渗透测试评估工具 54.3.

2、 其它资源55. 检测计划55.1. 网站及WEB交易系统评估65.1.1. 检测对象65.1.2. 检测内容65.2. 数据库弱点评估65.2.1. 检测对象65.2.2. 检测内容75.3. 网站服务器漏洞评估 75.3.1. 检测对象75.3.2. 检测内容75.4. 渗透测试75.4.1. 测试范围85.4.2. 渗透测试流程 95.4.3. 信息收集95.4.4. 权限提升96. 项目管理106.1. 项目组成员106.2. 主要内容与计划 107. 提交文档10上海交通大学信息安全服务技术研究实验室1.概述1.1评估对象本次安全评估的对象是XX证券有限责任公司（以下简称“ XX证券

3、”）的网 站和 WEB 交易系统（网址：） 0XX证券的网站是公司宣传及开展网上证券业务的重要平台，目前有 sun Solaris平台的服务器6-7台，其中包括两台oracle数据库服务器；支持WEB交 易的为一台 Windows平'台的服务器。上海交通大学信息安全服务技术研究实验室（ Lab of Information Security Service，以下简称“实验室”或“ LISS”）通过对XX证券网站和 WEB交易系 统的信息安全评估，将对项目范围内的信息系统的漏洞风险得到很好的识别与分 析，并对安全加固提供意见与建议等。1.2评估目标为了充分了解XX证券网站和 WEB交易系

4、统的当前安全状况（安全隐患）， 需要进行相关扫描和安全弱点分析，最终工作目标为：通过基丁网站的扫描工具及人工分析检测网站及WEB交易可能存在的安全漏洞；通过专门的数据库弱点扫描工具及人工分析检测数据库可能存在的安全漏洞；通过基丁网络的扫描工具及人工分析检测网站服务器可能存在的安全漏洞；分析安全漏洞的检测结果，通过渗透测试予以确认，并给出适宜的建议， 作为提高XX证券网站和WEB交易系统安全的重要参考依据。1.3评估范围此次评估检测的对象为：网站及WEB交易应用系统；后台数据库；网站服务器。1.4评估方法此次评估的工作方法如下：确定检测对象；拟定检测方案；用自动检测工具及人工分析检测受测对象存在

5、的安全漏洞；通过渗透测试方法分析检测结果，并给出适宜的建议。2. 评估原则为了确保XX证券网站和 WEB交易系统评估项目高效、顺利地进行，我们 的评估工作将遵循以下原则进行。2.1.标准性原则依据国际国内标准开展工作是本次评估工作的指导原则，也是LISS提供信息安全服务的一贯原则。在提供本次评估服务中，将会依据相关的国内和国际标准进行。 这些标准包 括：ISO 17799ISO 13335ISO 15408 / GB18336SSE-CMMISO 13569计算机信息系统安全保护等级划分准则(GB 17895- 1999)在提供本次评估服务中，除了依据相关的国内和国际标准之外， 还要参考一 些

6、没有成为国际和国内标准，但是已经成为业界事实上标准的一些规范和约定。这些规范和约定包括：CVE公共漏洞和暴露PMI项目管理方法学2.2. 可控性原则LISS将从多个方面配合XX证券，以便达到XX证券对评估工作的可控性。 这些可控性包括：人员可控性LISS项目组人员的资历都事先通知 XX证券，并经过XX证券的认可。并 确保项目组成员工作的连续性。工具可控性LISS所使用的所有技术工具都事先通告 XX证券。确保不使用对现有网络 的运行和业务的正常有重大影响的工具。项目过程可控性本评估项目的管理将依据PMI项目管理方法学，突出“沟通管理”，达到项 目过程的可控性。2.3. 完整性原则LISS将按照确

7、定的评估范围进行全面的评估，从范围上满足XX证券的要求。2.4. 最小影响原则LISS会从项目管理层面和工具技术层面，将评估工作对 XX证券网站及交 易系统正常运行的可能影响降低到最低限度， 不会对现有网络的运行和业务的正 常提供广生显著影响。2.5. 保密原则LISS和参加此次评估项目的所有项目组成员，都会遵从实验室与XX证券签署的相关保密协议。3. 扫描策略为降低评估工作的安全风险，本次评估采用如下扫描策略：扫描时机避开业务高峰期；选用合适的扫描工具；重要数据、服务器等应备份；最小资源开销；使用最新的安全漏洞库；注：最小资源开销。即不影响正在运行的网站及应用系统，降低扫描造成的影响，尽量使

8、用其它方法进行信息收集。4. 资源需求此次评估所需要的资源包括LISS评估项目组评估工程帅、受测机构协助人 员、检测工具及检测对象。4.1. 人员需求LISS评估项目组评估工程师：5人受测机构协助人员：评估网站及交易系统时，需要系统安全管理员、应用系统管理员备份重要数据，提供相应测试帐号，确定扫描工具接口；评估服务器及网络设备时，需网络管理人员配合，提供具体的网络拓扑图，帮助在网络中确定并接入扫描工具。4.2. 评估工具4.2.1.网站及WEB交易系统评估工具应用平台操作系统评估工具网站、WE咬易系统sun SolarisMatriXay2.04.2.2.数据库弱点评估工具应用平台平台类型评估

9、工具数据库MSSQLShadow Database ScannerAppDetectivePro数据OracleShadow Database Scanner库DAS-DBSCA4.2.3.网站服务器漏洞评估工具应用平台评估工具服务器NESSUS极光6004.2.4.渗透测试评估工具渗透阶段评估工具目的预攻击阶段Curl、nmap FWtester、hping3、搜索引擎基本网络信息获取预攻击阶段WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe Ethereal 、webscan、fuzzer对Web和数据库漏洞进行分析攻击阶段Metasplo

10、it Framework基于通用设备、数据库、操作系统和应用的攻击攻击阶段NBSI2SQL注入尝试攻击阶段X-Scan、Brutus、Hydra、溯雪口令猜解4.3. 其它资源分析准备阶段所获取的资料可知，实施安全评估还需如下信息：网络拓扑图及主要检测对象（如服务器）的 IP地址。服务器操作系统的相关信息，包括补丁版本、业务上需要打开的服务、原 有评估结果等。5. 检测计划此次安全评估主要包括如下方面：网站及WEB交易系统的应用安全评估、数据库弱点评估、网络设备漏洞的安全评估，以及基丁此的渗透测试。5.1. 网站及 WEB交易系统评估LISS采用专门的web弱点扫描软件，结合人工分析，在内网和

11、外网分别实施WEB应用弱点评估。其原理是采用攻击技术的原理和渗透性测试的方法，对WEB应用进行深度漏洞探测，可帮助应用开发者和管理者了解应用系统存在的 脆弱性，为改善并提高应用系统安全性提供依据，帮助用户建立安全可靠的WEB 应用服务。5.1.1. 检测对象XX证券网站及 WEB交易系统5.1.2. 检测内容WEB弱点评估范围包括：SQL注入网页木马表单绕过跨站脚本登录口令破解源码泄露CGI弱点ActiveX 弱点5.2. 数据库弱点评估针对数据库弱点的评估，LISS采用专门的数据库弱点扫描工具，结合人工分 析，进行数据库弱点评估，以发现数据库在安全配置、权限管理等方面存在的安 全漏洞，提高数

12、据库的安全。5.2.1.检测对象XX证券网站数据库和相关支持数据库5.2.2.检测内容数据库弱点扫描项目包括：检查数据库是否采用弱密码或默认密码；检查数据库中具有各种操作权限的用户列表；对数据库规则扫描；对数据库补丁扫描；对数据库对象扫描。5.3. 网站服务器漏洞评估针对网站服务器的安全评估一般分为两个步骤进行。第一步利用现有的优秀 安全评估软件来模拟攻击行为进行自动的探测安全隐患；第二步根据第一步得出的扫描结果进行分析由评估小组的工程师对网络设备安全检查列表某些项进行 手动检测，与客户系统管理员进行沟通分析，以排除误报情况，查找扫描软件无 法找到的安全漏洞即消除漏报情况。5.3.1. 检测对

13、象XX证券网站服务器。5.3.2. 检测内容网站服务器的检测内容如下：现有版本、补丁情况脆弱口令开放的端口与服务可远程访问或执行的权限缓冲区溢出安全漏洞CGI安全漏洞5.4. 渗透测试渗透测试是一种从攻击者的角度来对主机系统的安全程度进行安全评估的手段，在对现有信息系统不造成任何损害的前提下，利用安全扫描器和富有经验的安全工程师的人工经验模拟入侵者对指定系统进行攻击测试。事后将入侵的详细过程和细节以报告的形式提交给用户。由此确定用户系统所存在的安全威胁。并 能及时使安全管理员发现系统维护和管理中的不足，以降低安全风险。渗透测试通常能以非常明显，直观的结果来反映出系统的安全现状。 该手段也越来越

14、受到 国际/国内信息安全业界的认可和重视。为了解本项目主机系统的安全现状，在 许可和控制的范围内，将对主机系统进行渗透测试。本次测试将作为安全评估的 一个重要组成部分。5.4.1.测试范围XX证券委托是LISS进行渗透测试的必要条件。LISS将尽最大努力做到使 XX证券对渗透测试所有细节和风险的知晓、所有过程都在 XX证券的控制下进 行。这也是LISS的专业服务与黑客攻击入侵的本质不同。渗透测试的范围仅限制丁经过 XX证券以书面形式进行授权的系统，使用的 手段也须经过XX证券的书面同意。LISS承诺不会对授权范围之外的主机及网 络设备进行测试和模拟攻击。注：所有攻击测试将在XX证券的授权和监督

15、下进行。5.4.2.渗透测试流程5.4.3. 信息收集信息收集分析几乎是所有入侵攻击的前提/前奏/基础。“知己知彼，白战不殆”, 信息收集分析就是完成的这个任务。通过信息收集分析，攻击者（测试者）可以 相应地、有针对性地制定入侵攻击的计划，提高入侵的成功率、减小暴露或被发 现的几率。信息收集的方法包括主机网络扫描、端口扫描、操作类型判别、应用判别、账号扫描、配置判别等等。入侵攻击常用的工具包括nmap、nessus ISS InternetScanner等，有时，操作系统中内置的许多工具（例如 telnet）也可以成为非常有 效的攻击入侵武器。5.4.4. 权限提升通过收集信息和分析，存在两种可能性，其一是目标系统存在重大弱点：测 试者可以直接控制目标系统,这时测试者可以直接调查目标系统中的弱点分布、 原因，形成最终的测试报告；其二是目标系统没有远程重大弱点， 但是可以获得 远程普通权限，这时测试者可以通过该普通权限进一步收集目标系统信息。 接下 来，尽最大努力获取本地权限，收集本地资料信息，寻求本地权限升级的机会。这些不停的信息收集分析、权限升级的结果构成了整个渗透测试过程的输出。6. 项目管理6.1.项目组成员项目组长：银鹰项目组成员：周宁、张竟、王京峰、施勇6.2.主要内容与计划类型地点工作时间评估方式人员安排WEB应用外网测试远程网络x