




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、v1.0可编辑可修改广东省xxxxt重要信息系统渗透测试方案iv1.0可编辑可修改1. 概述01.1. 渗透测试概述 01.2. 为客户带来的收益 02. 涉及的技术02.1. 预攻击阶段12.2. 攻击阶段22.3. 后攻击阶段32.4. 其它手法 33. 操作中的注意事项 33.1. 测试前提供给渗透测试者的资料 33.1.1. 黑箱测试33.1.2. 白盒测试33.1.3. 隐秘测试43.2. 攻击路径4内网测试4外网测试4不同网段 /vlan之间的渗透 53.3. 实施流程53.3.1. 渗透测试流程 53.3.2. 实施方案制定、客户书面同意 53.3.3. 信息收集分析63.3.4
2、. 内部计划制定、二次确认 63.3.5. 取得权限、提升权限 63.3.6. 生成报告73.4. 风险规避措施73.4.1. 渗透测试时间与策略 73.4.2. 系统备份和恢复 73.4.3. 工程中合理沟通的保证 83.4.4. 系统监测83.5. 其它94. 渗透测试实施及报表输出 94.1. 实际操作过程94.1.1. 预攻击阶段的发现 94.1.2. 攻击阶段的操作 104.1.3. 后攻击阶段可能造成的影响 114.2. 渗透测试报告 115. 结束语121 .概述1.1. 渗透测试概述渗透测试(Penetration Test)是指安全工程师尽可能完整摸拟黑客使用的漏洞发现技术和
3、攻击手段,对目标网络 /系统/主机/应用的安全性做深入的探测,发现系统最脆弱的环节的过程,渗透测试能够直观的让管理人员知道自己网络面临的问题。渗透测试是一种专业的安全服务,类似于军队里的“实战演习”或者“沙盘推演”,通过实战和推演,让用户清晰了解目前网络的脆弱性、可能造成的影响,以便采取必要的防范措施。1.2. 为客户带来的收益从渗透测试中,客户能够得到的收益至少有:1)协助用户发现组织中的安全最短板,协助企业有效的了解目前降低风险的初始任务;2) 一份文档齐全有效的渗透测试报告有助于组织IT管理者以案例说明目前安全现状,从而增强信息安全认知程度,甚至提高组织在安全方面的预算;3)信息安全是一
4、个整体工程, 渗透测试有助于组织中的所有成员意识到自己岗位同样可能提高或降低风险,有助于内部安全的提升;当然,渗透测试并不能保证发现目标网络中所有的弱点,因此我们不宜片面强调它的重要性。2 .涉及的技术我们简单介绍渗透测试的各个阶段可能会用到的一些工具。预攻击攻击后攻击目的:目的:目的:收集信息进行进一时行攻击获得系统消除痕迹,长期维持一步攻击决策0的一定权限定的权限内容:内容:内容:获得域名及IP分布获得远程权限删除日志获得拓扑及。弹进入远程系统修补明显的漏洞2.1. 预攻击阶段基本网络信息获取Ping目标网络得到IP地址和ttl等信息Tcptraceroute 等 traceroute 的
5、结果Whois结果Netcraft获取目标可能存在的域名、web及服务器信息Curl获得目标web基本信息Nmap对网站进行端口扫描并判断操作系统类型Google、yahoo、baidu等搜索引擎获取目标信息采用FWtester、hping3等工具进行防火墙规则探测常规漏洞扫描和采用商用软件进行检测结合使用xscan与Nessu等商用或免费扫描工个进行漏洞扫描采用Solarwind对网络设备等进行发现采用nikto、webinspect等软件对 web常见漏洞进行扫描采用如AppDetective之类的商用软件对数据库进行扫描分析对Web数据库应用进行分析采用 Webproxy、SPIKEPr
6、oxy、webscarab、ParosProxy、Absinthe 等工具进行分析用Ehtereal进行抓包协助分析用webscan、fuzzer进彳S SQL注入和XSS漏洞初步分析手工检测SQL注入和XSS漏洞采用类似OScanner工具对数据库进行分析对应用分析的注意事项检查应用系统架构、防止用户绕过系统直接修改数据库检查身份认证模块,防止非法用户绕过身份验证检查数据库接口模块,防止用户获取系统权限检查其他安全威胁2.2. 攻击阶段基于通用设备、数据库、操作系统和应用的攻击可以采用各种公开及私有的缓冲区溢出程序代码,基于应用的攻击基于Web数据库或特定的 B/S或C/S结构的网络应用程序
7、存在的弱点进行攻击,常见 的如SQL注入攻击、跨站脚本攻击等。口令猜解技术口令是信息安全里永恒的主题,通过弱口令获取权限者不在少数。进行口令猜解可以用X-scan、Brutus、Hydra、溯雪等工具。2.3. 后攻击阶段口令嗅探与键盘记录嗅探、键盘记录、木马等软件,功能简单,但要求不被防病毒软件发觉,因此通常需要 自行开发或修改。口令破解有许多口令破解工具,如L0phtCrack、John the Ripper 、Cain 等。2.4. 其它手法这里列出的方法,有些可能对用户的网络造成较大的影响(如服务中断),有的则与安全管理密切相关,有的则需要到现场才能进行作业, 因此通常情况下较少采用。
8、 但可以根据 客户的需求状态进行判断。DoS&DDoS客户端攻击社交工程方法3 .操作中的注意事项3.1. 测试前提供给渗透测试者的资料3.1.1. 黑箱测试黑箱测试又被称为所谓的“zero-knowledge testing ”,渗透者完全处于对系统一无所 知的状态,通常这类型测试,最初的信息获取来自于 DNS Webj Email及各种公开对外的服 务器。3.1.2. 白盒测试白盒测试与黑箱测试恰恰相反,测试者可以通过正常的渠道向被单位取得各种资料,包括网络拓扑、员工资料甚至网站或其它程序的代码片断,也能够与单位的其它员工(销售、程序员、管理者)进行面对面的交流。这类测试的目的是模
9、拟企业内部雇员的越权操作。3.1.3. 隐秘测试隐秘测试是对被测单位而言的,通常情况下,接受渗透测试的单位网络管理部门会收到通知:在某些时段进行测试,因此能够监测网络中出现的变化,但隐性测试则被测单位也仅有极少数人知晓测试的存在,因此能够有效地检验单位中的信息安全事件监控、响应、恢复做得否到位。3.2. 攻击路径测试目标不同,涉及需要采用的技术也会有一定差异,因此下面简单说明在不同位置、 攻击路径不同时可能采用的技术。内网测试内网测试指的是渗透测试人员由内部网络发起测试,这类测试能够模拟企业内部违规操作者的行为。内网测试绕过了防火墙的保护。内部主要可能采用的渗透方式:远程缓冲区溢出;口令猜测;
10、B/S或C/S应用程序测试(如果涉及 C/S程序测试,需要提前准备相关客户端软件 供测试使用)外网测试对网络设备的远程攻击;口令管理安全性测试;防火墙规则试探、规避;Web及其它开放应用服务的安全性测试。不同网段/vlan之间的渗透这种渗透方式是从某内/外部网段,尝试对另一网段 /Vlan 进行渗透,这类测试通常可能用到的技术包括:对网络设备的远程攻击;对防火墙的远程攻击或规则探测、规则尝试;3.3. 实施流程3.3.1. 渗透测试流程13.3.2. 实施方案制定、客户书面同意合法性即客户书面授权委托,并同意实施方案是进行渗透测试的必要条件。渗透测试首先必须将实施方法、 实施时间、实施人员、实
11、施工具等具体的实施方案提交给客户,并得到 客户的相应书面委托和授权。应该做到客户对渗透测试所有细节和风险的知晓,所有过程都在的控制下进行,这也是专业渗透测试与黑客入侵本质的不同。3.3.3. 信息收集分析信息收集是每一步渗透攻击的前提,通过信息收集可以有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试对系统正常运行造成的不利影响。信息收集的方法包括 Ping sweep、DNS Sweep DNS zone transfer 、操作系统指纹判 别、账号扫描、配置判别等。信息收集常用的工具包括商业网络安全漏洞扫描软件(例如: 极光),免费安全检测工具(例如:NMAP
12、NESSUS,操作系统内置的许多功能 (例如:TELNET NSLOOKUPIE等)也可能作为信息收集的有效工具。3.3.4. 内部计划制定、二次确认根据客户设备范围和项目时间计划,并结合前一步的信息收集得到的设备存活情况、网络拓扑情况以及扫描得到的服务开放情况、漏洞情况制定内部的详细实施计划。具体包括每个地址下一步可能采用的测试手段,详细时间安排,并将以下一步工作的计划和时间安排与客户进行确认。3.3.5. 取得权限、提升权限通过初步的信息收集分析,存在两种可能,一种是目标系统存在重在的安全弱点,测试可能直接控制目标系统; 另一种是目标系统没有远程重大的安全弱点,但是可以获得普通用户权限,这
13、时可以通过该用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机资料信息, 寻求本地权限提升的机会。这样不停的进行信息收集分析、权限提升的结果形成了整个渗透测试过程。3.3.6. 生成报告渗透测试之后,测试者将会提供一份渗透测试报告。报告将会十分详细的说明渗透测试过程中得到的数据和信息,并且将会详细的纪录整个渗透测试的全部操作。3.4. 风险规避措施3.4.1. 渗透测试时间与策略时间选择为减轻渗透测试对网络和主机的影响,渗透测试时间尽量安排在业务量不大的时段或晚上。(时间可以协调)攻击策略集选择为防止渗透测试造成网络和主机的业务中断,在渗透测试中不使用含有拒绝服务的
14、测试策略。保守策略选择对于不能接受任何可能风险的主机系统,如银行票据核查系统、电力调度系统等,可选择如下保守策略:复制一份目标环境,包括硬件平台、操作系统、数据库管理系统、应用软件等。对目标的副本进行渗透测试。3.4.2. 系统备份和恢复系统备份为防止在渗透测试过程中出现的异常发问,所有被评估系统均应在被评估之前作一次完备的系统备份或者关闭正在进行的操作,以便系统发生灾难后及时恢复。系统恢复在渗透测试过程中,如果出现被评估系统没有响应或中断的情况,应当立即停止测试工作,与客户方配合人员一起分析情况,在确定原因后,及时恢复系统,并采取必要的预防措施(比如调整测试策略)之后,确保对系统无影响,并经
15、客户方同意之后才可能继续进行。3.4.3. 工程中合理沟通的保证在工程实施过程中,确定不同阶段的测试人员以及客户方的配合人员,建立直接沟通的渠道,并在工程出现难题的过程中保持合理沟通。3.4.4. 系统监测在评估过程中,由于渗透测试的特殊性,用户可以要求对整体测试流程进行监控(可能提高渗透测试的成本)。测试方自控由测试者对本次测试过程中的三方面数据进行完整记录:操作;响应;分析。最终形成完整有效的渗透测试报告提交给用户。用户监控可以用三种形式:全程监控:采用类似 Ethereal或Sniffer Pro的嗅探软件进行全程抓包嗅探。优点是全过程都能完整记录。缺点是数据量太大,不易分析;需要大容量
16、存储设备。择要监控:对扫描过程不进行建制,仅仅在安全工程师分析数据后,准备发起渗透前,才开启类似Ethereal或Sniffer Pro的嗅探软件进行嗅探。主机监控:仅监控受测主机的存活状态,避免意外情况的发生,目前国内应用比较多的是这种监控手段。3.5. 其它测试前将所有工具的漏洞数据库都升级至最新版本;测试时最好通过专门的渗透测试代理服务器进行操作,在代理服务器可以方便进行操作的监控,也能够为客户提供一个专门用于渗透测试的IP地址;后攻击阶段的操作如果确实必要,也应该先知会客户,然后进行操作。4 .渗透测试实施及报表输出4.1. 实际操作过程4.1.1. 预攻击阶段的发现目标主机系统情况探
17、测1)操作系统类型探明:使用 windows 2000操作系统,IIS为2)开放端口IP202.98.6X209HostnameUnKnawnTCP Ports (13)80World Witte Wteb HTTP443HTTP protocol war TLGJEEL1433Microsoft-SGL-Server8000HTTP/IRDM3C02HTTP/Teradata ORDBMS8003LlnkriownJ8005Unknown8008HTTP Alterns*e3102Unkrownj3685Unkriown!8887Unknownl8888MesEDGE server TCP
18、/ Answer0Mk29000CSIistener3) 可利用服务情况:WE瞰务(80),数据库服务(SQL server 2000)4.1.2. 攻击阶段的操作寻找脚本漏洞文阵在 编辑 查看 9 收藏 一三具w厂 都助(U)窈3国OIa投素 收源灾才媒林e地址地)芝004上聿年I十尊机及术与软件专业技术贾格 ( 水平工专试查询姓起岑臾惟考证号410C3G01CI001身的证号31021*1090711 174上午成就除考 纷慰 煤将 定X不午成薪口四数蟠待定:电文或循D份甑线待显邮政编码4QOOCO联系地址南坪万寿莅园04号t3号谡考生的成薪公数钱传定杳看遂考牛举本信意存在可以被利用的安全漏洞。获得远程主机交互界面htlpzJ /2CI2.9S.G 3,2C92 IntrHetAppi/Soflwa reE xam/sSearch D etail. aspx?chdllerigErid=20O« 7f*' Cmdshell r OAcreateJob 口 回显 WirCrnl%碑em32h驱动器匚中的卷没有标域. 卷的序列号是FU9A-3BOBcwirrit
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 行业龙头企业会议合同
- 景区旅游解说系统优化考核试卷
- 摩托车启动系统与故障检修考核试卷
- 特殊作业机器人作业流程优化试题考核试卷
- 放射性废物处理与核设施的安全文化考核试卷
- 发电机润滑系统考核试卷
- 社区卫生服务临床路径应用考核试卷
- 网络安全防护法律法规适用性考核试卷
- 海水养殖水质监测新技术研究考核试卷
- 玻璃制造的化学稳定性与抗腐蚀性考核试卷
- 《智能网联汽车用摄像头硬件性能要求及试验方法》编制说明
- 2024年3月ITSMS信息技术服务管理体系基础(真题卷)
- 节能评审和节能评估文件编制费用收费标准
- 2023-2024年《劳务劳动合同样本范本书电子版模板》
- 中国居民口腔健康状况第四次中国口腔健康流行病学调查报告
- MOOC 数据挖掘-国防科技大学 中国大学慕课答案
- 中药注射剂合理使用培训
- 第13课+清前中期的兴盛与危机【中职专用】《中国历史》(高教版2023基础模块)
- 2024年国家粮食和物资储备局直属事业单位招聘笔试参考题库附带答案详解
- 苏轼临江仙课件大学语文完美版
- 《施工测量》课件
评论
0/150
提交评论