渗透测试方案Word文档格式.docx
- 文档编号:15061963
- 上传时间:2022-10-27
- 格式:DOCX
- 页数:10
- 大小:21.60KB
渗透测试方案Word文档格式.docx
《渗透测试方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《渗透测试方案Word文档格式.docx(10页珍藏版)》请在冰豆网上搜索。
※GB/T25000.51-2010《软件工程软件产品质量要与评价(SQuaRE)商业现货(COTS)软件产品的质量要求和测试细则》
※GB/T16260-2006《软件工程产品质量》
※GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》
※GB/T20274-2006《信息系统安全保障评估框架》
※客户提出的测试需求
2.3.测试思路
2.3.1.工作思路
本次系统测试包括功能测试、性能测试、安全测试以及文档测试,本次测试工作将系统测试对象进行控制点划分,依据项目建设要求和相关标准、规范进行项目系统测试,并加强系统各阶段测试和实施过程控制,完善项目目标控制手段。
2.3.2.管理和技术要求
1、管理要求
为了保证本项目系统综合测试的顺利进行,将对项目实施事前评审和测试过程监督测试管理工作,合理分配项目人员负责相应的测试工作。
2、技术要求
为了保证本项目系统测试的顺利进行,在本次测试过程中将采取如下技术要求:
※渗透测试:
验证系统设计的安全性是否满足客户需求。
2.4.人员及设备计划
2.4.1.人员分配
本次测试组织机构和人员分配如下:
项目管理组:
杨方秀
现场测试组:
屈绯颖、王洪斌、
项目文档组:
龚正
质量控制组:
杨方秀、屈绯颖
2.4.2.测试设备
序号
设备或仪器名称
功能描述
数量
产地
备注
1.
TestManager
测试管理
1
IBM
2.
ClearQuest
缺陷跟踪
3.
xscan
用于安全测试的漏洞扫描工具
4.
测试机
2
国产
3.测试范围
检测分类
检测范围
Web网站
SQL注入
XSS跨站脚本
网页挂马
缓冲区溢出
文件上传漏洞
源代码泄露
目录浏览、遍历漏洞
数据库泄露
弱口令
越权访问
会话验证绕过
管理地址泄露
舆论信息检测
中间件漏洞
支付安全验证
其他(如:
写入控制,防止批量添加数据,是否使用验证码等)
SOA服务端
APP源生客户端
组件安全检测
代码安全检测
内存安全检测
数据安全检测
业务安全检测
应用管理检测
服务器
身份鉴别
自主访问控制
强制访问控制
可信路径
安全审计
剩余信息保护
入侵防范
恶意代码防范
资源控制
数据库数据安全
4.测试内容
检测项目
检测子类
类型
扫描测试
渗透测试
当日达
前端SSO单点登录网站
WEB
√
后端SSO单点登录网站
当日达商城4期前台网站
当日达商城3期后台
当日达商城4期后台
砸金蛋活动
砸金蛋后台
一元云购
月月抢神器
滴滴贴膜
快递查询(PC端)
快递查询(移动端)
中国人民不断电
千城通APP
APP
千机团
网站+APP
WEB+APP
进销存
IMS进销存系统
IMS进销存管理工具
品胜云
路由器固件升级后台管理
品胜云3.2(手机版)
品胜云2.0(IPAD版)
品胜云3.3(手机版)
品胜商城1.0
WEB服务
文件上传服务
WebService
当日达商城3期后台服务
千城通APP调用服务
品胜云服务
品胜商城服务
路由器固件升级服务
CentOS6.564bit(3台)
Server
CentOS7.064bit(3台)
WindowsServer2012(2台)
WindowsServer2008(8台)
5.测试方法
针对本次项目的测试范围和内容,我公司采取渗透测试的方法对整体系统进行安全性评估。
5.1.渗透测试原理
渗透测试过程主要依据现今已经掌握的安全漏洞信息,模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试,这里说有的渗透测试行为将在客户的书面明确授权和监督下进行。
5.2.渗透测试的流程
Ø
方案制定:
在获取到业主单位的书面授权许可后,才进行渗透测试的实施。
并且将实施范围、方法、时间、人员等具体的方案与业主单位进行交流,并得到业主单位的认同。
在测试实施之前,会做到让业主单位对渗透测试过程和风险的知晓,使随后的正式测试流程都在业主单位的控制下。
信息收集:
这包括:
操作系统类型指纹收集;
网络拓扑结构分析;
端口扫描和目标系统提供的服务识别等。
可以采用一些商业安全评估系统(如:
ISS、极光等);
免费的检测工具(NESSUS、Nmap等)进行收集
测试实施:
在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:
操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:
Web应用),此阶段如果成功的话,可能获得普通权限。
渗透测试人员可能用到的测试手段有:
扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。
在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。
一旦成功控制一台或多台服务器后,测试人员将利用这些被控制的服务器作为跳板,绕过防火墙或其他安全设备的防护,从而对内网其他服务器和客户端进行进一步的渗透。
此过程将循环进行,直到测试完成。
最后由渗透测试人员清除中间数据。
报告输出:
渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。
内容包括:
具体的操作步骤描述;
响应分析以及最后的安全修复建议
安全复查:
渗透测试完成后,某某协助业主单位对已发现的安全隐患进行修复。
修复完成后,渗透测试工程师对修复的成果再次进行远程测试复查,对修复的结果进行检验,确保修复结果的有效性。
5.3.渗透测试的风险规避
在渗透测试过程中,虽然我们会尽量避免做影响正常业务运行的操作,也会实施风险规避的计策,但是由于测试过程变化多端,渗透测试服务仍然有可能对网络、系统运行造成一定不同程度的影响,严重的后果是可能造成服务停止,甚至是宕机。
比如渗透人员实施系统权限提升操作时,突遇系统停电,再次重启时可能会出现系统无法启动的故障等。
因此,我们会在渗透测试前与业主单位详细讨论渗透方案,并采取如下多条策略来规避渗透测试带来的风险。
时间策略:
为减轻渗透测试造成的压力和预备风险排除时间,一般的安排测试时间在业务量不高的时间段。
测试策略:
为了防范测试导致业务的中断,可以不做一些拒绝服务类的测试。
非常重要的系统不建议做深入的测试,避免意外崩溃而造成不可挽回的损失;
具体测试过程中,最终结果可以由测试人员做推测,而不实施危险的操作步骤加以验证等。
备份策略:
为防范渗透过程中的异常问题,测试的目标系统需要事先做一个完整的数据备份,以便在问题发生后能及时恢复工作。
对于核心业务系统等不可接受可能风险的系统的测试,可以采取对目标副本进行渗透的方式加以实施。
这样就需要完整的复制目标系统的环境:
硬件平台、操作系统、应用服务、程序软件、业务访问等;
然后对该副本再进行渗透测试。
应急策略:
测试过程中,如果目标系统出现无响应、中断或者崩溃等情况,我们会立即中止渗透测试,并配合业主单位技术人员进行修复处理等。
在确认问题、修复系统、防范此故障再重演后,经业主单位方同意才能继续进行其余的测试。
沟通策略:
测试过程中,确定测试人员和业主单位方配合人员的联系方式,便于及时沟通并解决工程中的难点。
5.4.渗透测试的收益
渗透测试是站在实战角度对业主单位指定的目标系统进行的安全评估,可以让业主单位相关人员直观的了解到自己网络、系统、应用中隐含的漏洞和危害发生时可能导致的损失。
通过我们的渗透测试,可以获得如下增益。
安全缺陷:
从黑客的角度发现业主单位安全体系中的漏洞(隐含缺陷),协助业主单位明确目前降低风险的措施,为下一步的安全策略调整指明了方向。
测试报告:
能帮助业主单位以实际案例的形式来说明目前安全现状,从而增加业主单位对信息安全的认知度,提升业主单位人员的风险危机意识,从而实现内部安全等级的整体提升。
交互式渗透测试:
我们的渗透测试人员在业主单位约定的范围、时间内实施测试,而业主单位人员可以与此同时进行相关的检测监控工作,测试自己能不能发现正在进行的渗透测试过程,从中真实的评估自己的检测预警能力。
5.5.渗透测试工具介绍
渗透测试人员模拟黑客入侵攻击的过程中使用的是操作系统自带网络应用、管理和诊断工具、黑客可以在网络上免费下载的扫描器、远程入侵代码和本地提升权限代码以及某某自主开发的安全扫描工具。
这些工具经过全球数以万计的程序员、网络管理员、安全专家以及黑客的测试和实际应用,在技术上已经非常成熟,实现了网络检查和安全测试的高度可控性,能够根据使用者的实际要求进行有针对性的测试。
但是安全工具本身也是一把双刃剑,为了做到万无一失,我们也将针对系统可能出现的不稳定现象提出相应对策,以确保服务器和网络设备在进行渗透测试的过程中保持在可信状态。
6.我公司渗透测试优势
6.1.专业化团队优势
我公司有渗透测试优势专业化的渗透测试团队。
渗透测试服务开展相对较早,经验非常丰富,曾经参与过很多大型网站的渗透测试工作。
渗透测试团队会根据项目的规模有选择性的申请部分漏洞研发团队专家参与到项目中,共同组成临时的渗透测试小组,面向用户提供深层次、多角度、全方位的渗透测试
6.2.深入化的测试需求分析
在渗透测试
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 渗透 测试 方案