(完整版)渗透测试方案

（完整版）渗透测试方案（完整版）渗透测试方案第第#页共16页四川品胜安全性渗透测试测试方案成都国信安信息产业基地有限公司二O一五年十二月TOC\o"1-5"\h\z目录 1\o"CurrentDocument"引言 2\o"CurrentDocument"项目概述 2\o"CurrentDocument"测试概述 2\o"CurrentDocument"2。1 测试简介 2\o"CurrentDocument" 测试依据 22。3 测试思路 32。3。1 工作思路 32。3。2。 管理和技术要求 32。4 人员及设备计划 41。 人员分配 4\o"CurrentDocument"2。4。2 测试设备 4\o"CurrentDocument"3。测试范围 5测试内容 7测试方法 95。1。 渗透测试原理 95。2 渗透测试的流程 9 渗透测试的风险规避 105。4 渗透测试的收益 115。5 渗透测试工具介绍 12我公司渗透测试优势 13 专业化团队优势 136。2 深入化的测试需求分析 13规范化的渗透测试流程 13 全面化的渗透测试内容 147。后期服务 15引言项目概述四川品胜品牌管理有限公司，是广东品胜电子股份有限公司的全资子公司。依托遍布全国的5000家加盟专卖店，四川品牌管理有限公司打造了线上线下结合的O2O购物平台--“品胜•当日达”,建立了“线上线下同价”、“千城当日达”、“向日葵随身服务”三大服务体系，为消费者带来便捷的O2O购物体验。2011年,品胜在成都温江科技工业园建立起国内首座终端客户体验馆，以人性化的互动设计让消费者亲身感受移动电源、数码配件与生活的智能互联，为追求高品质产品性能的用户带来便捷、现代化的操作体验。伴随业务的发展，原有的网站、系统、APP等都进行了不同程度的功能更新和系统投产，同时，系统安全要求越来越高，可能受到的恶意攻击包括：信息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、APT攻击等.这些攻击完全能造成信息系统瘫痪、重要信息流失。测试概述测试简介本次测试内容为渗透测试。渗透测试：是为了证明网络防御按照预期计划正常运行而提供的一种机制.测试依据XGB/T25000。51-2010《软件工程软件产品质量要与评价（SQuaRE）商业现货（COTS）软件产品的质量要求和测试细则》※GB/T16260—2006《软件工程产品质量》※GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》※GB/T20274-2006《信息系统安全保障评估框架》※客户提出的测试需求测试思路工作思路本次系统测试包括功能测试、性能测试、安全测试以及文档测试，本次测试工作将系统测试对象进行控制点划分，依据项目建设要求和相关标准、规范进行项目系统测试,并加强系统各阶段测试和实施过程控制，完善项目目标控制手段。管理和技术要求管理要求为了保证本项目系统综合测试的顺利进行，将对项目实施事前评审和测试过程监督测试管理工作，合理分配项目人员负责相应的测试工作。技术要求为了保证本项目系统测试的顺利进行，在本次测试过程中将采取如下技术要求：※渗透测试:验证系统设计的安全性是否满足客户需求。人员及设备计划人员分配本次测试组织机构和人员分配如下:项目管理组：杨方秀现场测试组：屈绯颖、王洪斌、项目文档组：龚正质量控制组：杨方秀、屈绯颖测试设备序号设备或仪器名称功能描述数量产地备注1.TestManager测试管理1IBM2.ClearQuest缺陷跟踪1IBM3.xscan用于安全测试的漏洞扫描工具14.测试机测试机2国产

测试范围检测分类检测范围Web网站SQL注入XSS跨站脚本网页挂马缓冲区溢出文件上传漏洞源代码泄露目录浏览、遍历漏洞数据库泄露弱口令越权访问会话验证绕过管理地址泄露舆论信息检测中间件漏洞支付安全验证其他（如：写入