安全性滲透測試測試方案測試方案2020-07-04TOC\o"1-5"\h\z目錄1\o"CurrentDocument"1.測試概述2\o"CurrentDocument"1.1.測試簡介2\o"CurrentDocument"1.2.測試計劃2\o"CurrentDocument"1.2.1.測試內(nèi)容2\o"CurrentDocument"1.2.2.管理和技術(shù)要求2\o"CurrentDocument"2.測試范圍3\o"CurrentDocument"3.測試內(nèi)容5\o"CurrentDocument"4.測試方法6\o"CurrentDocument"4.1.滲透測試原理6\o"CurrentDocument"4.2.滲透測試的流程6\o"CurrentDocument"4.3.滲透測試的風(fēng)險規(guī)避7\o"CurrentDocument"5.我公司滲透測試優(yōu)勢9\o"CurrentDocument"5.1.專業(yè)化團(tuán)隊優(yōu)勢9\o"CurrentDocument"5.2.深入化的測試需求分析9\o"CurrentDocument"5.3.規(guī)范化的滲透測試流程9\o"CurrentDocument"5.4.全面化的滲透測試內(nèi)容91.測試概述1.1.測試簡介本次測試內(nèi)容為滲透測試。滲透測試：是為了證明網(wǎng)絡(luò)防御按照預(yù)期計劃正常運(yùn)行而提供的一種機(jī)制。1.2.測試計劃1.2.1.測試內(nèi)容本次系統(tǒng)測試包括功能測試、性能測試、安全測試以及文檔測試，本次測試工作將系統(tǒng)測試對象進(jìn)行控制點劃分，依據(jù)項目建設(shè)要求和相關(guān)標(biāo)準(zhǔn)、規(guī)范進(jìn)行項目系統(tǒng)測試，并加強(qiáng)系統(tǒng)各階段測試和實施過程控制，完善項目目標(biāo)控制手段。1.2.2.管理和技術(shù)要求1、管理要求為了保證本項目系統(tǒng)綜合測試的順利進(jìn)行，將對項目實施事前評審和測試過程監(jiān)督測試管理工作，合理分配項目人員負(fù)責(zé)相應(yīng)的測試工作。2、技術(shù)要求為了保證本項目系統(tǒng)測試的順利進(jìn)行，在本次測試過程中將采取如下技術(shù)要求：※滲透測試：驗證系統(tǒng)設(shè)計的安全性是否滿足客戶需求。

2.測試范圍檢測分類檢測范圍Web網(wǎng)站SQL注入XSS跨站腳本網(wǎng)頁掛馬緩沖區(qū)溢出文件上傳漏洞源代碼泄露目錄瀏覽、遍歷漏洞數(shù)據(jù)庫泄露弱口令越權(quán)訪問會話驗證繞過管理地址泄露輿論信息檢測中間件漏洞支付安全驗證其他（如：寫入控制，防止批量添加數(shù)據(jù)，是否使用驗證碼等）SOA服務(wù)端SQL注入緩沖區(qū)溢出文件上傳漏洞目錄瀏覽、遍歷漏洞弱口令越權(quán)訪問會話驗證繞過中間件漏洞

其他（如：寫入控制，防止批量添加數(shù)據(jù)，是否使用驗證碼等）小程序客戶端組件安全檢測代碼安全檢測內(nèi)存安全檢測數(shù)據(jù)安全檢測業(yè)務(wù)安全檢測應(yīng)用管理檢測服務(wù)器身份鑒別自主訪問控制強(qiáng)制訪問控制可信路徑安全審計剩余信息保護(hù)入侵防范

3.測試內(nèi)容檢測項目檢測子類類型掃描測試滲透測試智能審核決策平臺小程序小程序VV外網(wǎng)審核平臺ServiceVV外網(wǎng)三方數(shù)據(jù)ServiceVV內(nèi)網(wǎng)審核平臺ServiceVV決策平臺ServiceVV三方數(shù)據(jù)服務(wù)ServiceVV政府?dāng)?shù)據(jù)服務(wù)ServiceVV自動化獲取征信報告ServiceVV4.測試方法針對本次項目的測試范圍和內(nèi)容，我公司采取滲透測試的方法對整體系統(tǒng)進(jìn)行安全性評估。4.1.滲透測試原理滲透測試過程主要依據(jù)現(xiàn)今已經(jīng)掌握的安全漏洞信息，模擬黑客的真實攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測試，這里說有的滲透測試行為將在客戶的書面明確授權(quán)和監(jiān)督下進(jìn)行。4.2.滲透測試的流程A方案制定：在獲取到業(yè)主單位的書面授權(quán)許可后，才進(jìn)行滲透測試的實施。并且將實施范圍、方法、時間、人員等具體的方案與業(yè)主單位進(jìn)行交流，并得到業(yè)主單位的認(rèn)同。在測試實施之前，會做到讓業(yè)主單位對滲透測試過程和風(fēng)險的知曉，使隨后的正式測試流程都在業(yè)主單位的控制下。A信息收集：這包括：操作系統(tǒng)類型指紋收集；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析；端口掃描和目標(biāo)系統(tǒng)提供的服務(wù)識別等?？梢圆捎靡恍┥虡I(yè)安全評估系統(tǒng)（如：ISS等）；免費(fèi)的檢測工具（NESSUS、Nmap等）進(jìn)行收集A測試實施：在規(guī)避防火墻、入侵檢測、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進(jìn)行：操作系統(tǒng)可檢測到的漏洞測試、應(yīng)用系統(tǒng)檢測到的漏洞測試（如：Web應(yīng)用），此階段如果成功的話，可能獲得普通權(quán)限。滲透測試人員可能用到的測試手段有：掃描分析、溢出測試、口令爆破、社會工程學(xué)、客戶端攻擊、中間人攻擊等，用于測試人員順利完成工程。在獲取到普通權(quán)限后，嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對系統(tǒng)的完全控制權(quán)。一旦成功控制一臺或多臺服務(wù)器后，測試人員將利用這些被控制的服務(wù)器作為跳板，繞過防火墻或其他安全設(shè)備的防護(hù)，從而對內(nèi)網(wǎng)其他服務(wù)器和客戶端進(jìn)行進(jìn)一步的滲透。此過程將循環(huán)進(jìn)行，直到測試完成。最后由滲透測試人員清除中間數(shù)據(jù)。＞報告輸出：滲透測試人員根據(jù)測試的過程結(jié)果編寫直觀的滲透測試服務(wù)報告。內(nèi)容包括：具體的操作步驟描述；響應(yīng)分析以及最后的安全修復(fù)建議＞安全復(fù)查：滲透測試完成后，某某協(xié)助業(yè)主單位對已發(fā)現(xiàn)的安全隱患進(jìn)行修復(fù)。修復(fù)完成后，滲透測試工程師對修復(fù)的成果再次進(jìn)行遠(yuǎn)程測試復(fù)查，對修復(fù)的結(jié)果進(jìn)行檢驗，確保修復(fù)結(jié)果的有效性。滲透測試的風(fēng)險規(guī)避在滲透測試過程中，雖然我們會盡量避免做影響正常業(yè)務(wù)運(yùn)行的操作，也會實施風(fēng)險規(guī)避的計策，但是由于測試過程變化多端，滲透測試服務(wù)仍然有可能對網(wǎng)絡(luò)、系統(tǒng)運(yùn)行造成一定不同程度的影響，嚴(yán)重的后果是可能造成服務(wù)停止，甚至是宕機(jī)。比如滲透人員實施系統(tǒng)權(quán)限提升操作時，突遇系統(tǒng)停電，再次重啟時可能會出現(xiàn)系統(tǒng)無法啟動的故障等。因此，我們會在滲透測試前與業(yè)主單位詳細(xì)討論滲透方案，并采取如下多條策略來規(guī)避滲透測試帶來的風(fēng)險。＞時間策略：為減輕滲透測試造成的壓力和預(yù)備風(fēng)險排除時間，一般的安排測試時間在業(yè)務(wù)量不高的時間段。A測試策略：為了防范測試導(dǎo)致業(yè)務(wù)的中斷，可以不做一些拒絕服務(wù)類的測試。非常重要的系統(tǒng)不建議做深入的測試，避免意外崩潰而造成不可挽回的損失；具體測試過程中，最終結(jié)果可以由測試人員做推測，而不實施危險的操作步驟加以驗證等。A備份策略：為防范滲透過程中的異常問題，測試的目標(biāo)系統(tǒng)需要事先做一個完整的數(shù)據(jù)備份，以便在問題發(fā)生后能及時恢復(fù)工作。對于核心業(yè)務(wù)系統(tǒng)等不可接受可能風(fēng)險的系統(tǒng)的測試，可以采取對目標(biāo)副本進(jìn)行滲透的方式加以實施。這樣就需要完整的復(fù)制目標(biāo)系統(tǒng)的環(huán)境：硬件平臺、操作系統(tǒng)、應(yīng)用服務(wù)、程序軟件、業(yè)務(wù)訪問等；然后對該副本再進(jìn)行滲透測試。＞應(yīng)急策略：測試過程中，如果目標(biāo)系統(tǒng)出現(xiàn)無響應(yīng)、中斷或者崩潰等情況，我們會立即中止?jié)B透測試，并配合業(yè)主單位技術(shù)人員進(jìn)行修復(fù)處理等。在確認(rèn)問題、修復(fù)系統(tǒng)、防范此故障再重演后，經(jīng)業(yè)主單位方同意才能繼續(xù)進(jìn)行其余的測試。A溝通策略：測試過程中，確定測試人員和業(yè)主單位方配合人員的聯(lián)系方式，便于及時溝通并解決工程中的難點。5.我公司滲透測試優(yōu)勢5.1.專業(yè)化團(tuán)隊優(yōu)勢我公司有滲透測試優(yōu)勢專業(yè)化的滲透測試團(tuán)隊。滲透測試服務(wù)開展相對較早，經(jīng)驗非常豐富，曾經(jīng)參與過很多大型網(wǎng)站的滲透測試工作。滲透測試團(tuán)隊會根據(jù)項目的規(guī)模有選擇性的申請部分漏洞研發(fā)團(tuán)隊專家參與到項目中，共同組成臨時的滲透測試小組，面向用戶提供深層次、多角度、全方位的滲透測試5.2.深入化的測試需求分析在滲透測試開展前期，會從技術(shù)層面（網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層）著手與用戶進(jìn)行廣泛溝通，對用戶當(dāng)前的一些重要資料進(jìn)行采集、匯總、梳理、掌握，以便為滲透測試工作地開展奠定良好的基礎(chǔ)。除了技術(shù)層面以外，某某也將會根據(jù)用戶滲透測試的目標(biāo)以及提出的需求著重對于用戶的業(yè)務(wù)層面進(jìn)行分析，并且將分析結(jié)果應(yīng)用于滲透測試當(dāng)中，做到明確所有需求的基礎(chǔ)上準(zhǔn)確而深入的貫徹用戶的意圖，將滲透測試的目標(biāo)與業(yè)務(wù)系統(tǒng)連續(xù)性運(yùn)行保障緊密的結(jié)合起來。規(guī)范化的滲透測試流程滲透測試流程分為準(zhǔn)備、滲透以及加固三個基本階段，在每個階段都會生成階段文檔，最終在完成滲透測試整個流程以后將會由項目經(jīng)理將三個階段的文檔進(jìn)行整理、匯總、提交給用戶。并且針對過程中遇到的問題向用戶進(jìn)行匯報。某某提供的滲透測試流程特點就在于將滲透