渗透测试服务投标方案.docx

《渗透测试服务投标方案.docx》由会员分享，可在线阅读，更多相关《渗透测试服务投标方案.docx（56页珍藏版）》请在第一文库网上搜索。

1、XX投标方案可做“渗透测试服务”投标使用XXXX年XX月XX日目录一、项目技术方案11.1、 渗透测试服务1L L 1、服务内容11 1 2、月艮51 13、月艮.121 1 4、 xf 501 1 5、月艮 511. L 6服务范围（略）54一、项目技术方案1、渗透测试服务l.l.lv服务内容1.1.1.K渗透初测1.1.1.1.U系统层安全渗透测试系统安全脆弱点测试包括但不限于如下内容：A 口令猜解：针对操作系统、数据库等应用的口令登录安全进行测试，利用自 动化工具，并通过使用密码字典文件，大量尝试登录单位内部的系统，进而 找出存在空口令、弱口令的系统账号。该测试存在一定的安全风险，因为当

2、 系统设备启用密码登录安全策略时，大量的尝试会造成账号锁定，导致拒绝 服务攻击发生，故执行相关操作时需特别当心。溢出测试：当无法直接利用帐户口令登陆系统时，也会采用系统溢出的方法 直接获得系统控制权限，此方法有时会导致系统死机或从新启动，但不会导 致系统数据丢失，如出现死机等故障，只要将系统从新启动并开启原有服务 即可。敏感信息泄露：敏感信息的泄露会使系统存在于风险当中，如开启了不需要 的服务、服务端口不恰当的对非授权区域开放、DNS区域传送机制未合理配 置、特定系统服务（如telnet、SSH. FTP等）旗标未修改屏蔽等，此类敏 感信息的不合理控制，会给攻击者的信息收集以及系统攻击工作带来

3、极大 便利，因此，在本服务测试中网神将对此类信息进行重点排查。系统安全管理：严格管理系统账户、有效控制系统服务，优化系统的安全配 置，启用系统必要的安全控制措施，避免系统发生故障或遭受攻击。A系统漏洞：针对业务系统所需要的系统服务进行优化管理和配置。A系统访问控制和审计：对系统进行有效访问控制和日志审计工采用以下方法获得主机系统的安全弱点，本期项目中可以根据实际情况适当采纳:工具扫描：通过评估工具对主机、应用程序和数据库进行扫描。扫描评估主 要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网 络服务、网络设备、应用系统等各主机设备所存在的安全隐患和漏洞。漏洞扫描主要依靠带有安全

4、漏洞知识库的网络安全扫描工具对信息资产进 行基于网络层面安全扫描，其特点是能对被评估目标进行覆盖面广泛的安 全漏洞查找，并且评估环境与被评估对象在线运行的环境完全一致，能较真 实地反映主机系统、网络设备、应用系统所存在的网络安全问题。安全基线分析：依据对主机平台的标准化的安全审计列表（安全基线），检 查和分析主机系统平台存在的安全问题。专家评估与工具扫描相结合，可以 完成许多工具所无法完成的事情，从而得出全面的、客观的评估结果。专家 评估是根据最新的安全检查核对表内容，逐项检查系统的各项配置和运行 状态。核对表内容根据最新漏洞发现、客户不同的系统和运行环境、以及专 家的经验知识而制定，它主要包

5、括有以下几个方面：,安全配置检查：系统管理和维护的正常配置，合理配置，及优化配置。 例如系统目录权限，账号管理策略，文件系统配置，进程通信管理等。,安全机制检查：安全机制的使用和正常配置，合理配置，及优化配置。 例如日志及审计、备份与恢复，签名与校验，加密与通信，特殊授权 及访问控制等。, 入侵追查及事后取证：检查与发现系统入侵，攻击或其它危害，尽可 能追查及取证。例如日志被毁坏篡改或删除，计费数据被删除，遭受 DoS攻击，系统被监听，控制或安装后门等。LLLL2、WEB中间件渗透测试针对WEB常见的软件，例如APAeHE、I IS、TOMCAT中间件等各类应用软件中常 用到的软件，自身存在一

6、些由于版本较低或配置不当所造成的安全隐患和漏洞，作 为渗透测试的一些主要内容和方向。缓冲区溢出：由于应用服务版本过低所造成的应用自身的安全漏洞路径和参数安全：由于对应用配置不足够所造成的路径和参数泄露第2页测试和帮助页面：由于应用配置不足所造成的测试和帮助页面显示账号和口令：由于应用配置和测试导致无用账号或口令简单LLLL3、WEB应用渗透测试针对WEB常见的应用，重点是由于应用软件在设计和开发的过程中，由于安全 设计不足和开发不规范所造成的隐患和漏洞，主要包括如下几类：信息收集域名及IP信息收集：收集被测试网站的域名、二级域名、ip地址、对应的 C段IP地址等信息；系统信息收集：WEB运行平

7、台的操作系统信息、数据库信息；中间件信息收集：WEB应用的中间件信息，如APaChe、TomCat、WeblOgiC等；信息系统开发框架信息：收集Web应用开发框架的信息，如StrUtS2； CMS信息收集：探测并收集Web应用的应用类型、版本等；其他信息：其他必要的渗透测试信息，如第三方组件等。身份验证在未加密的网络链接上传递身份验证凭据或身份验证cookie,这会引起凭 据捕获或会话攻击；利用弱密码和账户策略，这会引起未经授权的访问；将个性化与身份验证混合起来。授权使用越权角色和账户；没有提供足够的角色粒度；没有将系统资源限制于特定的应用程序身份。输入和数据验证完全依赖于客户端验证；A 使

8、用deny方法而非allow来筛选输入；将未经验证的数据写出到Web页；利用未经验证的输入来生成SQL查询；使用不安全的数据访问编码技术，这可能增加SQL注入引起的威胁；第3页使用输入文件名、URL或用户名进行安全决策。配置管理以明文存储配置机密信息，例如，连接字符串和服务帐户证书；没有保护应用程序配置管理的外观，包括管理界面； 使用越权进程帐户和服务帐户。敏感数据在不需要存储机密信息时保存它们；在代码中存储机密信息；以明文形式存储机密信息；在网络上以明文形式传递敏感数据。会话管理在未加密信道上传递会话标识符；延长会话的生存期；不安全的会话状态存储；A会话标识符位于查询字符串中。加密使用自定义

9、加密方法；使用错误的算法或者长度太短的密钥；A没有保护密钥；对于延长的时间周期使用同一个密钥。参数管理没有验证所有的输入参数这使系统的应用程序容易受到拒绝服务攻击和代 码注入攻击，包括SQL注入和XSSo 未加密的cookie中包含敏感数据。攻击者可以在客户端更改cookie数 据，或者当它在网络上传递时进行捕获和更改。查询字符串和表单域中包含敏感数据。很容易在客户端更改查询字符串和 表单域。异常管理没有验证所有的输入参数；显示给客户端的信息太多。审核与记录没有审核失败的登录；没有保护审核文件；没有跨应用程序层和服务器进行审核。1.112、整改建议和复测根据渗透测试工作开展情况，出具详细的测试

10、报告，重点描述测试发现的问 题、严重程度，同时在报告中提供对安全漏洞及问题的整改建议，同时配合用户单 位或者第三方安全服务公司一起讨论具体加固实施办法，规避安全整改风险，通过 安全加固工作修复安全漏洞，降低安全风险。在实施完整改工作后，根据渗透测试报告及整改报告进行复测（回归测试）， 以确认先前的安全漏洞得要有效的修复，同时没有引入新的安全漏洞，确保整改工 作达到预期目标。1.1.2、服务流程1.121、总体流程网神安全服务团队提供的渗透测试服务主要分为五个阶段，包括测试前期准备 阶段、信息收集阶段、测试阶段实施、复测阶段实施以及成果汇报阶段：前期准备阶段客户方了解测试过程及风险信息收集阶段系

11、统信息收集网络拓扑分析端口扫描及服务识SD确认测试目标及实施细节测试实施阶段自动化扫描人工渗透测试撰写并提交渗透测试报告回归测试阶段图：渗透测试流程1.1.2.1.U前期准备阶段在实施渗透测试工作前，负责项目实施的技术人员会和XX公司相关工作人员对 渗透测试服务相关的技术细节进行详细沟通。由此确认渗透测试的方案，方案内容 主要包括确认的渗透测试范围、最终对象、测试方式、测试要求的时间等内容，并 与XX公司签署渗透测试授权书。在测试实施之前，会做到让XX公司对渗透测试过程和风险的知晓，使随后的正 式测试流程都在XX公司的控制下。1.1.2.1.2x信息收集阶段通过渗透测试工具进行信息收集，内容包

12、括：操作系统类型收集；网络拓扑结 构分析；端口扫描和目标系统提供的服务识别等。l.l.2.13v测试实施阶段在测试实施过程中，测试人员首先使用自动化的安全扫描工具，完成初步的信 息收集、服务判断、版本判断、补丁判断等工作。然后由人工的方式对安全扫描的结果进行人工的确认和分析，并且根据收集的 各类信息进行深入渗透测试，测试人员在获取到普通权限后，尝试由普通权限提升 为管理员权限，获得对系统的完全控制权，此过程将循环进行，直到测试完成。测试过程采用交叉测试方式，每个系统至少两名工程师进行同时测试，通过不 同角度更为全面的发现系统存在的安全问题。测试人员需整理渗透测试服务的输出结果并编制渗透测试报告

13、，最终提交XX公 司相关负责人并对报告内容进行沟通。1.1.2.1.4 v回归测试阶段根据渗透测试工作开展情况，出具详细的测试报告，重点描述测试发现的问 题、严重程度，同时在报告中提供对安全漏洞及问题的整改建议，同时配合用户单 位或者第三方安全服务公司一起讨论具体加固实施办法，规避安全整改风险，通过 安全加固工作修复安全漏洞，降低安全风险。在实施完整改工作后，根据渗透测试报告及整改报告进行回归测试，以确认先 前的安全漏洞得要有效的修复，同时没有引入新的安全漏洞，确保整改工作达到预 期目标。1.1.2.1.5 v成果汇报阶段根据初次渗透测试和二次复测结果，整理渗透测试服务输出成果，最后汇报项 目

14、领导。1.122、实施流程1.1.2.2.1v实施准备阶段本阶段要对所要测试的系统进行全端口扫描了解其开放的服务，对服务进行 分析发现潜在的安全漏洞，对整体网络进行分析发现网络设计上存在的安全漏洞, 对系统所暴露的可用信息进行分析、辨别网络结构查找入侵点。通过扫描和信息收集，结合客户提供的详细情况，迅速寻找出目标网络中的 薄弱环节，保证了渗透测试的整体效率。具体关注点如下：1 .网络设备渗透和网络结构 收集系统的网络结构信息 查看网络设备版本 收集网络设备的开放端口 测试是否存在网络设备默认口令 查看是否存在不必要的服务 查看网络设备是否存在其它可利用漏洞2 .主机操作系统 查看主机的操作系统版本 收集主机的开放端口 测试是否存在默认登录口令 查看是否存在不必要的服务 查看是否存在可利用溢出漏洞3 .数据库系统 查看数据库的版本 查看数据库的开放端口 测试是否存在数据库默认口令 查看数据库是否存在默认Web服务 查看数据库访问控制权限设置 查看是否存在其它不必要的服务 查看是否存在可利用溢出漏洞4 .应用系统 收集应用开放端口 对应用系统所使用的服务版本进行辨别 测试是否存在Web默认口令 分析Web目录结构 查看应用服务是否存在设置问题 对Web所使用的脚本进行扫描 查看系统对应版本是否存在溢出漏洞