渗透测试服务投标方案.docx
《渗透测试服务投标方案.docx》由会员分享,可在线阅读,更多相关《渗透测试服务投标方案.docx(56页珍藏版)》请在第一文库网上搜索。
1、XX投标方案可做“渗透测试服务”投标使用XXXX年XX月XX日目录一、项目技术方案11.1、 渗透测试服务1L L 1、服务内容11 1 2、月艮51 13、月艮.121 1 4、 xf 501 1 5、月艮 511. L 6服务范围(略)54一、项目技术方案1、渗透测试服务l.l.lv服务内容1.1.1.K渗透初测1.1.1.1.U系统层安全渗透测试系统安全脆弱点测试包括但不限于如下内容:A 口令猜解:针对操作系统、数据库等应用的口令登录安全进行测试,利用自 动化工具,并通过使用密码字典文件,大量尝试登录单位内部的系统,进而 找出存在空口令、弱口令的系统账号。该测试存在一定的安全风险,因为当
2、 系统设备启用密码登录安全策略时,大量的尝试会造成账号锁定,导致拒绝 服务攻击发生,故执行相关操作时需特别当心。溢出测试:当无法直接利用帐户口令登陆系统时,也会采用系统溢出的方法 直接获得系统控制权限,此方法有时会导致系统死机或从新启动,但不会导 致系统数据丢失,如出现死机等故障,只要将系统从新启动并开启原有服务 即可。敏感信息泄露:敏感信息的泄露会使系统存在于风险当中,如开启了不需要 的服务、服务端口不恰当的对非授权区域开放、DNS区域传送机制未合理配 置、特定系统服务(如telnet、SSH. FTP等)旗标未修改屏蔽等,此类敏 感信息的不合理控制,会给攻击者的信息收集以及系统攻击工作带来
3、极大 便利,因此,在本服务测试中网神将对此类信息进行重点排查。系统安全管理:严格管理系统账户、有效控制系统服务,优化系统的安全配 置,启用系统必要的安全控制措施,避免系统发生故障或遭受攻击。A系统漏洞:针对业务系统所需要的系统服务进行优化管理和配置。A系统访问控制和审计:对系统进行有效访问控制和日志审计工采用以下方法获得主机系统的安全弱点,本期项目中可以根据实际情况适当采纳:工具扫描:通过评估工具对主机、应用程序和数据库进行扫描。扫描评估主 要是根据已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网 络服务、网络设备、应用系统等各主机设备所存在的安全隐患和漏洞。漏洞扫描主要依靠带有安全
4、漏洞知识库的网络安全扫描工具对信息资产进 行基于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广泛的安 全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,能较真 实地反映主机系统、网络设备、应用系统所存在的网络安全问题。安全基线分析:依据对主机平台的标准化的安全审计列表(安全基线),检 查和分析主机系统平台存在的安全问题。专家评估与工具扫描相结合,可以 完成许多工具所无法完成的事情,从而得出全面的、客观的评估结果。专家 评估是根据最新的安全检查核对表内容,逐项检查系统的各项配置和运行 状态。核对表内容根据最新漏洞发现、客户不同的系统和运行环境、以及专 家的经验知识而制定,它主要包
5、括有以下几个方面:,安全配置检查:系统管理和维护的正常配置,合理配置,及优化配置。 例如系统目录权限,账号管理策略,文件系统配置,进程通信管理等。,安全机制检查:安全机制的使用和正常配置,合理配置,及优化配置。 例如日志及审计、备份与恢复,签名与校验,加密与通信,特殊授权 及访问控制等。, 入侵追查及事后取证:检查与发现系统入侵,攻击或其它危害,尽可 能追查及取证。例如日志被毁坏篡改或删除,计费数据被删除,遭受 DoS攻击,系统被监听,控制或安装后门等。LLLL2、WEB中间件渗透测试针对WEB常见的软件,例如APAeHE、I IS、TOMCAT中间件等各类应用软件中常 用到的软件,自身存在一
6、些由于版本较低或配置不当所造成的安全隐患和漏洞,作 为渗透测试的一些主要内容和方向。缓冲区溢出:由于应用服务版本过低所造成的应用自身的安全漏洞路径和参数安全:由于对应用配置不足够所造成的路径和参数泄露第2页测试和帮助页面:由于应用配置不足所造成的测试和帮助页面显示账号和口令:由于应用配置和测试导致无用账号或口令简单LLLL3、WEB应用渗透测试针对WEB常见的应用,重点是由于应用软件在设计和开发的过程中,由于安全 设计不足和开发不规范所造成的隐患和漏洞,主要包括如下几类:信息收集域名及IP信息收集:收集被测试网站的域名、二级域名、ip地址、对应的 C段IP地址等信息;系统信息收集:WEB运行平
7、台的操作系统信息、数据库信息;中间件信息收集:WEB应用的中间件信息,如APaChe、TomCat、WeblOgiC等;信息系统开发框架信息:收集Web应用开发框架的信息,如StrUtS2; CMS信息收集:探测并收集Web应用的应用类型、版本等;其他信息:其他必要的渗透测试信息,如第三方组件等。身份验证在未加密的网络链接上传递身份验证凭据或身份验证cookie,这会引起凭 据捕获或会话攻击;利用弱密码和账户策略,这会引起未经授权的访问;将个性化与身份验证混合起来。授权使用越权角色和账户;没有提供足够的角色粒度;没有将系统资源限制于特定的应用程序身份。输入和数据验证完全依赖于客户端验证;A 使
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 渗透 测试 服务 投标 方案
