xx網(wǎng)站應(yīng)用滲透測試項目技術(shù)方案V20

密級：商業(yè)秘密文檔編號：XX滲透測試項目技術(shù)方案xx信息技術(shù)（北京）股份有限公司2012年10月

目錄1 項目概要 41.1 項目背景 41.2 項目目標 41.3 項目交付 41.4 項目原則 52 測試過程 62.1 客戶書面授權(quán) 62.2 制定實施方案 62.3 風(fēng)險規(guī)避 72.4 信息收集分析 72.5 滲透測試 82.6 取得權(quán)限、提升權(quán)限 82.7 評估報告 9 滲透測試報告 9 整改加固建議 93 網(wǎng)絡(luò)層滲透測試 103.1 門戶網(wǎng)站W(wǎng)EB滲透測試 10 滲透測試范圍 10 滲透測試方法 103.2 系統(tǒng)滲透測試 16 滲透測試范圍 16 滲透測試方法 163.3 滲透測試風(fēng)險規(guī)避措施 194 項目實施方案 224.1 項目實施范圍 224.2 項目實施階段 224.3 項目實施計劃 234.4 保密控制 24 保密承諾 24 場地環(huán)境項目期間內(nèi)的風(fēng)險保密管理規(guī)定 24 文檔材料的風(fēng)險管理辦法 24 離場及項目結(jié)束的風(fēng)險管理辦法 25 例外情況 254.5 項目溝通 25 日常溝通、記錄和備忘錄 25 報告 25 會議 264.6 質(zhì)量管理 28 項目執(zhí)行人員的質(zhì)量職責(zé) 28 質(zhì)量保證過程 294.7 項目人員 305 xx的優(yōu)勢 315.1 工程經(jīng)驗 315.2 技術(shù)積累 315.3 人才優(yōu)勢 316 項目報價 32項目概要項目背景Web應(yīng)用是網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)的集成，為所有用戶提供方便的信息共享和應(yīng)用共享。Web業(yè)務(wù)平臺已經(jīng)在電子商務(wù)、企業(yè)信息化中得到廣泛的應(yīng)用，企業(yè)都紛紛將應(yīng)用架設(shè)在Web平臺上，為客戶提供更為方便、快捷的服務(wù)支持。伴隨著這種趨勢，入侵者也將注意力從以往對傳統(tǒng)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對Web業(yè)務(wù)的攻擊上。根據(jù)Gartner的調(diào)查，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用層而非網(wǎng)絡(luò)層面上。同時，數(shù)據(jù)也顯示，三分之二的Web站點都相當(dāng)脆弱和易受攻擊。為保障xx網(wǎng)站系統(tǒng)對外服務(wù)的安全，xx公司將根據(jù)具體需求，采用成熟、規(guī)范的測試方法和工具對xx的網(wǎng)站應(yīng)用進行滲透測試評估，以及時發(fā)現(xiàn)存在的問題，提出恰當(dāng)?shù)母倪M建議，為xx網(wǎng)站應(yīng)用安全提供保障。項目目標針對本次項目，xx主要通過滲透測試的方式，發(fā)現(xiàn)和總結(jié)xx網(wǎng)站應(yīng)用中可能面臨的各類安全風(fēng)險，并提出針對性的安全改進建議。項目交付通過本次網(wǎng)站應(yīng)用滲透測試項目，xx將為xx交付以下成果：《網(wǎng)站應(yīng)用安全滲透測試報告》系列報告本報告詳細記錄本次滲透測試的過程、方法、測試結(jié)果及結(jié)果分析等內(nèi)容。《網(wǎng)站應(yīng)用安全掃描檢測報告》系列報告本報告主要依據(jù)工具掃描的結(jié)果對網(wǎng)站系統(tǒng)存在的安全問題予以描述并提出解決建議。項目原則xx在項目實施全過程將遵循以下項目原則：規(guī)范性原則：在項目實施過程中，xx的工作團隊采用規(guī)范、統(tǒng)一的標準化工作流程和工作方式；項目文檔化遵循xx的文檔規(guī)范，文檔的設(shè)計將依照國際、國內(nèi)及行業(yè)內(nèi)部的相關(guān)成熟標準和最佳實踐?？煽匦栽瓌t：項目實施過程中所采用的工具、方法和過程要經(jīng)xx的認可，確保項目進度的推進，保證本次項目的可控性。最小影響原則：項目實施應(yīng)盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運行，不能對現(xiàn)有網(wǎng)絡(luò)的運行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響(包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷等)。保密原則：對服務(wù)過程中的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密，未經(jīng)授權(quán)不泄露給任何單位和個人，不利用此數(shù)據(jù)進行任何侵害xx的行為。測試過程客戶書面授權(quán)合法性即客戶書面授權(quán)委托，并同意實施方案是進行滲透測試的必要條件。滲透測試首先必須將實施方法、實施時間、實施人員等具體的實施方案提交給客戶，并得到客戶的相應(yīng)書面委托和授權(quán)。本次書面授權(quán)應(yīng)該做到xx對滲透測試所有細節(jié)和風(fēng)險都知曉，所有過程都在xx的控制下進行。這也是專業(yè)滲透測試服務(wù)與黑客攻擊的本質(zhì)不同。制定實施方案實施方案應(yīng)當(dāng)由我方與xx相關(guān)技術(shù)人員進行溝通協(xié)商。調(diào)查了解客戶對測試的基本接受情況。內(nèi)容包括但不限于如下：目標系統(tǒng)介紹、重點保護對象及特性。是否允許數(shù)據(jù)破壞？是否允許阻斷業(yè)務(wù)正常運行？測試之前是否應(yīng)當(dāng)知會相關(guān)部門接口人？接入方式？外網(wǎng)和內(nèi)網(wǎng)？測試是發(fā)現(xiàn)問題就算成功，還是盡可能的發(fā)現(xiàn)多的問題？滲透過程是否需要考慮社會工程？在對客戶具體情況充分了解的前提下，制定相應(yīng)的測試流程，安全評估步驟如下：風(fēng)險規(guī)避滲透時間和策略為減輕滲透測試對網(wǎng)絡(luò)和主機的影響，滲透測試時間應(yīng)盡量安排在業(yè)務(wù)量不大的時段或晚上。為了防止?jié)B透測試造成網(wǎng)絡(luò)和主機的業(yè)務(wù)中斷，在滲透測試中不應(yīng)使用拒絕服務(wù)等策略。系統(tǒng)備份和恢復(fù)為了防止在滲透測試過程中出現(xiàn)意外情況，所有評估系統(tǒng)最好在被評估之前做一次完整的系統(tǒng)備份，以便在系統(tǒng)發(fā)生災(zāi)難后及時恢復(fù)。在滲透測試過程中，如果被評估系統(tǒng)沒有響應(yīng)或中斷，應(yīng)立即停止測試工作，與客戶人員配合一起分析情況。確定原因后，及時恢復(fù)系統(tǒng)，并采取必要的預(yù)防措施，確保對系統(tǒng)沒有影響，并經(jīng)客戶同意后才可繼續(xù)進行。溝通在測試實施過程中，測試人員和客戶方人員應(yīng)當(dāng)建立直接溝通渠道，并在出現(xiàn)難題的時候保持合理溝通。信息收集分析信息收集是每一個滲透攻擊的前提，通過信息收集可以有針對性的制定模擬攻擊測試計劃，提高模擬攻擊的成功率，同時還可以有效降低攻擊測試對系統(tǒng)正常運行的不利影響。工具收集分析使用nslookup.exe，superscan，x-scan，tracert，namp等探測收集目標主機環(huán)境及其所在的網(wǎng)絡(luò)環(huán)境。使用極光、榕基等漏洞掃描器，對目標網(wǎng)絡(luò)中的主機進行漏洞掃描，并對掃描結(jié)果進行分析。使用ethereal、snifferpro等工具嗅探分析目標網(wǎng)絡(luò)數(shù)據(jù)和私有協(xié)議交互。手工收集分析對目標主機環(huán)境及其所在網(wǎng)絡(luò)環(huán)境，在工具分析基礎(chǔ)上進行手工深入分析。判斷是否存在遠程利用漏洞和可以利用的敏感信息。其他手段收集分析可以由客戶提供一些特定的資料，以便于我們查找漏洞?；蛘呃蒙鐣こ虒W(xué)或木馬、間諜軟件等收集有用信息。滲透測試根據(jù)客戶設(shè)備范圍和項目時間計劃，并結(jié)合前一步信息收集得到的設(shè)備存活情況、網(wǎng)絡(luò)拓撲情況以及掃描得到的服務(wù)開放情況、漏洞情況制定計劃，確定無誤后實施。攻擊手段大概有以下幾種：主機存在重大安全問題，可以遠程獲取權(quán)限。但是這種可能性不大。應(yīng)用系統(tǒng)存在安全問題，如SSH系統(tǒng)可能存在溢出、脆弱口令等問題，嚴重的可以獲取系統(tǒng)權(quán)限，輕則獲取普通控制權(quán)限。網(wǎng)絡(luò)通信中存在加密薄弱或明文口令。同網(wǎng)段或信任主機中存在脆弱主機，通過sniffer監(jiān)聽目標服務(wù)器遠程口令。取得權(quán)限、提升權(quán)限通過初步的信息收集分析和攻擊，存在兩種可能，一種是目標系統(tǒng)存在重大安全弱點，測試可以直接控制目標系統(tǒng)，但是可能性很小；另一種是目標系統(tǒng)沒有遠程重大的安全弱點，但是可以獲得普通用戶權(quán)限，這時可以通過普通用戶權(quán)限進一步收集目標系統(tǒng)信息，并努力獲取超級用戶權(quán)限。評估報告評估結(jié)束后根據(jù)分析狀況,描述弱點，改進建議，措施，解決方案，整理完成《滲透測試報告》和《整改加固建議》。滲透測試報告《滲透測試報告》將會詳細的說明滲透測試過程中得到的數(shù)據(jù)和信息以及弱點。整改加固建議《整改加固建議》根據(jù)滲透測試過程中發(fā)現(xiàn)的安全問題提供改進建議。網(wǎng)絡(luò)層滲透測試本次測試嚴格按照攻擊者的步驟：攻擊載體、利用點、入侵手段與方法、造成后果與達到的目的可將典型情況總結(jié)，如下圖：注：圖中相鄰子框按箭頭順序都是一對多的門戶網(wǎng)站W(wǎng)EB滲透測試門戶網(wǎng)站服務(wù)的對象是所有互聯(lián)網(wǎng)用戶，其風(fēng)險和影響最大，如果出現(xiàn)網(wǎng)站被攻陷或網(wǎng)頁被篡改等情況，可能會造成較大的社會或政治影響，因此需要專門針對xx的門戶網(wǎng)站進行WEB滲透測試。滲透測試范圍本次xx網(wǎng)站應(yīng)用滲透測試項目實施范圍包括10個自建網(wǎng)站及40個下屬單位網(wǎng)站。滲透測試方法WEB服務(wù)器漏洞利用通過被披露的各種服務(wù)器操作系統(tǒng)及應(yīng)用軟件（或模塊）的安全漏洞，利用這些漏洞及相關(guān)工具對WEB服務(wù)器和網(wǎng)站及其應(yīng)用進行漏洞利用測試。SQL注入對網(wǎng)站應(yīng)用程序的輸入數(shù)據(jù)進行合法性檢查，對客戶端參數(shù)中包含的某些特殊內(nèi)容進行不適當(dāng)?shù)奶幚?，進行預(yù)判。SQL語句注入：通過向提交給應(yīng)用程序的輸入數(shù)據(jù)中“注入”某些特殊SQL語句，最終可能獲取、篡改、控制網(wǎng)站服務(wù)器端數(shù)據(jù)庫中的內(nèi)容。SQLInjection定義所謂SQLInjection，就是通過向有SQL查詢的WEB程序提交一個精心構(gòu)造的請求，從而突破了最初的SQL查詢限制，實現(xiàn)了未授權(quán)的訪問或存取。SQLInjection原理隨著WEB應(yīng)用的復(fù)雜化，多數(shù)WEB應(yīng)用都使用數(shù)據(jù)庫作為后臺，WEB程序接受用戶參數(shù)作為查詢條件，即用戶可以在某種程度上控制查詢的結(jié)果，如果WEB程序?qū)τ脩糨斎脒^濾的比較少，則入侵者就可能提交一些特殊的參數(shù)，而這些參數(shù)可以使該查詢語句按照自己的意圖來運行，這往往是一些未授權(quán)的操作，這樣只要組合后的查詢語句在語法上沒有錯誤，則就會被執(zhí)行。SQLInjection危害SQLInjection的危害主要包括：露敏感信息提升WEB應(yīng)用程序權(quán)限操作任意文件執(zhí)行任意命令SQLInjection技巧利用SQLInjection的攻擊技巧主要有如下幾種：邏輯組合法：通過組合多種邏輯查詢語句，獲得所需要的查詢結(jié)果。錯誤信息法：通過精心構(gòu)造某些查詢語句，使數(shù)據(jù)庫運行出錯，錯誤信息中包含了敏感信息。有限窮舉法：通過精心構(gòu)造查詢語句，可以快速窮舉出數(shù)據(jù)庫中的任意信息。移花接木法：利用數(shù)據(jù)庫已有資源，結(jié)合其特性立刻獲得所需信息。預(yù)防手段要做到預(yù)防SQLInjection，數(shù)據(jù)庫管理員（MSSQLServer）應(yīng)做到：應(yīng)用系統(tǒng)使用獨立的數(shù)據(jù)庫帳號，并且分配最小的庫，表以及字段權(quán)限禁止或刪除不必要的存儲過程必須使用的存儲過程要分配合理的權(quán)限屏蔽數(shù)據(jù)庫錯誤信息WEB程序員則應(yīng)做到：對用戶輸入內(nèi)容進行過濾（‘，“--#%09%20）對用戶輸入長度進行限制注意查詢語句書寫技巧XSS跨站腳本攻擊通過跨站腳本的方式對門戶網(wǎng)站系統(tǒng)進行測試?？缯灸_本是一種向其他Web用戶瀏覽頁面插入執(zhí)行代碼的方法。網(wǎng)站服務(wù)器端應(yīng)用程序如果接受客戶端提交的表單信息而不加驗證審核，攻擊者很可能在其中插入可執(zhí)行腳本的代碼，例如JavaScript、VBScript等，如果客戶端提交的內(nèi)容不經(jīng)過濾地返回給任意訪問該網(wǎng)站的客戶端瀏覽器，其中嵌入的腳本代碼就會以該網(wǎng)站服務(wù)器的可信級別被客戶端瀏覽器執(zhí)行。漏洞成因是因為WEB程序沒有對用戶提交的變量中的HTML代碼進行過濾或轉(zhuǎn)換。漏洞形式這里所說的形式，實際上是指WEB輸入的形式，主要分為兩種：顯示輸入隱式輸入其中顯示輸入明確要求用戶輸入數(shù)據(jù)，而隱式輸入則本來并不要求用戶輸入數(shù)據(jù)，但是用戶卻可以通過輸入數(shù)據(jù)來進行干涉。顯示輸入又可以分為兩種：輸入完成立刻輸出結(jié)果輸入完成先存儲在文本文件或數(shù)據(jù)庫中，然后再輸出結(jié)果注意：后者可能會讓你的網(wǎng)站面目全非!而隱式輸入除了一些正常的情況外，還可以利用服務(wù)器或WEB程序處理錯誤信息的方式來實施。漏洞危害比較典型的危害包括但不限于：獲取其他用戶Cookie中的敏感數(shù)據(jù)屏蔽頁面特定信息偽造頁面信息拒絕服務(wù)攻擊突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等其它一般來說，上面的危害還經(jīng)常伴隨著頁面變形的情況。而所謂跨站腳本執(zhí)行漏洞，也就是通過別人的網(wǎng)站達到攻擊的效果，也就是說，這種攻擊能在一定程度上隱藏身份。解決方法要避免受到跨站腳本執(zhí)行漏洞的攻擊，需要程序員和用戶兩方面共同努力，程序員應(yīng)過濾或轉(zhuǎn)換用戶提交數(shù)據(jù)中的所有HTML代碼，并限制用戶提交數(shù)據(jù)的長度；而用戶方則不要輕易訪問別人提供的鏈接，并禁止瀏覽器運行JavaScript和ActiveX代碼。CRLF注入CRLF注入攻擊并沒有像其它類型的攻擊那樣著名。但是，當(dāng)對有安全漏洞的應(yīng)用程序?qū)嵤〤RLF注入攻擊時，這種攻擊對于攻擊者同樣有效，并且對用戶造成極大的破壞。充分檢測應(yīng)用程序在數(shù)據(jù)執(zhí)行操作之前，對任何不符合預(yù)期的數(shù)據(jù)類型的字符過濾是否符合要求。XPath注入XPath注入攻擊是指利用XPath解析器的松散輸入和容錯特性，能夠在URL、表單或其它信息上附帶惡意的XPath查詢代碼，以獲得權(quán)限信息的訪問權(quán)并更改這些信息。XPath注入攻擊是針對Web服務(wù)應(yīng)用新的攻擊方法，它允許攻擊者在事先不知道XPath查詢相關(guān)知識的情況下，通過XPath查詢得到一個XML文檔的完整內(nèi)容。COOKIE操縱瀏覽器與服務(wù)器之間的會話信息通常存儲在Cookie或隱藏域中，通過修改這些會話參數(shù)，來對控制會話進行測試。參數(shù)操控一般發(fā)生在數(shù)據(jù)傳輸之前，因此SSL中的加密保護通常并不能解決這個問題。Cookie欺騙：修改或偽造Cookie，達到入侵目的。GoogleHacking使用google中的一些語法可以提供給我們更多的WEB網(wǎng)站信息，通過在搜索引擎中搜索WEB網(wǎng)站可能存在的敏感信息，獲取有利用價值的攻擊線索，并進行滲透測試攻擊。暴力猜解對于采用口令進行用戶認證的應(yīng)用，將使用工具進行口令猜測以獲取用戶帳號/密碼，口令猜測使用字典攻擊和蠻力攻擊。木馬植入對網(wǎng)站進行信息收集，查找是否存在安全漏洞，是否可以利用漏洞上傳一個后門程序以取得WEBSHELL，修改頁面植入木馬，對所有訪問者進行木馬攻擊。病毒與木馬檢查根據(jù)本次滲透測試范圍要求對系統(tǒng)進行木馬檢查，檢查系統(tǒng)是否感染病毒和木馬。此次檢測如系統(tǒng)存在病毒或木馬，我方將和xx程師在第一時間進行徹底的查殺和清除，并將檢查結(jié)果進行匯總分析，形成報告。病毒木馬檢查主要內(nèi)容包括：啟動項分析；隱藏文件、內(nèi)核檢測；網(wǎng)絡(luò)異常連接檢測；惡意文件掃描；注冊表分析；清除惡意文件；修復(fù)系統(tǒng)；其他項；溢出攻擊通過前期資料收集掌握的網(wǎng)站程序及各種支撐中間件進行分析、總結(jié)，利用工具與工程經(jīng)驗結(jié)合的方式對網(wǎng)站運營支撐的各種應(yīng)用程序和中間件進行緩沖區(qū)溢出攻擊測試，發(fā)現(xiàn)存在溢出的程序，充分保障網(wǎng)站安全運行。后門利用工具對信息系統(tǒng)進行徹底掃描，對異常進程、網(wǎng)絡(luò)異常連接、異常流量、啟動項等進行深入分析，查找系統(tǒng)是否存在后門。欺騙實時監(jiān)控網(wǎng)絡(luò)情況，對諸如網(wǎng)絡(luò)釣魚和其他虛假網(wǎng)站形成實時跟蹤機制，及時發(fā)現(xiàn)欺騙行為，通過安全上報機制及時報告并協(xié)助加強安全防范。通過搜索引擎對疑似釣魚網(wǎng)站和錯誤鏈接進行風(fēng)險排查，對重點可疑網(wǎng)站進行深度負面分析。一旦發(fā)現(xiàn)有假冒站點出現(xiàn)，便立刻向相關(guān)管理機構(gòu)舉報，關(guān)閉該虛假站點。通過這種方式，大力防范了釣魚網(wǎng)站對客戶的欺騙和攻擊，及時抑制了欺騙對客戶利益的損害，為客戶打造了安全可靠的互聯(lián)網(wǎng)環(huán)境，有效消除了客戶疑慮，大大增強了客戶信心。系統(tǒng)滲透測試采用“黑盒”和“白盒”兩種方式對xx的系統(tǒng)從應(yīng)用層、網(wǎng)絡(luò)層和系統(tǒng)層等方面進行滲透。滲透測試范圍本次xx網(wǎng)站應(yīng)用滲透測試項目實施范圍包括10個自建網(wǎng)站及40個下屬單位網(wǎng)站。滲透測試方法“黑盒”滲透測試在只了解滲透對象的情況下，從互聯(lián)網(wǎng)和xx下各個安全域接入點位置從“內(nèi)”“外”兩個方向分別對各個系統(tǒng)進行滲透。通常這類測試的最初信息來自于DNS、Web、Email及各種公開對外的服務(wù)器。“白盒”滲透測試在黑盒滲透測試完畢后，結(jié)合xx提供的網(wǎng)絡(luò)拓撲、IP地址信息、網(wǎng)絡(luò)設(shè)備和主機設(shè)備類型、代碼片段等信息，重新制定滲透測試方案，有針對性的對網(wǎng)絡(luò)和主機設(shè)備進行滲透測試。這類測試的主要目的是模擬組織內(nèi)部雇員的越權(quán)操作，和預(yù)防萬一組織重要信息泄露，網(wǎng)絡(luò)黑客能利用這些信息對組織構(gòu)成的危害。已知漏洞攻擊通過被披露的操作系統(tǒng)及應(yīng)用軟件（或模塊）的安全漏洞，利用這些漏洞及相關(guān)工具對網(wǎng)站及其應(yīng)用進行測試。針對操作系統(tǒng)已知漏洞的攻擊。針對應(yīng)用軟件（包括Web服務(wù)器和應(yīng)用服務(wù)器等）已知漏洞的攻擊?？诹畈陆鈱τ诓捎每诹钸M行用戶認證的應(yīng)用，將使用工具進行口令猜測以獲取用戶帳號/密碼，口令猜測使用字典攻擊和蠻力攻擊。指令注入對網(wǎng)站應(yīng)用程序的輸入數(shù)據(jù)進行合法性檢查，對客戶端參數(shù)中包含的某些特殊內(nèi)容進行不適當(dāng)?shù)奶幚?，進行預(yù)判。具體方法主要為：SQL語句注入隱蔽命令執(zhí)行遍歷目錄/文件緩沖區(qū)溢出攻擊異常處理當(dāng)應(yīng)用程序中的方法調(diào)用出現(xiàn)故障時，應(yīng)用程序進行哪些操作？顯示了多少？是否返回友好的錯誤信息給最終用戶？是否把有價值的異常信息傳遞回調(diào)用者？應(yīng)用程序的故障是否適當(dāng)。后門利用工具對信息系統(tǒng)進行徹底掃描，對異常進程、網(wǎng)絡(luò)異常連接、異常流量、啟動項等進行深入分析，查找系統(tǒng)是否存在后門。病毒與木馬檢查根據(jù)本次滲透測試范圍要求對系統(tǒng)進行木馬檢查，檢查系統(tǒng)是否感染病毒和木馬。此次檢測如系統(tǒng)存在病毒或木馬，我方將和xx程師在第一時間進行徹底的查殺和清除，并將檢查結(jié)果進行匯總分析，形成報告。病毒木馬檢查主要內(nèi)容包括：啟動項分析；隱藏文件、內(nèi)核檢測；網(wǎng)絡(luò)異常連接檢測；惡意文件掃描；注冊表分析；清除惡意文件；修復(fù)系統(tǒng)；其他項；溢出攻擊通過前期資料收集掌握的系統(tǒng)運行的各種應(yīng)用程序進行分析、總結(jié)，利用工具與工程經(jīng)驗結(jié)合的方式對各種應(yīng)用程序進行緩沖區(qū)溢出攻擊測試，發(fā)現(xiàn)存在溢出的程序，充分信息系統(tǒng)安全運行。審核及日志記錄審核和日志記錄指應(yīng)用程序如何記錄與安全相關(guān)的事件，確保網(wǎng)站系統(tǒng)日志功能已開啟，并被管理員經(jīng)常審核，許多攻擊行為在Web系統(tǒng)日志中均能找到一些蛛絲馬跡，通過對網(wǎng)站系統(tǒng)日志的審計發(fā)現(xiàn)一些潛在的或已實施的攻擊行為。滲透測試風(fēng)險規(guī)避措施滲透測試過程的最大的風(fēng)險在于測試過程中對業(yè)務(wù)產(chǎn)生影響，為此我們在本項目采取以下措施來減小風(fēng)險：在滲透測試中不使用含有拒絕服務(wù)的測試策略。滲透測試時間盡量安排在業(yè)務(wù)量不大的時段或者晚上。在滲透測試過程中如果出現(xiàn)被評估系統(tǒng)沒有響應(yīng)的情況，應(yīng)當(dāng)立即停止測試工作，與xx相關(guān)人員一起分析情況，在確定原因后，并待正確恢復(fù)系統(tǒng)，采取必要的預(yù)防措施（比如調(diào)整測試策略等）之后，才可以繼續(xù)進行。xx測試者會與xx系統(tǒng)和安全管理人員保持良好溝通。隨時協(xié)商解決出現(xiàn)的各種難題。滲透測試部分工具介紹該部分簡要介紹滲透測試過程中可能使用到的工具，如果滲透測試中使用到別的工具不再另行說明。信息收集工具Nslookup：用于使用DNS查詢的手段對被測網(wǎng)段主機進行DNS查詢，并收集相應(yīng)的主機名、DNS名。Whois：進行NIC查詢工具，了解被測網(wǎng)絡(luò)的相關(guān)信息。Tracert：進行路由查詢，了解路由路徑。判斷網(wǎng)絡(luò)鏈路和防火墻的相關(guān)情況。網(wǎng)絡(luò)掃描工具DUMPSec：枚舉Windows系統(tǒng)信息，包括用戶組、注冊表、打印和文件共享等信息。Firewalk：該工具用于檢測被測網(wǎng)絡(luò)邊界安全設(shè)備、包轉(zhuǎn)發(fā)設(shè)備的訪問控制策略及網(wǎng)絡(luò)路徑等。LANguardNetworkScanner：可用于對被測網(wǎng)絡(luò)的端口進行掃描并探測操作系統(tǒng)指紋，通過NetBIOS查詢獲取主機信息。Nmap：功能強大的開放源代碼端口掃描工具，可以通過多種掃描方式對目標系統(tǒng)的開放端口和服務(wù)進行掃描。Solarwinds：一套網(wǎng)絡(luò)管理工具集合，包含了大量的網(wǎng)絡(luò)管理和信息發(fā)現(xiàn)工具。SuperScan：一個圖形界面的端口掃描工具，可以快速的對開放端口進行掃描并探測主機存活情況，并帶有DNS查詢功能。漏洞檢測工具Nessus：是一個免費的網(wǎng)絡(luò)安全評估軟件，功能強大且更新極快。該系統(tǒng)被設(shè)計為客戶機/服務(wù)器模式，服務(wù)器端負責(zé)進行安全檢查，客戶端用來配置管理服務(wù)器端?？梢詫W(wǎng)絡(luò)和主機存在的安全漏洞進行掃描，檢查的結(jié)果可以使用HTML、純文本、XML、LaTeX等格式保存。SARA：這是一個免費的網(wǎng)絡(luò)安全評估軟件，可以對網(wǎng)絡(luò)和主機存在的安全漏洞進行掃描。口令破解工具JohntheRipper：主要用于破解UNIX系統(tǒng)口令，但是該工具也支持多種HASH加密的口令破解。L0phtCrack用于WindowsNT、2000和XP的口令破解。網(wǎng)絡(luò)嗅探工具Dsniff：可以收集網(wǎng)絡(luò)中的機密信息，例如口令、電子郵件等，在滲透測試中，該工具還可用于中間人攻擊。Ethereal：可以在網(wǎng)絡(luò)中被動的收集網(wǎng)絡(luò)中的傳輸數(shù)據(jù)，并支持對數(shù)據(jù)進行細節(jié)分析，了解數(shù)據(jù)報文內(nèi)容。無線網(wǎng)絡(luò)測試工具Kismet：無線網(wǎng)絡(luò)嗅探工具，支持大量無線網(wǎng)卡。Netstumbler：用于檢測網(wǎng)絡(luò)中存在的無線接入點。WEPCrack：可以支持對WEP加密進行破解。其他WEB及數(shù)據(jù)庫測試工具包括部分公開及私有的WEB及數(shù)據(jù)庫測試工具。項目實施方案項目實施范圍本次xx網(wǎng)站應(yīng)用滲透測試項目實施范圍包括10個自建網(wǎng)站及40個下屬單位網(wǎng)站。項目實施階段本項目實施總體過程主要劃分為以下三個階段:第一階段：項目準備階段此階段的主要工作是召開項目啟動會、深入了解網(wǎng)站結(jié)構(gòu)、對測試報告的結(jié)構(gòu)進行討論整理，與此同時需要在此階段完成網(wǎng)站測試過程中出現(xiàn)突發(fā)情況的應(yīng)急預(yù)案并對應(yīng)急預(yù)案在測試前進行演練；第二階段：滲透測試階段此階段的主要工作是完成滲透測試的操作工作，包括在測試前備份系統(tǒng)信息和關(guān)閉不必要的服務(wù)、低級漏洞檢測、高級漏洞檢測和對潛在的安全隱患進行檢測；第三階段：報告編制階段此階段的主要工作是對測試過程中產(chǎn)生的數(shù)據(jù)和資料進行整理并按照項目準備階段制定的報告結(jié)構(gòu)來編制測試報告、同時對已經(jīng)發(fā)現(xiàn)的安全隱患出具加固方案，在每一個報告提交之前均需與xx方面進行充分討論和溝通；項目實施計劃項目實施階段實施工作內(nèi)容實施周期（工作日）項目準備階段調(diào)研核實項目范圍；確認項目實施方法；確定項目成果展現(xiàn)方式；召開項目啟動會；簽訂保密協(xié)議3天滲透測試階段對網(wǎng)站系統(tǒng)進行工具掃描；對網(wǎng)站系統(tǒng)進行滲透測試；30天報告編制階段編制滲透測試報告編制應(yīng)用掃描報告報告交付并講解15天保密控制為保障xx的信息保密工作，通過如下控制措施，加強風(fēng)險保密工作。保密承諾所有參與xx項目的xx顧問都要簽訂《保密承諾》，并交xx統(tǒng)一存檔。場地環(huán)境項目期間內(nèi)的風(fēng)險保密管理規(guī)定所有進入xx工作場地的實施人員，均應(yīng)遵守雙方協(xié)定風(fēng)險保密規(guī)定。確保在場地環(huán)境內(nèi)信息的風(fēng)險傳遞。文檔材料的風(fēng)險管理辦法對需要xx提供的文檔資料，xx提交《文檔調(diào)用單》給xx接口人，在調(diào)用單規(guī)定期限內(nèi)，xx方應(yīng)當(dāng)提供要求的文檔資料。文檔調(diào)用單上，明確文檔申請人，文檔使用人員等涉及此文檔的人員。對紙質(zhì)文檔，統(tǒng)一保管在指定的文件柜里。使用完后返還給xx提供方，并填寫《文檔調(diào)用單》的交回部分。對電子文檔，傳遞通過xx方接口人指定的U盤，保存在文檔申請人及使用人員的筆記本上，或指定的計算機上。項目組筆記本電腦的應(yīng)設(shè)風(fēng)險級別高的口令。離場及項目結(jié)束的風(fēng)險管理辦法xx項目組在項目離場時，筆記本交由xx專人清理后方可帶出。所有本地提供的紙質(zhì)文檔，在項目結(jié)束的事后，都要返給xx提供方，并填寫《文檔調(diào)用單》的交回部分。例外情況遇到未列明的涉及保密方面的例外情況，雙方就個案單獨洽談，由項目領(lǐng)導(dǎo)小組簽字確認。項目溝通在本項目中，將采用一些正規(guī)的項目溝通程序，保證參與項目的各方能夠保持對項目的了解和支持。這些管理和溝通措施將對項目過程的質(zhì)量和結(jié)果的質(zhì)量具有重要的作用。日常溝通、記錄和備忘錄鼓勵項目參加各方在項目進行過程中隨時對相關(guān)問題進行溝通。所有重要的、有主題的日常溝通活動都應(yīng)留下記錄或形成備忘錄。日常溝通的主要渠道包括：非正式會議;電話;電子郵件;傳真等。報告各種報告是項目各方互相溝通的最正式的渠道和證據(jù)。一些必備的項目報告包括：項目計劃和進展報告；項目總結(jié)報告；以及在各個階段輸出的項目成果文本等。會議會議是項目管理活動的重要形式，是項目各方進行正式溝通的渠道。.1項目啟動會議項目啟動會議是項目正式啟動和開始的標志，項目啟動會議之后，項目正式開始，項目組從此進入了項目狀態(tài)。此會議的主要工作是宣告項目正式開始，各方的領(lǐng)導(dǎo)闡明對項目的期望和支持，各方就項目組的組織架構(gòu)和工作計劃進行溝通和確認，此會議對項目的后期發(fā)展方向非常重要。參加人員：xx領(lǐng)導(dǎo)和項目組成員xx公司相關(guān)領(lǐng)導(dǎo)和項目成員。過程描述：項目啟動會議的主要包括如下內(nèi)容：介紹項目組織架構(gòu)和成員xx相關(guān)領(lǐng)導(dǎo)講話，闡明對項目的期望和支持xx公司的相關(guān)領(lǐng)導(dǎo)講話，闡明對項目的重視和支持溝通并重復(fù)確認項目實施計劃輸出成果：《xx網(wǎng)站應(yīng)用滲透測試項目啟動會議紀要》此文件將記錄和描述在項目啟動會議中參加各方和相關(guān)人員的情況，作為項目啟動的和進展的重要證據(jù)。.2周例會WeeklyMeeting為確保項目正常進行，項目管理組長每1周舉行一次項目例會，匯報項目進展?fàn)顩r、出現(xiàn)的問題和本周的工作計劃。輸入：項目進展?fàn)顩r信息過程描述：參加人員主要是各方的項目經(jīng)理，可以根據(jù)情況邀請其他項目成員參加。會議可以是正式的面對面會議，也可以是電話會議、網(wǎng)絡(luò)會議等形式。此例會每周召開一次，主要內(nèi)容：項目完成情況匯報，每日主要工作成果匯報；存在的問題及解決辦法分析；本周的工作計劃；對可能的配置管理和變更控制簽署相應(yīng)的文件。輸出成果：《xx網(wǎng)站應(yīng)用滲透測試項目實施進展》該報告將描述本項目在各個階段進展的具體情況，使得項目的各方對項目的進度有全面的了解，促進各方對項目的支持和投入。.3項目階段工作會議在每個項目階段結(jié)束時，都會召開一個正式的項目階段工作會議。該會議對前一個階段進行總結(jié)，對下一個階段進行計劃確認和溝通。輸入：項目進展?fàn)顩r信息過程描述：參加人員主要是各方的項目經(jīng)理，可以根據(jù)情況邀請其他項目成員參加。會議是正式的面對面會議。主要內(nèi)容：項目完成情況匯報；階段工作成果評審存在的問題及解決辦法分析對可能的配置管理和變更控制簽署相應(yīng)的文件下階段的工作計劃確認和溝通輸出成果：《xx網(wǎng)站應(yīng)用滲透測試項目進展報告》項目階段工作評審意見；可能的變更文件。其中，《xx網(wǎng)站應(yīng)用滲透測試項目進展報告》將描述本項目在各個階段進展的具體情況，使得項目的各方對項目的進度有全面的了解，促進各方對項目的支持和投入。.4項目評審會議在項目的具體工作全部結(jié)束后，項目管理組完成內(nèi)部評審，達成一致，會安排項目的相關(guān)各方參加對整個項目的成果和過程的正式評審工作。輸入：最終成果和輸出報告。過程描述參加人員主要是各方的項目經(jīng)理、相關(guān)領(lǐng)導(dǎo)、項目組主要成員，xx邀請的其他專家等，會議是正式的面對面會議。主要內(nèi)容：最終成果和輸出報告講解和匯報項目工作成果評審意見輸出《xx網(wǎng)站應(yīng)用滲透測試項目評審意見》該文檔描述xx的項目評審意見和評價，標志著項目最終評審?fù)ㄟ^。質(zhì)量管理xx在項目管理中非常重視項目質(zhì)量管理、保證，堅決貫徹ISO-9000系列質(zhì)量管理標準。項目執(zhí)行人員的質(zhì)量職責(zé)項目經(jīng)理負責(zé)貫徹公司質(zhì)量方針、目標，執(zhí)行質(zhì)量體系文件的各項有關(guān)規(guī)定和要求，確保評估工作始終處于受控狀態(tài)；積極運用優(yōu)化技術(shù)和可靠性、可維護性、安全性等評估技術(shù)，確保評估滿足質(zhì)量要求。質(zhì)量保證過程技術(shù)操作過程審計為確保安全服務(wù)的過程與預(yù)先定義的項目方案和技術(shù)規(guī)范是一致的，在項目實施過程中要求全程審計，通過對操作記錄的審查發(fā)現(xiàn)實施過程與標準的偏離。服務(wù)結(jié)果的質(zhì)量保證在項目后期，我們根據(jù)質(zhì)量保障要求對服務(wù)結(jié)果進行評價驗收。項目結(jié)果的評價的