XXX公司渗透测试方案.docx

1 渗透测试概述

通过智能工具扫描与人工测试、分析的手段，以模拟黑客入侵的方式对服务目标系统进行模拟入侵测试，主要评估目标系统是否存在SQL注入、跨站脚本、跨站伪造请求、认证会话管理、弱口令、信息加密性、文件包含、目录浏览、不安全的跳转、溢出、上传、不安全的数据传输、未授权的访问等脆弱性问题,识别服务目标存在的安全风险，提交《渗透测试报告》。

Ø 由安全工程师模拟黑客的行为模式，采用黑客最可能采用的漏洞发现技术和尽可能多的攻击方法，对业务应用系统安全性进行深入分析，并提供相应的漏洞报告和解决建议；

Ø 参与渗透测试的人员需技术过硬、声誉良好。对于用户修复后的漏洞，由技术专家提供严格的复测，复测不通过则要督促信息系统开发人员进一步整改，直到漏洞被彻底修复；

Ø 渗透测试结束后，技术专家依据测试结果，提供整体性测试报告。

2 渗透测试测试评估

通过智能工具扫描与人工测试、分析的手段，以模拟黑客入侵的方式对服务目标系统进行模拟入侵测试，主要评估目标系统是否存在SQL注入、跨站脚本、跨站伪造请求、认证会话管理、弱口令、信息加密性、文件包含、目录浏览、不安全的跳转、溢出、上传、不安全的数据传输、未授权的访问等脆弱性问题,识别服务目标存在的安全风险，提交《渗透测试报告》。

由安全工程师模拟黑客的行为模式，采用黑客最可能采用的漏洞发现技术和尽可能多的攻击方法，对业务应用系统安全性进行深入分析，并提供相应的漏洞报告和解决建议；

参与渗透测试的人员需技术过硬、声誉良好。对于用户修复后的漏洞，由技术专家提供严格的复测，复测不通过则要督促信息系统开发人员进一步整改，直到漏洞被彻底修复；

渗透测试结束后，技术专家依据测试结果，提供整体性测试报告。

2.1 渗透测试概述

渗透测试是指安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络、系统、主机、应用的安全性作深入的探测，发现系统最脆弱的环节的过程。渗透测试能够直观的让管理人员知道自己网络所面临的问题。

由XX渗透测试小组模拟黑客使用的漏洞发现工具，从攻击者的角度对目标系统的网络、主机系统、应用服务的安全性作深入的非破坏性检测，以发现系统的薄弱环节。渗透测试通常能以非常明显、直观的结果来反映出系统的安全现状。

 

2.2 渗透测试目的

渗透测试是站在实战角度对指定的目标系统进行的安全检测，可以让相关人员直观的了解到网络、系统、应用中隐含的漏洞和危害发生时可能导致的损失。通过渗透测试，可以获得如下增益：

n 安全缺陷

从黑客的角度发现信息系统安全体系中的漏洞（隐含缺陷），协助明确目前降低风险的措施，为下一步的安全策略调整指明了方向。

n 测试报告

能帮助用户方以实际案例的形式来说明目前安全现状，从而增加用户方对信息安全的认知度，提升用户方的风险危机意识，从而实现内部安全等级的整体提升。

n 交互式渗透测试

渗透测试人员在用户方约定的范围、时间内实施测试，而用户方人员可以与此同时进行相关的检测监控工作，测试自己能否发现正在进行的渗透测试过程，从中真实的评估自己的检测预警能力。

2.3 渗透测试流程

A、方案制定

XX获取到用户方的书面授权许可后，才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与用户方进行交流并得到用户方的认同。

在测试实施之前，XX会做到让用户方对渗透测试过程和风险的知晓，使随后的正式测试流程都在单位的控制下。

B、信息收集

这包括：操作系统类型收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。可以采用一些商业安全评估系统（如：ISS、极光等）；免费的检测工具（NESSUS、Nmap等）进行收集。

C、测试实施

在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行：操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试（如：Web应用），此阶段如果成功的话，可能获得普通权限。

渗透测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺利完成工程。在获取到普通权限后，尝试由普通权限提升为管理员权限，获得对系统的完全控制权。一旦成功控制一台或多台服务器后，测试人员将利用这些被控制的服务器作为跳板，绕过防火墙或其他安全设备的防护，从而对内网其他服务器和客户端进行进一步的渗透。此过程将循环进行，直到测试完成。最后由渗透测试人员清除中间数据。

D、报告输出

渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。内容包括：具体的操作步骤描述；响应分析以及最后的安全修复建议。

E、安全复查

渗透测试完成后，XX协助用户方对已发现的安全隐患进行修复。修复完成后，XX渗透测试工程师对修复的成果再次进行远程测试复查，对修复的结果进行检验，确保修复结果的有效性。