.滲透測(cè)試服務(wù)（一）服務(wù)內(nèi)容滲透測(cè)試服務(wù)：通過定期滲透測(cè)試、工具掃描、風(fēng)險(xiǎn)評(píng)估等服務(wù)，從技術(shù)層面找出公安信息網(wǎng)目標(biāo)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、管理體系等方面的弱點(diǎn)、漏洞與脆弱性，作為進(jìn)行安全優(yōu)化和加固的依據(jù)。（二）服務(wù)方案滲透測(cè)試方案滲透測(cè)試主要是根據(jù)已有的安全漏洞知識(shí)庫，模擬黑客的攻擊方法，檢測(cè)網(wǎng)站、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患和漏洞。具體工作流程如下：測(cè)試方法滲透測(cè)試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵需要利用目

標(biāo)網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測(cè)試也是同樣的道理。以人工滲透為主，輔助以攻擊工具的使用，這樣保證了整個(gè)滲透測(cè)試過程都在可以控制和調(diào)整的范圍之內(nèi)。針對(duì)各應(yīng)用系統(tǒng)的滲透測(cè)試方法包括以下方法但不局限于以下方法：測(cè)試方法描述信息收集信息收集是滲透攻擊的前提，通過信息收集可以有針對(duì)性地制定模擬攻擊測(cè)試計(jì)劃，提高模擬攻擊的成功率，同時(shí)可以有效的降低攻擊測(cè)試對(duì)系統(tǒng)正常運(yùn)行造成的不利影響。信息收集的方法包括端口掃描、操作系統(tǒng)指紋判別、應(yīng)用判別、賬號(hào)掃描、配置判別等。端口掃描通過對(duì)目標(biāo)地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測(cè)試的基礎(chǔ)。通過端口掃描，可以基本確定一個(gè)系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗(yàn)可以確定其可能存在以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)?？诹畈聹y(cè)本階段將對(duì)暴露在公網(wǎng)的所有登陸口進(jìn)行口令猜解的測(cè)試，找出各個(gè)系統(tǒng)可能存在的弱口令或易被猜解的口令。猜解成功后將繼續(xù)對(duì)系統(tǒng)進(jìn)行滲透測(cè)試，挖掘嵌套在登錄口背后的漏洞、尋找新的突破口以及可能泄漏的敏感信息，并評(píng)估相應(yīng)的危害性。猜解的對(duì)象包括：WEB登錄口、FTP端口、數(shù)據(jù)庫端口、遠(yuǎn)程管理端口等。遠(yuǎn)程溢出這是當(dāng)前出現(xiàn)的頻率最高、威脅最嚴(yán)重，同時(shí)又是最容易實(shí)現(xiàn)的一種滲透方法，一個(gè)具有一般網(wǎng)絡(luò)知識(shí)的入侵者就可以在很短的時(shí)間內(nèi)利用現(xiàn)成的工具實(shí)現(xiàn)遠(yuǎn)程溢出攻擊。對(duì)于在防火墻內(nèi)的系統(tǒng)存在同樣的風(fēng)險(xiǎn)，只要對(duì)跨接防火墻內(nèi)外的

一臺(tái)主機(jī)攻擊成功，那么通過這臺(tái)主機(jī)對(duì)防火墻內(nèi)的主機(jī)進(jìn)行攻擊就易如反掌。本地溢出本地溢出是指在擁有了一個(gè)普通用戶的賬號(hào)之后，通過一段特殊的指令代碼獲得管理員權(quán)限的方法。使用本地溢出的前提是首先要獲得一個(gè)普通用戶的密碼。也就是說由于導(dǎo)致本地溢出的一個(gè)關(guān)鍵條件是設(shè)置不當(dāng)?shù)拿艽a策略。多年的實(shí)踐證明，在經(jīng)過前期的口令猜測(cè)階段獲取的普通賬號(hào)登錄系統(tǒng)之后，對(duì)系統(tǒng)實(shí)施本地溢出攻擊，就能獲取不進(jìn)行主動(dòng)安全防御的系統(tǒng)的控制管理權(quán)限。腳本測(cè)試腳本測(cè)試專門針對(duì)Web服務(wù)器進(jìn)行。根據(jù)最新的技術(shù)統(tǒng)計(jì)，腳本安全弱點(diǎn)為當(dāng)前Web系統(tǒng)尤其存在動(dòng)態(tài)內(nèi)容的Web系統(tǒng)存在的主要比較嚴(yán)重的安全弱點(diǎn)之一。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對(duì)于含有動(dòng)態(tài)頁面的Web系統(tǒng)，腳本測(cè)試將是必不可少的一個(gè)環(huán)節(jié)。權(quán)限獲取通過初步信息收集分析，存在兩種可能性，一種是目標(biāo)系統(tǒng)存在重大的安全弱點(diǎn)，測(cè)試可以直接控制目標(biāo)系統(tǒng)；另一種是目標(biāo)系統(tǒng)沒有遠(yuǎn)程重大的安全弱點(diǎn)，但是可以獲得普通用戶權(quán)限，這時(shí)可以通過該普通用戶權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。接下來盡最大努力取得超級(jí)用戶權(quán)限、收集目標(biāo)主機(jī)資料信息，尋求本地權(quán)限提升的機(jī)會(huì)。這樣不停的進(jìn)行信息收集分析、權(quán)限提升的結(jié)果形成了整個(gè)的滲透測(cè)試過程。2.1.2）測(cè)試內(nèi)容本項(xiàng)目滲透測(cè)試包括但不限于以下內(nèi)容：測(cè)試大類測(cè)試項(xiàng)測(cè)試目的身份驗(yàn)證用戶注冊(cè)檢查用戶注冊(cè)功能可能涉及的安全問題

類用戶登錄檢查用戶登錄功能可能涉及的安全問題修改密碼檢查用戶修改密碼功能可能涉及的安全問題密碼重置檢查忘記密碼、找回密碼、密碼重置功能可能涉及的安全問題驗(yàn)證碼繞過檢測(cè)驗(yàn)證碼機(jī)制是否合理，是否可以被繞過用戶鎖定功能測(cè)試用戶鎖定功能相關(guān)的安全問題會(huì)話管理類Cookie重放攻擊檢測(cè)目標(biāo)系統(tǒng)是否僅依靠cookie來確認(rèn)會(huì)話身份，從而易受到cookie回放攻擊會(huì)話令牌分析Cookie具有明顯含義，或可被預(yù)測(cè)、可逆向，可被攻擊者分析出cookie結(jié)構(gòu)會(huì)話令牌泄露測(cè)試會(huì)話令牌是否存在泄露的可能會(huì)話固定攻擊測(cè)試目標(biāo)系統(tǒng)是否存在固定會(huì)話的缺陷跨站請(qǐng)求偽造檢測(cè)目標(biāo)系統(tǒng)是否存在CSRF漏洞訪問控制類功能濫用測(cè)試目標(biāo)系統(tǒng)是否由于設(shè)計(jì)不當(dāng)，導(dǎo)致合法功能非法利用垂直權(quán)限提升測(cè)試可能出現(xiàn)垂直權(quán)限提升的情況水平權(quán)限提升測(cè)試可能出現(xiàn)水平權(quán)限提升的情況輸入處理類SQL注入檢測(cè)目標(biāo)系統(tǒng)是否存在SQL注入漏洞文件上傳檢測(cè)目標(biāo)系統(tǒng)的文件上傳功能是否存在缺陷，導(dǎo)致可以上傳非預(yù)期類型和內(nèi)容的文件任意文件下載檢測(cè)目標(biāo)系統(tǒng)加載/下載文件功能是否可以造成任意文件下載問題XML注入測(cè)試目標(biāo)系統(tǒng)-是否存在XML注入漏洞目錄穿越測(cè)試目標(biāo)系統(tǒng)是否存在目錄穿越漏洞SSRF檢測(cè)目標(biāo)系統(tǒng)是否存在服務(wù)端跨站請(qǐng)求偽造漏洞本地文件包含測(cè)試目標(biāo)站點(diǎn)是否存在LFI漏洞遠(yuǎn)程文件包含測(cè)試目標(biāo)站點(diǎn)是否存在RFI漏洞遠(yuǎn)程命令/代碼執(zhí)行測(cè)試目標(biāo)系統(tǒng)是否存在命令/代碼注入漏洞反射型跨站腳本檢測(cè)目標(biāo)系統(tǒng)是否存在反射型跨站腳本漏洞存儲(chǔ)型跨站腳本檢測(cè)目標(biāo)系統(tǒng)是否存在存儲(chǔ)型跨站腳本漏洞DOM-based跨站腳本檢測(cè)目標(biāo)系統(tǒng)是否存在DOM-based跨站腳本漏洞服務(wù)端URL重定向檢查目標(biāo)系統(tǒng)是否存在服務(wù)端URL重定向漏洞信息泄露類errorcode測(cè)試目標(biāo)系統(tǒng)的錯(cuò)誤處理能力，是否會(huì)輸出詳盡的錯(cuò)誤信息StackTraces測(cè)試目標(biāo)系統(tǒng)是否開啟了StackTraces調(diào)試信息敏感信息盡量收集目標(biāo)系統(tǒng)的敏感信息第三方應(yīng)用類中間件測(cè)試目標(biāo)系統(tǒng)是否存在jboss、weblogic、tomcat等中間件CMS測(cè)試目標(biāo)系統(tǒng)是否存在dedecms、phpcms等CMS測(cè)試方式透測(cè)試服務(wù)根據(jù)測(cè)試的位置不同可以分為現(xiàn)場測(cè)試和遠(yuǎn)程測(cè)試；根據(jù)測(cè)試的方法不同分為黑盒測(cè)試和白盒測(cè)試兩類；現(xiàn)場測(cè)試是指經(jīng)過用戶授權(quán)后，測(cè)試人員到達(dá)用戶工作現(xiàn)場或接入用戶工作內(nèi)網(wǎng)，根據(jù)用戶的期望測(cè)試的目標(biāo)直接接入到用戶的辦公網(wǎng)絡(luò)甚至業(yè)務(wù)網(wǎng)絡(luò)中。這種測(cè)試的好處就在于免去了測(cè)試人員從外部繞過防火墻、入侵保護(hù)等安全設(shè)備的工作。一般用于檢測(cè)內(nèi)部威脅源和路徑。遠(yuǎn)程測(cè)試與現(xiàn)場測(cè)試相反，測(cè)試人員無需到達(dá)客戶現(xiàn)場或接入用戶內(nèi)部網(wǎng)絡(luò)，直接從互聯(lián)網(wǎng)訪問用戶的某個(gè)接入到互聯(lián)網(wǎng)的系統(tǒng)并進(jìn)行測(cè)試即可。這種測(cè)試往往是應(yīng)用于那些關(guān)注門戶站點(diǎn)和互聯(lián)網(wǎng)應(yīng)用的用戶，主要用于檢測(cè)外部威脅源和路徑。黑盒測(cè)試是指測(cè)試人員對(duì)除目標(biāo)系統(tǒng)的IP或域名以外的信息一無所知的情況下對(duì)系統(tǒng)發(fā)起的測(cè)試工作，這種方式可以較好的模擬黑客行為，了解外部惡意用戶可能對(duì)系統(tǒng)帶來的威脅。白盒測(cè)試則是指測(cè)試人員通過用戶授權(quán)獲取了部分信息的情況下進(jìn)行的測(cè)試，如：目標(biāo)系統(tǒng)的帳號(hào)、配置甚至源代碼。這種情況用戶模擬并檢測(cè)內(nèi)部的惡意用戶可能為系統(tǒng)帶來的威脅。交付成果（示例）滲透測(cè)試服務(wù)成果交付包括但不限于：《滲透測(cè)試方案》、《滲透測(cè)試報(bào)告》、《滲透測(cè)試復(fù)測(cè)報(bào)告》。滲透測(cè)試前必須提交《滲透測(cè)試方案》，并經(jīng)用戶方確認(rèn)。滲透測(cè)試后必須編制《滲透測(cè)試報(bào)告》，內(nèi)容至少包括：編號(hào)、用例、過程、工具、路徑、薄弱環(huán)節(jié)（位置、描述）等，通過必要的圖示方式，呈現(xiàn)風(fēng)險(xiǎn)點(diǎn)和風(fēng)險(xiǎn)鏈路視圖。在實(shí)施完現(xiàn)場滲透測(cè)試后，應(yīng)提交相應(yīng)的整改建議，配合用戶方制定整改方案并配置實(shí)施，在完成整改后對(duì)整改結(jié)果是否合規(guī)進(jìn)行復(fù)測(cè)和評(píng)估。在完成回歸測(cè)試服務(wù)后，出具《滲透測(cè)試復(fù)測(cè)報(bào)告》，并經(jīng)過用戶方簽字確認(rèn)。報(bào)告文檔示例如下

文檔信息項(xiàng)目名稱安全檢測(cè)項(xiàng)目文檔名稱安全檢測(cè)項(xiàng)目滲透測(cè)試報(bào)告文檔編號(hào)文件類型項(xiàng)目文檔密級(jí)商業(yè)秘密創(chuàng)建人版本審核人審核日期批準(zhǔn)人批準(zhǔn)日期接收方接收日期保密申明版權(quán)說明文檔修訂版本日期修改人員描述審核人員1.0摘要經(jīng)XX授權(quán)，XX公司于20xx年xx月xx日至20xx年xx月xx日對(duì)XX進(jìn)行了安全滲透測(cè)試。經(jīng)測(cè)試該門戶網(wǎng)站采用XX技術(shù)進(jìn)行開發(fā)部署，測(cè)試過程中發(fā)現(xiàn)多處安全問題需要及時(shí)進(jìn)行修復(fù)。滲透測(cè)試結(jié)果及風(fēng)險(xiǎn)分布圖如下：嚴(yán)重問題：x個(gè)中等問題：x個(gè)輕度問題：x個(gè)安全風(fēng)險(xiǎn)匯總?cè)缦?威脅級(jí)別數(shù)量安全問題名稱嚴(yán)重問題x個(gè)SQL注入x個(gè)任意SQL語句執(zhí)行x個(gè)密碼弱口令x個(gè)敏感信息讀取中等問題x個(gè)文件上傳漏洞

x個(gè)敏感信息泄露輕度問題x個(gè)CSRF跨站偽造請(qǐng)求漏洞類型測(cè)試結(jié)果如下示例：測(cè)試分類測(cè)試項(xiàng)測(cè)試結(jié)果WEB安全SQL注入存在跨站腳本攻擊（XSS）通過XML外部實(shí)體（XXE）注入通過跨站點(diǎn)偽造請(qǐng)求（CSRF）通過服務(wù)器端請(qǐng)求偽造（SSRF）通過任意文件上傳通過任意文件下載或讀取通過任意目錄遍歷通過.svn/.git源代碼泄露通過信息泄露通過CRLF注入通過命令執(zhí)行注入存在URL重定向通過Json劫持通過第三方組件安全通過本地/遠(yuǎn)程文件包含通過任意代碼執(zhí)行存在Struts2遠(yuǎn)程命令執(zhí)行通過Spring遠(yuǎn)程命令執(zhí)行存在反序列化命令執(zhí)行通過業(yè)務(wù)邏輯安全用戶名枚舉通過用戶密碼枚舉通過用戶弱口令通過會(huì)話標(biāo)志固定攻擊存在平行越權(quán)訪問通過垂直越權(quán)訪問通過未授權(quán)訪問通過驗(yàn)證碼缺陷通過中間件安全中間件配置缺陷通過中間件弱口令通過Webloigc反序列化命令執(zhí)行通過Jboss反序列化命令執(zhí)行通過Websphere反序列化命令執(zhí)行通過Jenkins反序列命令執(zhí)行通過JBoss遠(yuǎn)程代碼執(zhí)行通過文件解析代碼執(zhí)行通過

測(cè)試分類測(cè)試項(xiàng)測(cè)試結(jié)果服務(wù)器安全域傳送漏洞通過Redis未授權(quán)訪問通過MangoDB未授權(quán)訪問通過操作系統(tǒng)弱口令通過數(shù)據(jù)庫弱口令通過本地權(quán)限提升通過已存在的腳本木馬通過應(yīng)用防護(hù)軟硬件缺陷通過整體而言，系統(tǒng)在本次滲透測(cè)試實(shí)施期間的安全風(fēng)險(xiǎn)狀況為“嚴(yán)重狀態(tài)”。（系統(tǒng)安全風(fēng)險(xiǎn)狀況等級(jí)的含義及說明詳見附錄A）。項(xiàng)目信息委托單位信息單位名稱XX委托項(xiàng)目名稱XX安全檢測(cè)項(xiàng)目單位地址郵政編碼傳真聯(lián)系人聯(lián)系電話聯(lián)系人E-MAIL測(cè)評(píng)單位信息單位名稱XX單位地址XX單位網(wǎng)址郵政編碼傳真聯(lián)系人聯(lián)系電話聯(lián)系人E-MAIL參與本次測(cè)試小組成員有：項(xiàng)目概述測(cè)試目的通過本項(xiàng)目的成功實(shí)施，在堅(jiān)持科學(xué)、客觀、公正原則的基礎(chǔ)上，全面、完整地了解當(dāng)前XX門戶網(wǎng)站的安全狀況，分析系統(tǒng)所面臨的各種風(fēng)險(xiǎn)，模擬攻擊者可能利用的漏洞，根據(jù)測(cè)試結(jié)果發(fā)現(xiàn)系統(tǒng)存在的安全問題，并對(duì)嚴(yán)重的問題提出加固的建議。本次測(cè)試預(yù)期達(dá)到的目標(biāo)為：發(fā)現(xiàn)授權(quán)滲透測(cè)試目標(biāo)系統(tǒng)的安全漏洞針對(duì)發(fā)現(xiàn)的漏洞提供加固方案及防護(hù)建議測(cè)試范圍本次滲透測(cè)試的范圍如下：序號(hào)名稱備注1XXhttp://123...測(cè)試依據(jù)安全測(cè)試服務(wù)將參考下列規(guī)范進(jìn)行工作。信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范(GB/T20984-2007)信息技術(shù)信息安全管理實(shí)用規(guī)則(GB/T19716-2005)(ISO/IEC17799:2000)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)(ISACA)OWASPOWASP_Testing_Guide_v3OWASPOWASP_Dev