91.120.25CCS

L

7021 21/T

3660—2022信息系統(tǒng)滲透測試技術(shù)規(guī)范Specification

test

of

遼寧省市場監(jiān)督管理局發(fā)

布DB21/T

3660—2022前言

.................................................................................

II1

...............................................................................

12 規(guī)范性引用文件

.....................................................................

13 術(shù)語和定義

.........................................................................

14

...............................................................................

24.1 測試目的

.......................................................................

24.2 測試原則

.......................................................................

24.3 測試形式

.......................................................................

35 技術(shù)要求

...........................................................................

5.45.5

測試環(huán)境及準(zhǔn)備要求

.............................................................

3測試工具及準(zhǔn)備要求

.............................................................

3測試對象

.......................................................................

4測試內(nèi)容和方法

.................................................................

4測試流程

.......................................................................

76 管理要求

...........................................................................

96.1 滲透測試授權(quán)

...................................................................

96.2 滲透測試過程管理

...............................................................

96.3 創(chuàng)新機制

......................................................................

10附錄

A（資料性） 滲透測試授權(quán)委托書模板..............................................

11附錄

B（資料性） 滲透測試報告樣例....................................................

13DB21/T

3660—20221范圍本文件規(guī)定了信息系統(tǒng)滲透測試的總則、技術(shù)要求和管理要求。本文件適用于信息系統(tǒng)滲透測試的實施。2 規(guī)范性引用文件文件。GB/T

20984 信息安全技術(shù)

信息安全風(fēng)險評估方法GB/T

22239信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T

25069 信息安全技術(shù)

GB/T

28448 信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護(hù)測評要求GB/T

31509 信息安全技術(shù)

信息安全風(fēng)險評估實施指南GB/T

36627 信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護(hù)測試評估技術(shù)指南3 術(shù)語和定義GB/T

20984、GB/T

25069、GB/T

31509、GB/T

、GB/T

28448、GB/T

36627界定的以及下列術(shù)語和定義適用于本文件。3.1網(wǎng)絡(luò)安全 cybersecurity穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。3.2滲透測試 penetration

test通過模擬惡意黑客的攻擊方法，來評估計算機網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。3.3漏洞掃描 vulnerability

scanning可利用漏洞的一種安全檢測（滲透攻擊）行為。3.4弱口令 weak

password容易被他人猜測到或被破解工具破解的口令。3.5測試方

party為信息系統(tǒng)提供測試服務(wù)的機構(gòu)或人員。DB21/T

3660—20223.6委托方 client

party信息系統(tǒng)所屬的機構(gòu)或人員。3.7SQL

SQL

injectionweb應(yīng)用程序中事先定義好的查詢語句的結(jié)尾上添加額外的SQL語句，在管理員不知情的情況下實現(xiàn)非法操作，以此來實現(xiàn)欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢，從而進(jìn)一步得到相應(yīng)的數(shù)據(jù)信息。3.8安全配置錯誤 security

configuration

errorHTTP標(biāo)頭配置以及包含敏感信息的詳細(xì)錯誤信息所造成的配置錯誤。包括網(wǎng)絡(luò)服務(wù)、平臺、服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫、框架、自定義的代碼、預(yù)安裝的虛擬機、容器、存4 總則4.1測試目的安全管理員完善安全策略，降低安全風(fēng)險。4.2 測試原則4.2.1 標(biāo)準(zhǔn)性原則應(yīng)按照GB/T

31509和GB/T

36627的流程進(jìn)行實施，包括實施階段和運維階段的測試工作。4.2.2 全面性原則在規(guī)定的測試范圍內(nèi)，應(yīng)覆蓋指定目標(biāo)信息系統(tǒng)中的全部服務(wù)及每個服務(wù)中的全部功能。4.2.3分級原則測試過程應(yīng)對信息系統(tǒng)各項服務(wù)及漏洞進(jìn)行分級管理，以保證信息系統(tǒng)重要應(yīng)用服務(wù)的資源投入。4.2.4 可控性原則測試過程應(yīng)按照GB/T

全可控。4.2.5 最小影響原則目標(biāo)系統(tǒng)的應(yīng)急預(yù)案。4.2.6保密性原則DB21/T

3660—20224.2.7 及時性原則漏洞積壓的情況。4.3 測試形式4.3.1 滲透測試應(yīng)按照

GB/T

、GB/T

GB/T

20984

相關(guān)規(guī)定，以人工滲透測試為主，工具漏洞掃描和自評估測試為輔，互為補充。4.3.2 滲透測試實施的組織形式包括但不限于個人測試、團(tuán)隊測試、眾測等。5 技術(shù)要求5.1 測試環(huán)境及準(zhǔn)備要求測試環(huán)境及準(zhǔn)備要求包括以下內(nèi)容：a)

滲透測試應(yīng)提供與生產(chǎn)環(huán)境相似的仿真環(huán)境，以便進(jìn)行部分可能影響數(shù)據(jù)完整性及穩(wěn)定性的侵入式測試，測試方在生產(chǎn)環(huán)境中應(yīng)避免使用可能導(dǎo)致數(shù)據(jù)完整性及業(yè)務(wù)穩(wěn)定性遭受破環(huán)的測試手段；b)

委托方應(yīng)預(yù)先準(zhǔn)備功能與數(shù)據(jù)均完備的賬號以保證測試的有效性，若完成測試涉及必要的專有設(shè)備，如控件、證書等軟硬件設(shè)備，委托方應(yīng)給予必要的配合或協(xié)助；c)

如測試過程中發(fā)現(xiàn)功能損壞及數(shù)據(jù)缺失，測試方應(yīng)對缺失的數(shù)據(jù)及損壞的功能進(jìn)行詳細(xì)記錄，并及時反饋給系統(tǒng)開發(fā)人員進(jìn)行功能及數(shù)據(jù)補足；d)

通過仿真環(huán)境測試時，委托方應(yīng)提供安全的測試接入方式（如現(xiàn)場接入、

遠(yuǎn)程接入及

IP白名單等方式），防止非授權(quán)人員對仿真環(huán)境進(jìn)行違規(guī)訪問或違規(guī)測試；e)

禁止測試方向任何未經(jīng)授權(quán)的第三方泄露任何與測試環(huán)境相關(guān)的信息；f)

測試環(huán)境提供方應(yīng)及時與測試方同步系統(tǒng)更新、維護(hù)及測試計劃等信息，以保證測試環(huán)境穩(wěn)定可用；g)

如測試對象為應(yīng)用接口，測試環(huán)境提供方應(yīng)向測試方提供足以用來構(gòu)造并完成接口請求的說明文檔或腳本。5.2 測試工具及準(zhǔn)備要求測試工具及準(zhǔn)備要求包括以下內(nèi)容：a)

測試方應(yīng)使用不存在法律風(fēng)險的或合規(guī)風(fēng)險的工具進(jìn)行測試；b)

測試方應(yīng)使用獲得網(wǎng)絡(luò)安全主管部門或行業(yè)主管部門認(rèn)可的漏洞掃描工具進(jìn)行測試，同時提供測試工具清單，并制定明確的掃描策略和掃描計劃以規(guī)避風(fēng)險；c)

委托方應(yīng)建立運行類測試工具審核機制，對測試方所提供的運行類測試工具的運行安全、版本、組成以及來源渠道進(jìn)行嚴(yán)格審核；d)

對于新引入的測試工具，應(yīng)建立嚴(yán)格的審批及測試機制，確保不存在木馬后門程序或嚴(yán)重的軟件缺陷；對于已引入的滲透測試工具，應(yīng)重點關(guān)注測試工具本身的安全性，及時針對測試工具進(jìn)行補丁修復(fù)和版本升級；DB21/T

3660—2022e)

對于完成當(dāng)次滲透測試后不再使用的運行類測試工具應(yīng)在測試完成前徹底刪除，防止運行類工具本身引入安全隱患；f)

測試方應(yīng)從在信息系統(tǒng)中上傳或部署運行類測試工具開始，到通知測試環(huán)境提供方并徹底刪除運行類測試工具為止的期間內(nèi)，通過書面記錄或全程錄屏的方式嚴(yán)格記錄每一步操作步驟；針對測試過程的具體記錄方式應(yīng)以測試相關(guān)方的協(xié)商意愿為準(zhǔn)；g)

在未經(jīng)授權(quán)的情況下，嚴(yán)禁使用公開的平臺進(jìn)行存在數(shù)據(jù)外發(fā)的漏洞利用測試，如采用公開的平臺測試遠(yuǎn)程命令執(zhí)行、XXS

和

注入等漏洞。5.3 測試對象按照屬性不同對測試對象分類如下：a)

主機操作系統(tǒng)：Windows、Solaris、、Linux、、SGI、Kylin

等操作系統(tǒng)；b)

數(shù)據(jù)庫系統(tǒng)：MS-SQL、、MySQL、Informix、Sybase、DB2、達(dá)夢等數(shù)據(jù)庫管理系統(tǒng)；c)

中間件：Weblogic、、IIS、JBoss、Apache、Nginx

等中間件；d)

應(yīng)用系統(tǒng)：Web、客戶端、App、小程序、

等信息系統(tǒng)；e)

網(wǎng)絡(luò)安全設(shè)備：防火墻、入侵檢測系統(tǒng)、交換機、

等網(wǎng)絡(luò)安全設(shè)備；f)

重要數(shù)據(jù)：業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)、個人隱私數(shù)據(jù)、日志數(shù)據(jù)等敏感數(shù)據(jù)。5.4測試內(nèi)容和方法5.4.1 總則滲透測試過程中使用到的基本測試內(nèi)容和方法描述見5.4.2至5.4.16，測試方應(yīng)結(jié)合測試對象類型宜”、“可”要求選擇測試內(nèi)容。5.4.2 指紋識別指紋識別測試包括以下內(nèi)容：a)

抓取、TCP

和

ICMP

據(jù)包重傳延時技術(shù)、使用滲透測試工具進(jìn)行操作系統(tǒng)探測等；b)應(yīng)對

息的關(guān)鍵字匹配、基于

關(guān)鍵字識別、基于

請求協(xié)議識別服務(wù)指紋、在

owasp

中識別

Web

應(yīng)用框架測試方法；c) 應(yīng)對數(shù)據(jù)庫進(jìn)行指紋識別測試，方法包括常規(guī)判斷（如

asp->sql

server、php->mysql、jsp-oracle

等）、網(wǎng)站錯誤信息識別、端口服務(wù)識別（如

443->sql

server，3306->mysql，1521->oracald)

http

返回消息中提取

server

務(wù)探測中間件、通過構(gòu)造錯誤界面返回信息查看中間件（例如通過

nginx

和

Tomcat

爆出中間件的版本信息）。5.4.3 漏洞掃描漏洞掃描測試包括以下內(nèi)容：a)

應(yīng)進(jìn)行網(wǎng)絡(luò)安全漏洞掃描測試，發(fā)現(xiàn)目標(biāo)主機或網(wǎng)絡(luò)，搜集目標(biāo)信息，根據(jù)搜集到的信息判斷或者進(jìn)一步測試系統(tǒng)是否存在安全漏洞；DB21/T

3660—2022b)

應(yīng)進(jìn)行主機漏洞掃描測試，從系統(tǒng)用戶的角度檢測計算機系統(tǒng)的漏洞，包括應(yīng)用軟件、運行的進(jìn)程、注冊表或用戶配置等存在的漏洞；c)

應(yīng)進(jìn)行數(shù)據(jù)庫漏洞掃描測試，通過自動掃描和手動輸入發(fā)現(xiàn)數(shù)據(jù)庫，經(jīng)授權(quán)掃描、非授權(quán)掃描、弱口令、滲透攻擊等檢測方式發(fā)現(xiàn)數(shù)據(jù)庫安全隱患，形成修復(fù)建議報告提供給用戶；d)

可基于網(wǎng)絡(luò)安全漏洞研究和挖掘的能力構(gòu)建安全漏洞庫，并使用漏洞庫進(jìn)行定向漏洞掃描，漏洞庫應(yīng)及時更新，更新周期不得多于一個月。5.4.4 弱口令破解弱口令測試包括以下內(nèi)容：a)應(yīng)建立并維護(hù)常用的弱口令字典，并保證字典具備較高的命中率；b) 應(yīng)通過測試確認(rèn)不能夠使用空口令登錄目標(biāo)系統(tǒng)；c)應(yīng)通過測試確認(rèn)不存在能夠使用弱口令登錄的高權(quán)限賬戶；d) 與開發(fā)商信息相關(guān)聯(lián)的常見口令；e) 各不相同且無法基于自身分配的口令對其他賬戶的口令進(jìn)行預(yù)測。5.4.5 文件下載文件下載測試包括以下內(nèi)容：a) 應(yīng)對下載的文件類型、目錄做合理嚴(yán)謹(jǐn)?shù)倪^濾；b) 件；c) 可測試是否能利用漏洞進(jìn)一步攻入服務(wù)器。5.4.6 文件上傳文件上傳測試包括以下內(nèi)容：a) 應(yīng)通過測試確認(rèn)系統(tǒng)不存在可以直接部署網(wǎng)頁腳本的文件上傳功能；b) 應(yīng)通過測試確認(rèn)存儲上傳文件的

Web

應(yīng)用服務(wù)不存在腳本解析漏洞；c) 應(yīng)通過測試確認(rèn)上傳文檔前經(jīng)過有效的身份驗證；d) 應(yīng)通過測試確認(rèn)文件上傳的校驗在服務(wù)端進(jìn)行。5.4.7 命令注入命令注入測試包括：a) 應(yīng)用&&、&、|、||等判斷是否無命令注入；b) 應(yīng)檢查是否有過濾；c) 應(yīng)檢查是否不能繞過。5.4.8 SQL

SQL注入測試包括：a) 各類

注入測試；b) 應(yīng)禁止使用第三方運維的域名解析記錄平臺進(jìn)行帶外注入測試；DB21/T

3660—2022c) 在使用了

NoSQL

及

發(fā)現(xiàn)

注入風(fēng)險；d) 可對所有可能存在數(shù)據(jù)庫查詢的功能進(jìn)行

SQL

注入測試。5.4.9 跨站腳本跨站腳本測試包括：a) 刪除，應(yīng)在仿真環(huán)境下進(jìn)行測試；b) 應(yīng)禁止進(jìn)行跨站腳本蠕蟲測試；c) 應(yīng)禁止使用第三方運維的跨站腳本反向代理平臺進(jìn)行測試；d) 可通過測試確認(rèn)輸入過濾及輸出編碼措施的有效性。5.4.10 跨站請求偽造跨站請求偽造測試包括：a) 加用戶功能、刪除用戶功能、賦予用戶權(quán)限功能、轉(zhuǎn)賬功能、發(fā)送公告功能等；b) 如使用

Referer

校驗，則應(yīng)通過測試確認(rèn)不存在域內(nèi)的

CSRF

漏洞；c) 如使用

Token

校驗，則應(yīng)通過測試確認(rèn)

Token

驗證與會話標(biāo)識強相關(guān)；d) 如使用雙重校驗，則應(yīng)通過測試確認(rèn)驗證碼不可預(yù)測且不可繞過；e) 如使用圖形驗證碼，則應(yīng)通過測試確認(rèn)圖形驗證碼不可預(yù)測且不可繞過；f) 可通過測試確認(rèn)目標(biāo)系統(tǒng)無法進(jìn)行

JSON

和

JSONP

劫持攻擊。5.4.11 失效的身份認(rèn)證失效的身份認(rèn)證測試包括：a) 應(yīng)進(jìn)行密碼破解測試；b) 應(yīng)進(jìn)行用戶名猜解測試；c) 應(yīng)進(jìn)行用戶名枚舉測試；d) 應(yīng)進(jìn)行重置用戶密碼測試；e) 應(yīng)進(jìn)行修改用戶密碼測試；f) 宜進(jìn)行繞過雙因子驗證測試；g) 可進(jìn)行暴力破解

2FA

驗證碼測試。5.4.12失效的訪問控制失效的訪問控制測試包括：a) 應(yīng)進(jìn)行文件包含/目錄遍歷測試；b) 應(yīng)進(jìn)行文件上傳、文件包含、任意文件下載、任意文件刪除測試；c) 應(yīng)進(jìn)行權(quán)限繞過（水平越權(quán)）測試；d) 應(yīng)進(jìn)行權(quán)限提升（垂直越權(quán)）測試；e) 可對不安全直接對象的引用進(jìn)行測試。5.4.13 安全配置錯誤安全配置錯誤測試包括：a) 應(yīng)通過訪問默認(rèn)帳戶，測試是否能獲得未經(jīng)授權(quán)的訪問；DB21/T

3660—2022b) 應(yīng)通過訪問未使用的頁面，測試是否能獲得未經(jīng)授權(quán)的訪問；c) 應(yīng)通過訪問未修補的漏洞，測試是否能獲得未經(jīng)授權(quán)的訪問；d) 應(yīng)通過訪問未受保護(hù)的文件和目錄，測試是否能獲得未經(jīng)授權(quán)的訪問。5.4.14 已知漏洞組件使用塊的組件。5.4.15 業(yè)務(wù)邏輯缺陷業(yè)務(wù)邏輯缺陷測試包括：a) 應(yīng)通過瀏覽器或滲透測試工具發(fā)出對于指定

訪問；b) 應(yīng)針對

Cookie

內(nèi)的參數(shù)進(jìn)行修改，進(jìn)行提權(quán)測試；c) 輯，對登錄接口進(jìn)行暴力破解。5.4.16 信息泄露信息泄露測試包括：a) 應(yīng)測試連接數(shù)據(jù)庫的賬號密碼所在的配置文件，查看配置文件中的賬號密碼是否被加密；b)應(yīng)進(jìn)入一個有敏感信息的頁面(如帶有修改口令的頁面)是否包含明文的口令等敏感信息；c) 應(yīng)進(jìn)入一個有敏感信息的頁面(如帶有修改口令的頁面)息是否包含明文的口令等敏感信息；d) 應(yīng)構(gòu)造一些異常的條件來訪問

題；常見異常處理包括不存在的

URL、非法字符和邏輯錯誤等；e) 應(yīng)測試存儲在服務(wù)器上的配置文件、日志、源代碼等是否存在漏洞；f) 應(yīng)測試

Web

服務(wù)器默認(rèn)提供的服務(wù)器狀態(tài)信息查詢功能，是否會泄漏系統(tǒng)信息；g) 應(yīng)測試頁面中是否存在一些服務(wù)器的敏感信息。5.5 測試流程5.5.1 工作流程滲透測試工作流程見圖1。圖

1

滲透測試工作流程5.5.2 信息收集信息收集分為主動信息收集和被動信息收集，即：DB21/T

3660—2022a) 目標(biāo)

收集等，通過直接訪問、掃描網(wǎng)站獲取目標(biāo)信息的行為；b) 被動信息收集包括旁站

C

段查詢、

/文件收集、

渠道可獲得的信息，主要對互聯(lián)網(wǎng)的信息進(jìn)行收集。5.5.3 漏洞探測 漏洞探測方法漏洞探測具體方法包括如下：a) 使用工具進(jìn)行漏洞掃描；b)結(jié)合漏洞找到漏洞利用程序集，進(jìn)行

POC

測試，針對具體應(yīng)用的驗證性測試。 漏洞探測內(nèi)容漏洞探測具體內(nèi)容包括如下：a) 系統(tǒng)漏洞：系統(tǒng)沒有及時打補??；b) Webserver

漏洞：

配置問題；c) Web

應(yīng)用漏洞：Web

應(yīng)用開發(fā)問題；d)其它端口服務(wù)漏洞：21/8080(st2)/7001/22/3389

e) 通信安全：明文傳輸，

在

中傳送等。5.5.4 漏洞驗證行試驗，成功后再應(yīng)用于目標(biāo)中。漏洞的驗證方法包括但不限于：：a) 自動化驗證：結(jié)合自動化掃描工具對系統(tǒng)進(jìn)行掃描，提供的結(jié)果；b) 手工驗證：根據(jù)公開資源進(jìn)行手動驗證；c)試驗驗證：搭建模擬環(huán)境進(jìn)行驗證；d)登錄猜解：嘗試猜解登錄口的賬號密碼等信息，登錄系統(tǒng)；e) 業(yè)務(wù)漏洞驗證：如發(fā)現(xiàn)業(yè)務(wù)漏洞，需要進(jìn)行驗證；f) 公開資源的利用：、滲透測試代碼/網(wǎng)站、通用或缺省口令、廠商的漏洞警告等。5.5.5 權(quán)限提升權(quán)限提升包括兩種情況：a) 目標(biāo)系統(tǒng)存在重大弱點，可以直接控制目標(biāo)系統(tǒng)；b) 統(tǒng)信息獲取本地權(quán)限，收集本地資料信息，提升本地權(quán)限。5.5.6 內(nèi)網(wǎng)滲透內(nèi)網(wǎng)滲透測試有兩種方式：a) 攻擊外網(wǎng)服務(wù)器，獲取外網(wǎng)服務(wù)器的權(quán)限，利用外網(wǎng)服務(wù)器作為跳板，攻擊內(nèi)網(wǎng)其他服務(wù)器，最后獲得敏感數(shù)據(jù)；b) 者生產(chǎn)網(wǎng)的有用數(shù)據(jù)。5.5.7 信息整理DB21/T

3660—2022信息整理包括以下三個方面：a) 整理滲透測試過程中在滲透測試工具上用到的代碼，如

，exp

等；b) 整理收集信息：整理滲透測試過程中收集的信息；c) 整理漏洞信息：整理滲透測試過程中發(fā)現(xiàn)的各種漏洞，各種脆弱位置信息。5.5.8痕跡清理應(yīng)在滲透測試結(jié)束后清除滲透測試痕跡及相關(guān)影響內(nèi)容：a) 應(yīng)對命令操作痕跡進(jìn)行清理；b) 應(yīng)對訪問痕跡進(jìn)行清理；c) 應(yīng)對文件操作痕跡進(jìn)行還原和清理；d)應(yīng)對數(shù)據(jù)操作痕跡進(jìn)行還原和清理；e) 應(yīng)對滲透測試活動產(chǎn)生的日志進(jìn)行清理。5.5.9 報告輸出告編寫。滲透測試報告包括執(zhí)行層面的內(nèi)容、技術(shù)層面的內(nèi)容。a) 執(zhí)行層面的內(nèi)容：業(yè)務(wù)說明、測試策略方法說明、項目風(fēng)險評估等；b) 果、應(yīng)急響應(yīng)和監(jiān)控能力、標(biāo)準(zhǔn)組成部分。6管理要求6.1滲透測試授權(quán)6.1.1 測試方的滲透測試應(yīng)在取得委托方授權(quán)的前提下開展。6.1.2 用戶應(yīng)對滲透測試所有細(xì)節(jié)和風(fēng)險知曉、所有過程都在委托方的控制下進(jìn)行。6.1.3 委托方和測試方應(yīng)簽署書面的甲乙雙方滲透測試授權(quán)書，格式參照附錄

A。6.2滲透測試過程管理滲透測試過程管理要求包括：a) 測試方應(yīng)針對滲透測試工作各個相關(guān)角色明確定義和職責(zé)分工；b) 測試方應(yīng)針對滲透測試工作各個相關(guān)角色制定明確的操作規(guī)程；c) 測試方應(yīng)針對滲透測試工作的重要及關(guān)鍵操作建立審批流程；d) 委托方應(yīng)對滲透測試方的身份、背景及專業(yè)資質(zhì)進(jìn)行審查，并簽署保密協(xié)議；e) 試時間計劃和測試人員信息等；f) 委托方和測試方均應(yīng)設(shè)置緊急聯(lián)系人,以便必要時進(jìn)行溝通；g) 透測試相關(guān)方同步；h) 按照規(guī)定處理；DB21/T

3660—2022i)

B

中的漏洞報告樣例針對所發(fā)現(xiàn)的問題按需逐個提交漏洞報告；j) 清除及排查工作；k) 測試方應(yīng)對測試結(jié)果出具正式的滲透測試報告，其中應(yīng)至少包含滲透測試目標(biāo)、人員