2022信息系统渗透测试技术规范

信息系统渗透测试技术规范目 次1范引文件 1语定义 12测目的 2测原则 2测形式 3术求 3测环及备求 3测工及备求 3测对象 4测内和法 4测流程 7理求 9渗测授权 9渗测过管理 9创机制 10附录A（料）渗测试权托模板 11附录B（料）渗测试告例 13I信息系统渗透测试技术规范范围本文件规定了信息系统渗透测试的总则、技术要求和管理要求。本文件适用于信息系统渗透测试的实施。（GB/T20984信息安全技术信息安全风险评估方法GB/T22239信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T28448信息安全技术网络安全等级保护测评要求GB/T31509信息安全技术信息安全风险评估实施指南GB/T36627信息安全技术网络安全等级保护测试评估技术指南GB/T20984、GB/T25069、GB/T31509、GB/T22239、GB/T28448、GB/T36627界定的以及下列术语和定义适用于本文件。3.1网络安全cybersecurity3.2渗透测试penetrationtest通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。3.3漏洞扫描vulnerabilityscanning基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。3.4弱口令weakpassword容易被他人猜测到或被破解工具破解的口令。3.5测试方testingparty为信息系统提供测试服务的机构或人员。13.6委托方clientparty信息系统所属的机构或人员。3.7SQL注入SQLinjectionweb应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。3.8安全配置错误securityconfigurationerrorHTTP注：包括网络服务、平台、web服务器、应用服务器、数据库、框架、自定义的代码、预安装的虚拟机、容器、存储等。总则应按照GB/T31509和GB/T36627的流程进行实施，包括实施阶段和运维阶段的测试工作。在规定的测试范围内，应覆盖指定目标信息系统中的全部服务及每个服务中的全部功能。测试过程应对信息系统各项服务及漏洞进行分级管理，以保证信息系统重要应用服务的资源投入。GB/T315092GB/T28448、GB/T36627GB/T20984测试环境及准备要求包括以下内容：（VPNIP）测试工具及准备要求包括以下内容：3XXSSQL按照属性不同对测试对象分类如下：WindowsSolaris、AIXLinux、SCO、SGI、KylinMS-SQL、Oracle、MySQL、Informix、Sybase、DB2WeblogicTomcat、IIS、JBoss、Apache、NginxWebAppCMSVPN总则5.4.2至5.4.16指纹识别测试包括以下内容：BannerTCPICMPCMSmd5UrlTCP/IPowaspWeb（asp->sqlserverphp->mysql、jsp-oracle）443->sqlserver，3306->mysql，1521->oracal）；httpserver（nginxTomcat。漏洞扫描测试包括以下内容：应进行网络安全漏洞扫描测试，发现目标主机或网络，搜集目标信息，根据搜集到的信息判4应进行主机漏洞扫描测试，从系统用户的角度检测计算机系统的漏洞，包括应用软件、运行弱口令测试包括以下内容：文件下载测试包括以下内容：文件上传测试包括以下内容：Web命令注入测试包括：应用&&、、|||SQLSQL注入测试包括：SQL5NoSQLORMSQLSQL跨站脚本测试包括：跨站请求伪造测试包括：RefererCSRFTokenTokenJSONJSONP失效的身份认证测试包括：2FA失效的访问控制测试包括：/（）（）安全配置错误测试包括：6业务逻辑缺陷测试包括：URLCookie信息泄露测试包括：WebURLWeb渗透测试工作流程见图1。图1渗透测试工作流程信息收集分为主动信息收集和被动信息收集，即：7IPCCMS/whois漏洞探测具体方法包括如下：POC漏洞探测具体内容包括如下：WebserverWebserverWebWebd)其它端口服务漏洞：21/8080(st2)/7001/22/3389等；e)通信安全：明文传输，token在cookie中传送等。：exploit-db权限提升包括两种情况：内网渗透测试有两种方式：8信息整理包括以下三个方面：poc，exp应在渗透测试结束后清除渗透测试痕迹及相关影响内容：A。渗透测试过程管理要求包括：9BBISO/IEC2700110附录A（资料性）渗透测试授权书甲方 乙方 甲方托方在20XX年XX月XX日至20XX年XX月XX日甲的 统行透测一、甲方责任1、甲方向乙方提供准确的被测系统的IP或域名信息。2、甲方允许乙方在测试过程中对所获取的信息进行必要的记录。3、甲方相关技术人员应当全程参与漏洞扫描工作，漏洞扫描所涉及甲方的设备上机操作完全由甲方人员进行，乙方进行结果记录。4、若甲方要求乙方提供相关测试工具，则甲方不可使用乙方所提供的工具从事危害网络安全的非法行为，否则引起的一切责任由甲方承担。5、甲方在未经乙方允许的情况下，不得泄露乙方在工作过程中所使用的工具及相关输出。6、甲方已了解渗透测试被测系统可能带来如下影响：7、甲方在进行渗透测试之前针对渗透测试可能对系统带来的影响和后果已做好充分应对准备和采取适当措施，如在测试之前做好系统的全面备份。811二、乙方责任1方用 透工具甲方统行透。2、对于乙方在测试过程中所获取的任何信息，仅在编写报告时使用。3、未经甲方授权，乙方不得向任何个人或单位提供测试过程中所获取的信息。4、乙方在测试过程中应尽量避免影响甲方业务的正常运转，若出现意外操作而导致异常则应立刻通知甲方并积极配合协商解决。5、乙方承诺不对外泄露甲方测试信息。6、乙方承诺在取消授权后，销毁所有涉及授权的机密资料。7、乙方不按规定时间或不使用规定的工具对指定系统进行渗透测试，由此产生的不良后果由乙方承担。甲方： 乙方：甲方代表签字（盖） 乙方代表签字（盖）年 月 日 年 月 12附录B（）表B.1渗透测试报告单位名称测试时间xxxx日（生效）xxxx日（截至；测试时间段--：--