网络安全渗透测试技术项目建议书 精品Word格式.docx
《网络安全渗透测试技术项目建议书 精品Word格式.docx》由会员分享,可在线阅读,更多相关《网络安全渗透测试技术项目建议书 精品Word格式.docx(16页珍藏版)》请在冰豆网上搜索。
3.1.2攻击阶段8
3.1.3后攻击阶段9
3.2渗透测试实施流程9
3.2.1制定渗透测试初步实施方案并取得客户同意授权10
3.2.2信息收集分析10
3.2.3渗透测试方案细化制定11
3.2.4渗透测试的实施11
3.2.5渗透测试报告的输出11
3.3渗透测试的工具及其软件说明12
3.3.1常用命令12
3.3.2有用网站12
3.3.3漏洞扫描软件13
3.3.4溢出工具14
3.3.5密码破解工具14
3.3.6协以及抓报分析工具14
3.4风险规避及其它注意事项14
3.4.1渗透测试时间与策略14
3.4.2系统备份和恢复15
3.4.3工程中合理沟通的保证15
3.4.4系统监测15
3.5项目交付成果16
4成功案例16
1渗透测试服务概述
1.1渗透测试概述
渗透测试(PenetrationTest)是指是从一个攻击者的角度来检查和审核一个网络系统的安全性的过程。
通常由安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/系统/主机/应用的安全性作深入的探测,发现系统最脆弱的环节。
渗透测试能够直观的让管理人员知道自己网络所面临的问题。
作为一种专业的安全服务,类似于军队里的“实战演习”或者“沙盘推演”的概念,通过实战和推演,让用户清晰了解目前网络的脆弱性、可能造成的影响,以便采取必要的防范措施。
1.2渗透测试对客户系统网络安全的意义
从渗透测试中,客户能够得到的收益至少有:
✧协助用户发现组织中的安全最短木板
一次渗透测试过程也就是一次黑客入侵实例,其中所利用到的攻击渗透方法,也是其它具备相关技能的攻击者所最可能利用到的方法;
由渗透测试结果所暴露出来的问题,往往也是一个企业或组织中的安全最短木板,结合这些暴露出来的弱点和问题,可以协助企业有效的了解目前降低风险的最迫切任务,使在网络安全方面的有限投入可以得到最大的回报。
✧作为网络安全状况方面的具体证据和真实案例
渗透测试的结果可以作为向投资方或管理人员提供的网络安全状况方面的具体证据,一份文档齐全有效的渗透测试报告有助于IT组织管理者以案例的形式向相关人员直观展示目前企业或组织的安全现状,从而增强员工对信息安全的认知程度,提高相关人员的安全意识及素养,甚至提高组织在安全方面的预算。
✧发现系统或组织里逻辑性更强、更深层次的弱点
渗透测试和工具扫描可以很好的互相补充。
工具扫描具有很好的效率和速度,但是存在一定的误报率和漏报率,并且不能发现高层次、复杂、并且相互关联的安全问题;
渗透测试的价值直接依赖于实施者的专业技能和素养但是非常准确,可以发现系统和组织里逻辑性更强、更深层次的弱点。
✧发现渗透测试和信息安全风险评估未暴露的其它安全问题
目前的渗透测试,更多的仍然是从一个外部人员的角度,模拟黑客攻击的一个过程。
往往来说,渗透测试的实施人员并不能完全掌握组织或企业的全部安全现状及信息,他们的渗透测试行为及方法都是局限于自己所掌握的已有信息,因此暴露出来的问题也是有限的(比如说,有些问题单纯从技术上来说利用价值不大,但若是结合一些管理上的缺陷或者是本身具有的某些其它便利,往往可以导致严重风险)。
正因为如此,如果换作是一个对企业组织的相关情况更为了解的内部人员来说,结合渗透测试中所暴露出来的某些问题,他能更有效和更全面的发现组织和企业中一些安全风险及问题。
✧从整体上把握组织或企业的信息安全现状
信息安全是一个整体工程,一个完整和成功的渗透测试案例可能会涉及系统或组织中的多个部门、人员或对象,有助于组织中的所有成员意识到自己所在岗位对系统整体安全的影响,进而采取措施降低因为自身的原因造成的风险,有助于内部安全的提升。
2渗透测试的内容
2.1渗透测试的对象
渗透测试其测试实施的对象一般包含如下几类:
1、主机操作系统
WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI等操作系统
2、网络设备
各种防火墙、入侵检测系统、网络设备
3、数据库系统
MS-SQL、ORACLE、MYSQL、INFORMIX、SYBASE、DB2等数据库
4、应用系统
Web、Ftp、Mail、DNS等等应用系统
5、安全管理
安全管理手段技术、制度、流程,人员的安全意识等
当然,在大多数的渗透测试实例中,一般主要是从技术上针对系统中的主机、数据库及关键应用如Web、Mail等进行渗透测试,对网络设备的渗透一般也只是为了绕过网络设备的保护进一步对主机、数据库等进行渗透的中间过程而已。
2.2渗透测试的目标
在一个渗透测试的任务中,其最终目标一般是通过渗透测试达到如下目标来最终判断测试对象的安全状况:
1、目标系统权限的获取
比如帐号/口令、shellcode等的获取,各种安全限制的绕过,后门木马的安装等。
2、敏感信息、数据的盗取、利用或篡改破坏
利用技术、管理等等方面的漏洞缺陷,获取敏感信息、数据,或对之进行篡改破坏。
3、对目标系统的恶意攻击
比如各种拒绝服务攻击等。
在通常的渗透测试任务中,一般主要以前两种目标为主,除非客户特殊要求,否则不采取第三种测试,因为这个测试往往会对目标系统的正常运行及工作造成负面的影响。
为了达到上述的渗透测试目标,我们一般需要根据具体情况,从如下几个方面对对象进行相关的渗透及检查:
帐号口令
远程或本地溢出漏洞
安全策略及配置漏洞
应用脚本安全问题(认证、权限、操作参数过滤、敏感信息暴
露等)
数据通讯安全(sniffer、无线通讯明文传输)
网络隔离、接入、访问控制
3华为渗透测试服务
华为作为国内最大的电信设备提供商之一,为中国和国外客户提供多种电信级的应用解决方案,在全国各地和一些国家、地区都设有分支机构,拥有完善的服务体系和丰富全面的服务经验及能力。
华为自2000年开始,为了满足客户需求及公司的发展,利用自身的优势开始切入网络安全服务领域,为使用华为公司产品的电信和企业客户提供诸如系统安全集成、信息安全评估、渗透测试、网络安全应急响应、安全审计、安全巡检、安全咨询顾问、安全培训等网络安全服务,经过几年的发展和积累,华为已在上述领域积累了丰富的实施经验,成功完成了多个重大安全项目,成为信息网络安全服务领域的一流服务提供商。
3.1渗透测试方法及步骤
凭借着在众多项目中的实施经验,华为形成了一套具有自身特色且行之有效的渗透测试方法。
渗透测试实际就是一个模拟黑客攻击的过程,因此其的实施过程也类似于一次完整的黑客攻击过程,我们将其划分为了如下几个阶段:
✧预攻击阶段(寻找渗透突破口)
✧攻击阶段(获取目标权限)
✧后攻击阶段(扩大攻击渗透成果)
如下图:
3.1.1预攻击阶段
预攻击阶段主要是为了收集获取信息,从中发现突破口,进行进一步攻击决策。
主要包括
●网络信息,如网络拓补、IP及域名分布、网络状态等
●服务器信息,如OS信息、端口及服务信息、应用系统情况等
●漏洞信息,如跟踪最新漏洞发布、漏洞的利用方法等
其利用到的方法及工具主要有:
❑网络配置、状态,服务器信息
¦
Ping
Traceroute
Nslookup
whois
Finger
Nbtstat
❑其它相关信息(如WEB服务器信息,服务器管理员信息等)
google、yahoo、baidu等搜索引擎获取目标信息
企业组织名称、个人姓名、电话、生日、身份证号码、电子邮件等等……(网站、论坛、社交工程欺骗)
❑常规扫描及漏洞发现确认
NMAP端口扫描及指纹识别
利用各种扫描工具进行漏洞扫描(ISS、Nessus等)
采用FWtester、hping3等工具进行防火墙规则探测
采用SolarWind对网络设备等进行发现
采用nikto、webinspect等软件对web常见漏洞进行扫描
采用如AppDetectiv之类的商用软件对数据库进行扫描分析
☐应用分析(web及数据库应用)
采用WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe等工具进行分析对Web服务进行分析检测
用webscan、fuzzer进行SQL注入和XSS漏洞初步分析
某些特定应用或程序的漏洞的手工验证检测(如sql注入、某些论坛网站的上传漏洞、验证漏洞,某些特定软件的溢出漏洞等)
采用类似OScanner的工具对数据库进行分析
用Ethereal抓包协助分析
3.1.2攻击阶段
攻击阶段是渗透测试的实际实施阶段,在这一阶段根据前面得到的信息对目标进行攻击尝试,尝试获取目标的一定权限。
在这一阶段,主要会用到以下技术或工具:
☐账号口令猜解
口令是信息安全里永恒的主题,在以往的渗透测试项目中,通过账号口令问题获取权限者不在少数。
有用的账号口令除了系统账号如UNIX账号、Windows账号外,还包括一些数据库账号、WWW账号、FTP账号、MAIL账号、SNMP账号、CVS账号以及一些其它应用或者服务的账号口令。
尤其是各个系统或者是应用服务的一些默认账号口令和弱口令账号。
大多综合性的扫描工具都有相应的弱口令审核模块,此外,也可以采用Brutus、Hydra、溯雪等比较专业的账号猜解工具。
☐缓冲区溢出攻击
针对具体的溢出漏洞,可以采用各种公开及私有的缓冲区溢出程序代码进行攻击,一个比较好的Exploit搜索站点是:
☐基于应用服务的攻击
基于web、数据库或特定的B/S或C/S结构的网络应用程序存在的弱点进行攻击,常见的如SQL注入攻击、跨站脚本攻击、一些特定网站论坛系统的上传漏洞、下载漏洞、物理路径暴露、重要文件暴露等均属于这一类型,特定的对象及其漏洞有其特定的利用方法,这里就不一一举例。
3.1.3后攻击阶段
后攻击阶段主要是在达到一定的攻击效果后,隐藏和清除自己的入侵痕迹,并利用现有条件进一步进行渗透,扩大入侵成果,获取敏感信息及资源,长期的维持一定权限。
这一阶段,一般主要要进行2个工作:
1)植入后门木或者键盘记录工具等,获得对对象的再一次的控制权;
在真实的黑客入侵事件中,这一步往往还要进行入侵行为的隐藏比如清楚日志、隐藏后门木马服务、修补对象漏洞以防止他人利用等,但在渗透测试实例中却不需要如此,往往需要保留对象相应的日志记录,可以作为渗透测试的相关证据和参考信息
2)获得对象的完全权限
这一步主要以破解系统的管理员权限账号为主,有许多著名的口令破解软件,如L0phtCrack、JohntheRipper、Cain等可以帮助我们实现该任务
3)利用已有条件,进行进
升级会员 