信息系统渗透测试方案样本.docx

信息系统渗透测试方案样本.docx

《信息系统渗透测试方案样本.docx》由会员分享，可在线阅读，更多相关《信息系统渗透测试方案样本.docx（12页珍藏版）》请在冰豆网上搜索。

信息系统渗透测试方案样本

广东省XXXX厅重要信息系统

渗入测试方案

1.概述

1.1.渗入测试概述

渗入测试（PenetrationTest）是指安全工程师尽量完整摸拟黑客使用漏洞发现技术和袭击手段，对目的网络/系统/主机/应用安全性做进一步探测，发现系统最脆弱环节过程，渗入测试可以直观让管理人员懂得自己网络面临问题。

渗入测试是一种专业安全服务，类似于军队里“实战演习”或者“沙盘推演”，通过实战和推演，让顾客清晰理解当前网络脆弱性、也许导致影响，以便采用必要防范办法。

1.2.为客户带来收益

从渗入测试中，客户可以得到收益至少有：

1）协助顾客发现组织中安全最短板，协助公司有效理解当前减少风险初始任务；

2）一份文档齐全有效渗入测试报告有助于组织IT管理者以案例阐明当前安全现状，从而增强信息安全认知限度，甚至提高组织在安全面预算；

3）信息安全是一种整体工程，渗入测试有助于组织中所有成员意识到自己岗位同样也许提高或减少风险，有助于内部安全提高；

固然，渗入测试并不能保证发现目的网络中所有弱点，因而咱们不适当片面强调它重要性。

2.涉及技术

咱们简朴简介渗入测试各个阶段也许会用到某些工具。

2.1.预袭击阶段

基本网络信息获取

●Ping目的网络得到IP地址和ttl等信息

●Tcptraceroute等traceroute成果

●Whois成果

●Netcraft获取目的也许存在域名、web及服务器信息

●Curl获得目的web基本信息

●Nmap对网站进行端口扫描并判断操作系统类型

●Google、yahoo、XX等搜索引擎获取目的信息

●采用FWtester、hping3等工具进行防火墙规则探测

●……

常规漏洞扫描和采用商用软件进行检测

●结合使用xscan与Nessu等商用或免费扫描工个进行漏洞扫描

●采用Solarwind对网络设备等进行发现

●采用nikto、webinspect等软件对web常用漏洞进行扫描

●采用如AppDetective之类商用软件对数据库进行扫描分析

●……

对Web和数据库应用进行分析

●采用Webproxy、SPIKEProxy、webscarab、ParosProxy、Absinthe等工具进行分析

●用Ehtereal进行抓包协助分析

●用webscan、fuzzer进行SQL注入和XSS漏洞初步分析

●手工检测SQL注入和XSS漏洞

●采用类似OScanner工具对数据库进行分析

●……

相应用分析注意事项

●检查应用系统架构、防止顾客绕过系统直接修改数据库

●检查身份认证模块，防止非法顾客绕过身份验证

●检查数据库接口模块，防止顾客获取系统权限

●检查其她安全威胁

●……

2.2.袭击阶段

基于通用设备、数据库、操作系统和应用袭击

可以采用各种公开及私有缓冲区溢出程序代码，

基于应用袭击

基于Web、数据库或特定B/S或C/S构造网络应用程序存在弱点进行袭击，常用如SQL注入袭击、跨站脚本袭击等。

口令猜解技术

口令是信息安全里永恒主题，通过弱口令获取权限者不在少数。

进行口令猜解可以用X-scan、Brutus、Hydra、溯雪等工具。

2.3.后袭击阶段

口令嗅探与键盘记录

嗅探、键盘记录、木马等软件，功能简朴，但规定不被防病毒软件发现，因而普通需要自行开发或修改。

口令破解

有许多口令破解工具，如L0phtCrack、JohntheRipper、Cain等。

2.4.其他手法

这里列出办法，有些也许对顾客网络导致较大影响（如服务中断），有则与安全管理密切有关，有则需要到现场才干进行作业，因而普通状况下较少采用。

但可以依照客户需求状态进行判断。

●DoS&DDoS

●客户端袭击

●社交工程办法

3.操作中注意事项

3.1.测试前提供应渗入测试者资料

3.1.1.黑箱测试

黑箱测试又被称为所谓“zero-knowledgetesting”,渗入者完全处在对系统一无所知状态，普通此类型测试，最初信息获取来自于DNS、Web、Email及各种公开对外服务器。

3.1.2.白盒测试

白盒测试与黑箱测试恰恰相反，测试者可以通过正常渠道向被单位获得各种资料，涉及网络拓扑、员工资料甚至网站或其他程序代码片断，也可以与单位其他员工（销售、程序员、管理者……）进行面对面交流。

此类测试目是模仿公司内部雇员越权操作。

3.1.3.隐秘测试

隐秘测试是对被测单位而言，普通状况下，接受渗入测试单位网络管理部门会收到告知：

在某些时段进行测试，因而可以监测网络中浮现变化，但隐性测试则被测单位也仅有很少数人知晓测试存在，因而可以有效地检查单位中信息安全事件监控、响应、恢复做得否到位。

3.2.袭击途径

测试目的不同，涉及需要采用技术也会有一定差别，因而下面简朴阐明在不同位置、袭击途径不同步也许采用技术。

3.2.1内网测试

内网测试指是渗入测试人员由内部网络发起测试，此类测试可以模仿公司内部违规操作者行为。

内网测试绕过了防火墙保护。

内部重要也许采用渗入方式：

●远程缓冲区溢出；

●口令猜测；

●B/S或C/S应用程序测试（如果涉及C/S程序测试，需要提前准备有关客户端软件供测试使用）

3.2.2外网测试

●对网络设备远程袭击；

●口令管理安全性测试；

●防火墙规则试探、规避；

●Web及其他开放应用服务安全性测试。

3.2.3不同网段/vlan之间渗入

这种渗入方式是从某内/外部网段，尝试对另一网段/Vlan进行渗入，此类测试普通也许用到技术涉及：

●对网络设备远程袭击；

●对防火墙远程袭击或规则探测、规则尝试；

3.3.实行流程

3.3.1.渗入测试流程

3.3.2.实行方案制定、客户书面批准

合法性即客户书面授权委托，并批准实行方案是进行渗入测试必要条件。

渗入测试一方面必要将实行办法、实行时间、实行人员、实行工具等详细实行方案提交给客户，并得到客户相应书面委托和授权。

应当做到客户对渗入测试所有细节和风险知晓，所有过程都在控制下进行，这也是专业渗入测试与黑客入侵本质不同。

3.3.3.信息收集分析

信息收集是每一步渗入袭击前提，通过信息收集可以有针对性地制定模仿袭击测试筹划，提高模仿袭击成功率，同步可以有效减少袭击测试对系统正常运营导致不利影响。

信息收集办法涉及Pingsweep、DNSSweep、DNSzonetransfer、操作系统指纹鉴别、账号扫描、配备鉴别等。

信息收集惯用工具涉及商业网络安全漏洞扫描软件（例如：

极光），免费安全检测工具（例如：

NMAP、NESSUS），操作系统内置许多功能（例如：

TELNET、NSLOOKUP、IE等）也也许作为信息收集有效工具。

3.3.4.内部筹划制定、二次确认

依照客户设备范畴和项目时间筹划，并结合前一步信息收集得到设备存活状况、网络拓扑状况以及扫描得到服务开放状况、漏洞状况制定内部详细实行筹划。

详细涉及每个地址下一步也许采用测试手段，详细时间安排，并将如下一步工作筹划和时间安排与客户进行确认。

3.3.5.获得权限、提高权限

通过初步信息收集分析，存在两种也许，一种是目的系统存在重在安全弱点，测试也许直接控制目的系统；另一种是目的系统没有远程重大安全弱点，但是可以获得普通顾客权限，这时可以通过该顾客权限进一步收集目的系统信息。

接下来尽最大努力获得超级顾客权限、收集目的主机资料信息，谋求本地权限提高机会。

这样不断进行信息收集分析、权限提高成果形成了整个渗入测试过程。

3.3.6.生成报告

渗入测试之后，测试者将会提供一份渗入测试报告。

报告将会十分详细阐明渗入测试过程中得到数据和信息，并且将会详细纪录整个渗入测试所有操作。

3.4.风险规避办法

3.4.1.渗入测试时间与方略

3.4.1.1时间选取

为减轻渗入测试对网络和主机影响，渗入测试时间尽量安排在业务量不大时段或晚上。

（时间可以协调）

3.4.1.2袭击方略集选取

为防止渗入测试导致网络和主机业务中断，在渗入测试中不使用具有回绝服务测试方略。

3.4.1.3保守方略选取

对于不能接受任何也许风险主机系统，如银行票据核查系统、电力调度系统等，可选取如下保守方略：

●复制一份目的环境，涉及硬件平台、操作系统、数据库管理系统、应用软件等。

●对目的副本进行渗入测试。

3.4.2.系统备份和恢复

3.4.2.1系统备份

为防止在渗入测试过程中浮现异常发问，所有被评估系统均应在被评估之前作一次完整系统备份或者关闭正在进行操作，以便系统发生劫难后及时恢复。

3.4.2.2系统恢复

在渗入测试过程中，如果浮现被评估系统没有响应或中断状况，应当及时停止测试工作，与客户方配合人员一起分析状况，在拟定因素后，及时恢复系统，并采用必要防止办法（例如调节测试方略）之后，保证对系统无影响，并经客户方批准之后才也许继续进行。

3.4.3.工程中合理沟通保证

在工程实行过程中，拟定不同阶段测试人员以及客户方配合人员，建立直接沟通渠道，并在工程浮现难题过程中保持合理沟通。

3.4.4.系统监测

在评估过程中，由于渗入测试特殊性，顾客可以规定对整体测试流程进行监控（也许提高渗入测试成本）。

3.4.4.1测试方自控

由测试者对本次测试过程中三方面数据进行完整记录：

●操作；

●响应；

●分析。

最后形成完整有效渗入测试报告提交给顾客。

3.4.4.2顾客监控

可以用三种形式：

●全程监控：

采用类似Ethereal或SnifferPro嗅探软件进行全程抓包嗅探。

长处是全过程都能完整记录。

缺陷是数据量太大，不易分析；需要大容量存储设备。

●择要监控：

对扫描过程不进行建制，仅仅在安全工程师分析数据后，准备发起渗入前，才启动类似Ethereal或SnifferPro嗅探软件进行嗅探。

●主机监控：

仅监控受测主机存活状态，避免意外状况发生，当前国内应用比较多是这种监控手段。

3.5.其他

●测试前将所有工具漏洞数据库都升级至最新版本；

●测试时最佳通过专门渗入测试代理服务器进行操作，在代理服务器可以以便进行操作监控，也可觉得客户提供一种专门用于渗入测试IP地址；

●后袭击阶段操作如果的确必要，也应当先知会客户，然后进行操作。

4.渗入测试实行及报表输出

4.1.实际操作过程

4.1.1.预袭击阶段发现

●目的主机系统状况探测

1）操作系统类型

探明：

使用windows操作系统，IIS为5.0

2）开放端口

3）可运用服务状况：

WEB服务（80），数据库服务（SQLserver）

4.1.2.袭击阶段操作

●寻找脚本漏洞

存在可以被运用安全漏洞。

●获得远程主机交互界面

●寻找上传文献方式：

tftp方式、ftp方式

4.1.3.后袭击阶段也许导致影响

袭击者如果成功完毕这一步后，可以做工作涉及：

获取shell，并尝试提高权限，破解口令，装载木马，口令嗅探等，甚至有也许渗入管理员或公司内部网络机器等。

●获得管理员权限

4.2.渗入测试报告

详细记录描述渗入测试过程，提出加固建议。

5.结束语

本测试方案用简洁方式阐明了渗入测试操作过程。