渗透测试方案

1.渗透测试服务（一）服务内容（1）从技术层面找出公安信息网目标业务系统、网络设备、管理体系等方面的弱点、漏洞与脆弱性，作为进行安全优化和加固的依据。（二）服务方案渗透测试方案渗透测试主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网站、网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。具体工作流程如下：2.1.1）测试方法渗透测试完全模拟黑客的入侵思路与技术手段，黑客的攻击入侵需要利用目具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。针对各应用系统的渗透测试方法包括以下方法但不局限于以下方法测试方法 描述信息收集是渗透攻击的前提，通过信息收集可以有针对性地制定模拟攻击测试计划，提高模拟攻击的成功率，同时可以信息收集有效的降低攻击测试对系统正常运行造成的不利影响。信息收集的方法包括端口扫描、操作系统指纹判别、应用判别、账号扫描、配置判别等。TCP/UDP端口扫描可以基本确定一个系统的基本信息，结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点，为进行深层次的渗透提供依据。口令猜测

本阶段将对暴露在公网的所有登陆口进行口令猜解的测试，找出各个系统可能存在的弱口令或易被猜解的口令。猜解成功后将继续对系统进行渗透测试，挖掘嵌套在登录口背后的漏洞、寻找新的突破口以及可能泄漏的敏感信息，并评估相应的危害性。猜解的对象包括：WEBFTP库端口、远程管理端口等。这是当前出现的频率最高、威胁最严重，同时又是最容易实远程溢出一台主机攻击成功，那么通过这台主机对防火墙内的主机进行攻击就易如反掌。本地溢出是指在拥有了一个普通用户的账号之后，通过一段特殊的指令代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户的密码。也就是说由于导致本本地溢出地溢出的一个关键条件是设置不当的密码策略。多年的实践证明，在经过前期的口令猜测阶段获取的普通账号登录系统之后，对系统实施本地溢出攻击，就能获取不进行主动安全防御的系统的控制管理权限。脚本测试

WebWebWebWeb试将是必不可少的一个环节。通过初步信息收集分析，存在两种可能性，一种是目标系统存在重大的安全弱点，测试可以直接控制目标系统；另一种是目标系统没有远程重大的安全弱点，但是可以获得普通用权限获取户权限，这时可以通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机资料信息，寻求本地权限提升的机会。这样不停的进行信息收集分析、权限提升的结果形成了整个的渗透测试过程。2.1.2）测试内容测试大类身份验证测试大类身份验证测试项测试目的检查用户注册功能可能涉及的安全问题类 用户登修改密密码重置

检查用户登录功能可能涉及的安全问题检查用户修改密码功能可能涉及的安全问题涉及的安全问题验证码绕过 检测验证码机制是否合理，是否可以被绕用户锁定功能 测试用户锁定功能相关的安全问题会话管理

Cookie会话令牌分析

cookiecookieCookiecookie类 会话令牌泄露 测试会话令牌是否存在泄露的可能会话固定攻击 测试目标系统是否存在固定会话的缺跨站请求伪造 检测目标系统是否存在CSRF漏洞访问控制

功能滥用

测试目标系统是否由于设计不当，导致合法功能非法利用类 垂直权限提升 测试可能出现垂直权限提升的情水平权限提升 测试可能出现水平权限提升的情SQL注入 检测目标系统是否存在SQL注入漏洞文件上传任意文件下载

检测目标系统的文件上传功能是否存在缺陷，导致可以上传非预期类型和内容的文件检测目标系统加载/下载文件功能是否可以造成任意文件下载问题XML注入 测试目标系统-是否存在XML注入漏目录穿越 测试目标系统是否存在目录穿越漏洞SSRF

检测目标系统是否存在服务端跨站请求伪造漏洞输入处理类

本地文件包含 测试目标站点是否存在LFI漏远程文件包含 测试目标站点是否存在RFI漏远程命令/代码 测试目标系统是否存在命令/代码注入漏执行反射型跨站脚本检测目标系统是否存在反射型跨站脚本漏洞存储型跨站脚本检测目标系统是否存在存储型跨站脚本漏洞DOM-based跨站检测目标系统是否存在DOM-based跨站脚本漏脚本 洞URLURL向信息泄露

errorcode

测试目标系统的错误处理能力，是否会输出详尽的错误信息测试目标系统是否开启了StackTraces调试信类 StackTraces 息敏感信息 尽量收集目标系统的敏感信息第三方应用类

中间件

jboss、weblogictomcatCMSCMSdedecms、phpcmsCMS2.1.3）测试方式方法不同分为黑盒测试和白盒测试两类；IP用户可能对系统带来的威胁。白盒测试则是指测试人员通过用户授权获取了部分信息的情况下进行的测意用户可能为系统带来的威胁。2.1.4）交付成果（示例）渗透测试服务成果交付包括但不限于：《渗透测试方案》、《渗透测试报告》、《渗透测试复测报告》。环节（位置、描述）报告文档示例如下文档信息项目名称项目名称安全检测项目文档名称安全检测项目渗透测试报告文档编号文件类型项目文档密级商业秘密创建人版本审核人审核日期批准人批准日期接收方接收日期保密申明版权说明文档修订版本版本1.0日期修改人员描述审核人员摘要XX20xxxxxx20xxxxxxXX了安全渗透测试。经测试该门户网站采用XX技术进行开发部署，测试过程中发现多处安全问题需要及时进行修复。严重问题：x中等问题：x轻度问题：x安全风险汇总如下:威胁级别威胁级别数量xxxxx安全问题名称SQL注入SQL密码弱口令敏感信息读取文件上传漏洞轻度问题轻度问题xx敏感信息泄露CSRF漏洞类型测试结果如下示例测试分类 测试项SQL注入跨站脚本攻击（XSS）XML（XXE）跨站点伪造请求（CSRF）服务器端请求伪造任意文件上传任意目录遍历.svn/.git源代码泄露信息泄露

存在通过WEB安全业务逻辑安全中间件安全

CRLF注入 通过命令执行注入 存在URL重定向 通过Json劫持 通过第三方组件安全 通过本地/远程文件包含 通过任意代码执行 存在Struts2远程命令执行 通过Spring远程命令执行 存在反序列化命令执行 通过用户名枚举 通过用户密码枚举 通过用户弱口令 通过会话标志固定攻击 存在平行越权访问 通过垂直越权访问 通过未授权访问 通过验证码缺陷 通过中间件配置缺陷 通过中间件弱口令 通过WebloigcJbossWebsphereJenkinsJBoss远程代码执行 通过文件解析代码执行 通过测试分类服务器安全

测试项域传送漏洞RedisMangoDB操作系统弱口令数据库弱口令本地权限提升已存在的脚本木马

通过A)。项目信息参与本次测试小组成员有：委托单位信息参与本次测试小组成员有：单位名称XX委托项目名称XX安全检测项目单位地址邮政编码传真联系人联系电话联系人E-MAIL测评单位信息单位名称XX单位地址XX单位网址邮政编码传真联系人联系电话联系人E-MAIL项目概述测试目的通过本项目的成功实施，在坚持科学、客观、公正原则的基础上，全面、XX提出加固的建议。本次测试预期达到的目标为：发现授权渗透测试目标系统的安全漏洞测试范围本次渗透测试的范围如下：序号序号名称备注1XXhttp://123...测试依据安全测试服务将参考下列规范进行工作。信息安全技术信息安全风险评估规范（GB/T20984-2007）信息技术信息安全管理实用规则（GB/T19716-2005)(ISO/IEC17799:2000)信息系统安全风险评估实施指南信息系统审计标准（ISACA）OWASPOWASP_Testing_Guide_v3OWASPOWASP_Developmen