渗透测试方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

四川品胜安全性渗透测试

成都国信安信息产业基地有限公司二〇一五年十二月

目录

目录 (2)

1.引言 (4)

1.1.项目概述 (4)

2.测试概述 (4)

2.1.测试简介 (4)

2.2.测试依据 (5)

2.3.测试思路 (5)

2.3.1. 工作思路 (5)

2.3.2. 管理和技术要求 (5)

2.4.人员及设备计划 (7)

2.4.1. 人员分配 (7)

2.4.2. 测试设备 (7)

3.测试范围 (8)

4.测试内容 (11)

5.测试方法 (13)

5.1.渗透测试原理 (13)

5.2.渗透测试的流程 (13)

5.3.渗透测试的风险规避 (14)

5.4.渗透测试的收益 (16)

5.5.渗透测试工具介绍 (16)

6.我公司渗透测试优势 (18)

6.1.专业化团队优势 (18)

6.2.深入化的测试需求分析 (18)

6.3.规范化的渗透测试流程 (18)

6.4.全面化的渗透测试内容 (19)

7.后期服务 (20)

1. 引言

1.1. 项目概述

四川品胜品牌管理有限公司,是广东品胜电子股份有限公司的全资子公司。依托遍布全国的5000家加盟专卖店,四川品牌管理有限公司打造了线上线下结合的O2O购物平台——“品胜•当日达”,建立了“线上线下同价”、“千城当日达”、“向日葵随身服务”三大服务体系,为消费者带来便捷的O2O购物体验。

2011年,品胜在成都温江科技工业园建立起国内首座终端客户体验馆,以人性化的互动设计让消费者亲身感受移动电源、数码配件与生活的智能互联,为追求高品质产品性能的用户带来便捷、现代化的操作体验。

伴随业务的发展,原有的网站、系统、APP等都进行了不同程度的功能更新和系统投产,同时,系统安全要求越来越高,可能受到的恶意攻击包括:信息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、APT攻击等。这些攻击完全能造成信息系统瘫痪、重要信息流失。

2. 测试概述

2.1. 测试简介

本次测试内容为渗透测试。

渗透测试:是为了证明网络防御按照预期计划正常运行而提供的一种机

制。

2.2. 测试依据

※GB/T 25000.51-2010《软件工程软件产品质量要与评价(SQuaRE) 商业现货(COTS)软件产品的质量要求和测试细则》

※GB/T 16260-2006《软件工程产品质量》

※GB/T 18336-2001《信息技术安全技术信息技术安全性评估准则》

※GB/T 20274-2006《信息系统安全保障评估框架》

※客户提出的测试需求

2.3. 测试思路

2.3.1. 工作思路

本次系统测试包括功能测试、性能测试、安全测试以及文档测试,本次测试工作将系统测试对象进行控制点划分,依据项目建设要求和相关标准、规范进行项目系统测试,并加强系统各阶段测试和实施过程控制,完善项目目标控制手段。

2.3.2. 管理和技术要求

1、管理要求

为了保证本项目系统综合测试的顺利进行,将对项目实施事前评审和测试过程监督测试管理工作,合理分配项目人员负责相应的测试工作。

2、技术要求

为了保证本项目系统测试的顺利进行,在本次测试过程中将采取如下技术要求:

※渗透测试:验证系统设计的安全性是否满足客户需求。

2.4. 人员及设备计划

2.4.1. 人员分配

本次测试组织机构和人员分配如下:

项目管理组:杨方秀

现场测试组:屈绯颖、王洪斌、

项目文档组:龚正

质量控制组:杨方秀、屈绯颖

2.4.2. 测试设备

3. 测试范围

4. 测试内容

5. 测试方法

针对本次项目的测试范围和内容,我公司采取渗透测试的方法对整体系统进行安全性评估。

5.1. 渗透测试原理

渗透测试过程主要依据现今已经掌握的安全漏洞信息,模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试,这里说有的渗透测试行为将在客户的书面明确授权和监督下进行。

5.2. 渗透测试的流程

➢方案制定:

在获取到业主单位的书面授权许可后,才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与业主单位进行交流,并得到业主单位的认同。在测试实施之前,会做到让业主单位对渗透测试过程和风险的知晓,使随后的正式测试流程都在业主单位的控制下。

➢信息收集:

这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。可以采用一些商业安全评估系统(如:ISS、极光等);免费的检测工具(NESSUS、Nmap 等)进行收集

➢测试实施:

在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作

系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web应用),此阶段如果成功的话,可能获得普通权限。渗透测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。一旦成功控制一台或多台服务器后,测试人员将利用这些被控制的服务器作为跳板,绕过防火墙或其他安全设备的防护,从而对内网其他服务器和客户端进行进一步的渗透。此过程将循环进行,直到测试完成。最后由渗透测试人员清除中间数据。

➢报告输出:

渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。内容包括:具体的操作步骤描述;响应分析以及最后的安全修复建议

➢安全复查:

渗透测试完成后,某某协助业主单位对已发现的安全隐患进行修复。修复完成后,渗透测试工程师对修复的成果再次进行远程测试复查,对修复的结果进行检验,确保修复结果的有效性。

5.3. 渗透测试的风险规避

在渗透测试过程中,虽然我们会尽量避免做影响正常业务运行的操作,也会实施风险规避的计策,但是由于测试过程变化多端,渗透测试服务仍然有可能对网络、系统运行造成一定不同程度的影响,严重的后果是可能造成服务停止,甚至是宕机。比如渗透人员实施系统权限提升操作时,突遇系统停电,再次重启时可能会出现系统无法启动的故障等。因此,我们会在渗透测试前与业

相关文档
最新文档