渗透测试

1.1渗透测试

对现有网站进行全面渗透测试，利用安全扫描器和渗透测试工具对网络中的重要的服务器、网络设备等进行非破坏性质的模拟黑客攻击，尝试入侵系统并获取系统信息，将入侵过程和技术细节产生进行报告，形成最终的渗透测试报告。并根据渗透测试报告，指导各厂家进行安全加固，并在加固过程中对疑难问题进行解答。当各厂家在规定时间内完成了加固后，我司针对加固成果进行复核，以确认成效。

1.1.1检查内容

对平台的渗透测试涵盖了（但不仅限于）以下的内容：

1.1.2渗透测试工作

1.1.

2.1渗透测试手段

渗透测试可能包括了以下的内容：

（1）技术手段

➢网络信息搜集

➢端口扫描

➢远程溢出

➢口令猜测

➢本地溢出

➢脚本测试

（2）管理手段

➢安全问卷调查

➢安全顾问访谈

➢安全策略分析

➢安全文档审核

上述所列的是渗透测试的全部方式，具体的实施过程中，依据实际条件、安全性考虑、渗透测试的场景选择等决定，应有选择性的采用上述的一种或多种方式。

1.1.

2.2渗透测试路径

由于渗透的目标不同，涉及需要采用的技术手段有一定的差异性，当前中外运网站在外网可访问，我方将从外网进行测试，即采用黑盒测试方式。

外网测试指的是渗透测试工程师完全处于外部网络（如internet公网），模拟对内部状态一无所知的外部攻击者的行为，主要是以黑盒测试的方法论为主导思路。

外网测试情况下，渗透测试工程师仅知道目标系统的URL地址或IP地址。

外网测试的攻击行为包括了：

➢对WEB站点的渗透。

➢对WEB站点关联数据库的渗透。

➢对WEB站点关联主机的渗透。

➢以WEB站点为起点，依赖信任关系，规避防火墙限制，对内网进行扩展攻击。

1.1.

2.3渗透测试目标

一般的渗透测试目标可分为三个阶段：

第一阶段，对应用系统进行模拟攻击，在获得该系统的权限后，不进行数据挖掘，不查找该应用系统的密级资料，仅验证该系统的安全性。

第二阶段，在获得应用系统的权限后，在应用系统的主机、数据库上进行数据挖掘，查找其存储的密级信息。以验证该系统被攻击后，泄露机密信息的可能性。下面所列内容为信息挖掘的范围：

➢数据库中 password、username、e-mail、phone等关键字、相关表。

➢在主机中，搜索“报告”、“工资”、“人力/人事”、“密”等字样的文件，查找foxmail、outlook等邮件安装目录。

➢在服务器上，搜索“SQL*config*”、“spwd.db”、“pwl”、“ssl-conf”、“inbox”、“mdb”、“*.doc”、“*.ppt”、“*.xls”

等文件。

第三阶段，在获得应用系统的权限后，以此为跳板，对其他应用系统、关键数据库或者内网设备，进行扩展攻击。以验证该系统被攻击后，对其他应用系统、网络的影响度。

1.1.

2.4授权

测试授权是进行渗透测试的必要条件。客户方接口人在预知渗透测试所有细节和风险后，对渗透测试工作的认可和支持，并给予书面（一般是以邮件为主）授权。

授权书（或邮件）一般说明需要在什么时候，对什么目标系统进行渗透测试即可。

而渗透测试工程师接到此授权书（或邮件）后，出具相应的实施方案，清晰描述整个测试过程、实施时长、分工界面、风险。

若实施方案得到认可，授权过程即完成。渗透测试工程师就按照实施方案落实相应工作。

1.1.

2.5评估依据

渗透测试过程中，渗透测试工程师采纳以下一种或多种技术手册、文档，对目标系统进行渗透测试：

➢GB 17859-1999 计算机信息系统安全保护等级划分准则

➢GB/T 18336-2001 信息技术安全技术信息技术安全性评估准则（idtISO/IEC 15408：1999）

➢DB31/T272-2002 《计算机信息系统安全测评通用技术规范》

➢OWASP测试指南

1.1.

2.6风险规避

安全专家模拟真正的黑客入侵攻击方法，以人工渗透（外网匿名、外网授权、内网匿名、内网授权）为主，辅助以攻击工具的使用，同时在甲方相应人员的授权和监控下进行，这样保证了整个渗透测试过程都在可以控制和调整的范围之内，因此不会对渗透测试对象造成严重的影响。在渗透测试结束后，安全专家在确认系统保持正常运行状态后方可确认完成此次实施工作。但为了保证渗透测试的顺利进行，仍然需要对渗透测试过程中可能遇到的风险进行规避操作。

1.重要信息备份

需要甲方提供本次渗透测试中重要的主机系统、网络设备或应用系统的IP 地址和主机名。需要甲方在渗透测试实施前准备包含机架位置、管理员密码、监测方式等详细信息，并对主要服务器进行数据备份。

2.选择合适协调人员

甲方需要选择一个与熟悉多个业务情况人员作为渗透测试的总接口人员，

在实施过程中需要保证各业务系统直接维护人员在岗，便于在紧急情况出现时做出判断和协调。

3.时间选择

执行工具扫描评估需要避开接受渗透的业务高峰时段，从而减小评估对业务的影响。建议在晚上业务不繁忙时进行。

4.减缓测试速度

通过减少并发线程来降低被测试系统所承受的压力，在几次测试后得出适中的并发线程后进行测试。

5.危险操作提前知会

凡执行危险操作，需要在操作前与甲方相关负责人人员进行沟通，在得到甲方负责人员确认后才能进行。

6.工具选择

为防止造成真正的攻击，本次渗透性测试项目，我司会严格选择测试工具，杜绝因工具选择不当造成的将病毒和木马植入的情况发生。

7.策略选择

为防止渗透性测试造成网站和系统的服务中断，我司建议在渗透性测试中不使用含有拒绝服务的测试策略。

1.1.

2.7渗透测试流程

下面主要是以流程图的方式展现整个渗透测试过程。流程包括了主流程图、各阶段流程图。