XXX安全评估服务方案V20.docx
《XXX安全评估服务方案V20.docx》由会员分享,可在线阅读,更多相关《XXX安全评估服务方案V20.docx(77页珍藏版)》请在冰豆网上搜索。
XXX安全评估服务方案V20
XXXX安全评估服务方案
XXXX网络技术有限公司
二〇一八年九月
1.项目综述
1.1.项目背景[需要根据项目实际情况补充]
1.2.项目范围[需要根据项目实际情况补充]
1.3.项目目标[需要根据项目实际情况补充]
2.总体服务方案
2.1.服务参考标准[需要根据项目实际情况调整]
国家相关文件:
⏹《国务院办公厅关于进一步加强政府网站管理工作的通知》(国办函〔2011〕40号);
⏹《关于印发<信息安全风险评估指南>的通知》(国信办﹝2006﹞9号);
⏹《关于印发政府信息系统安全检查办法的通知》(国办发﹝2009﹞28号);
⏹《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号);
⏹《国务院办公厅关于印发国家网络与信息安全事件应急预案的通知》(国办函〔2008〕168号)。
国家相关标准:
⏹GB/T20269-2006信息安全技术信息系统安全安全管理要求;
⏹GB/T20271-2006信息安全技术信息系统通用安全技术要求;
⏹GB/T20270-2006信息安全技术网络基础安全技术要求;
⏹GB/T20272-2006信息安全技术操作系统安全技术要求;
⏹GB/T20273-2006信息安全技术数据库管理系统安全技术要求;
⏹GB/T20282-2006信息安全技术信息系统安全工程管理要求;
⏹GB/T21082-2007信息安全技术服务器安全技术要求;
⏹GB/T20984-2007—信息安全技术信息安全风险评估规范;
⏹CC–ISO15408和GB/T18336信息技术安全性评估准则。
国际相关标准:
⏹ISO27000系列;
⏹ISO20000(ITIL)系列;
⏹ISO15408—信息技术安全评估准则;
⏹ISO13335—信息技术-IT安全管理指南;
⏹AS/NZS4360—风险管理指南;
⏹NISTSP800-30—信息技术系统风险管理指南;
⏹NISTSP800-26—信息技术系统安全自我评估指南;
⏹ISO-17799/BS7799/ISO27001信息安全管理体系国际标准;
⏹以及其它相关标准。
2.2.服务实施原则
在本次安全服务项目中,XXXX技术有限公司(以下简称:
“XXXX”)将遵循如下原则:
⏹标准性原则
整个服务过程遵循国际和国内的多项标准,包括ISO27001、ISO13335、ISO15408/GB18336、SSE-CMM、SP800-30、PMI项目管理规范、《信息安全等级保护管理办法》等。
⏹规范性原则
在服务工作中的过程和文档,严格遵循XXXX的内部规范:
《XXXX安全服务项目管理规范》、《XXXX安全服务规范》。
⏹可控性原则
进行项目实施时,XXXX将从用户信誉、成功经验、人员水平、工具可控性、项目过程可控性多个角度保证整个项目过程和结果的可控性。
⏹整体性原则
项目实施中,XXXX将从国际标准、行业规范、需求分析和我们长期的实施经验等多个角度保证评估的整体全面性,包括安全涉及的各个层面,避免遗漏。
⏹最小影响原则
XXXX会从项目管理层面、测试工具层面、技术层面进行严格把控,将可能出现的影响降低到最低限度。
⏹保密性原则
XXXX和参加此次安全服务项目的所有项目组成员,都必须和用户签署相关的保密协议和非侵害协议。
3.安全评估服务[需要根据项目实际情况调整]
安全评估服务共分为以下7项子服务内容,具体服务方案详见下文。
⏹漏洞扫描服务;
⏹渗透测试服务;
⏹安全配置检查服务;
⏹移动APP安全评估服务;
⏹协助安全加固服务;
⏹回归测试服务。
3.1.漏洞扫描服务
3.1.1.服务内容
漏洞扫描是脆弱性识别的重要手段,能够帮助XXXX发现设备和系统中存在的严重漏洞,帮助XXXX了解技术措施是否有效执行,并通过及时修补完善,避免对信息系统造成严重影响。
XXXX将采用具有自主知识产权的漏洞扫描工具对服务范围内各种软硬件设备进行网络层、系统层、数据库、应用层面的全面扫描与分析,并人工验证所发现的操作系统漏洞、数据库漏洞、弱口令、信息泄露及配置不当等脆弱性问题,提出准确有效的扫描报告,并针对漏洞扫描中出现的问题,提供解决方案,协助XXXX进行解决。
3.1.2.服务流程
漏洞扫描前由XXXX通知XXXX测试目标及测试范围,由XXXX安全服务工程师使用自主研发的专用漏扫设备现场进行漏洞扫描,重要安全漏洞将及时告知XXXX安全负责人。
漏洞扫描流程图如下所示:
图:
漏洞扫描流程图
3.1.3.服务方式
XXXX将派遣具有多年安全服务经验的工程师,采用远程或现场的方式,对被测系统、设备等进行漏洞扫描工作。
3.1.4.服务工具
序号
安全服务工具
1
XXXXWEB应用弱点扫描器
2
XXXX数据库弱点扫描器
3
XXXX远程安全评估系统
3.1.5.成果输出
XXXX在完成漏洞扫描服务后,将出具《漏洞扫描报告》。
报告名称
《漏洞扫描报告》
简要描述
描述信息系统存在的安全漏洞及危害。
达成目标
了解信息系统存在的安全隐患和风险。
主要内容
扫描对象;
扫描工具;
扫描时间;
漏洞分析(漏洞类型、漏洞所在页面、漏洞原理、漏洞利用、漏洞危害等);
加固修复建议;
解决方案。
实现方式
漏洞分析;
报告编写。
工作结果
报告。
参加人员
XXXX安全服务项目组。
3.2.渗透测试服务
3.2.1.服务内容
渗透测试作为检验目标系统安全性最有效的服务,需要服务人员通过智能工具扫描与人工测试、分析的手段,以模拟黑客入侵的方式对服务目标系统进行模拟入侵测试,识别服务目标存在的安全风险。
渗透测试内容至少包括:
信息收集类、配置管理类(HTTP方法测试、应用管理界面测试、信息泄露等)、认证类(用户枚举、密码猜解、密码重置测试等)、会话类(cookie测试、会话固定测试等)、授权类(URL越权、路径遍历、业务逻辑、文件下载测试等)、数据验证类(SQL注入、跨站脚本、代码注入、URL跳转、文件上传测试等)、系统应用漏洞(溢出、0day漏洞等)。
3.2.1.1.检测角度
⏹远程渗透测试
渗透者完全处于对系统一无所知的状态,通常这类型测试最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。
⏹本地渗透测试
通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料、甚至网站或其它程序的代码片断,也能够与单位的其它员工(销售、程序员、管理者)进行面对面的沟通。
这类测试的目的是模拟企业内部雇员的越权操作。
3.2.1.2.检测手段
⏹网络信息搜集
使用PINGSweep、DNSSweep、SNMPSweep、Tracert的手段对主机存活情况、DNS名、网络链路等进行信息收集。
可以对目标的网络情况、拓扑情况、应用情况有一个大致的了解,为更深层次的渗透测试提供资料。
⏹端口扫描
通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量和类型,这是所有渗透测试的基础。
通过端口扫描,可以基本确定一个系统的基本信息,结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点,为进行深层次的渗透提供依据。
⏹远程溢出
这是当前出现的频率最高、威胁最严重,同时又是最容易实现的一种渗透方法,一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。
对于在防火墙内的系统存在同样的风险,只要对跨接防火墙内外的一台主机攻击成功,那么通过这台主机对防火墙内的主机进行攻击就易如反掌。
⏹口令猜测
口令猜测也是一种出现概率很高的风险,几乎不需要任何攻击工具,利用一个简单的暴力攻击程序和一个比较完善的字典,就可以猜测口令。
对一个系统账号的猜测通常包括两个方面:
首先是对用户名的猜测,其次是对密码的猜测。
⏹本地溢出
所谓本地溢出是指在拥有了一个普通用户的账号之后,通过一段特殊的指令代码获得管理员权限的方法。
使用本地溢出的前提是首先要获得一个普通用户的密码。
也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。
多年的实践证明,在经过前期的口令猜测阶段获取的普通账号登录系统之后,对系统实施本地溢出攻击,就能获取不进行主动安全防御的系统的控制管理权限。
⏹脚本测试
脚本测试专门针对Web服务器进行。
根据最新的技术统计,脚本安全弱点为当前Web系统尤其存在动态内容的Web系统存在的主要比较严重的安全弱点之一。
利用脚本相关弱点轻则可以获取系统其他目录的访问权限,重则将有可能取得系统的控制权限。
因此对于含有动态页面的Web系统,脚本测试将是必不可少的一个环节。
3.2.1.3.检测目标
⏹主机操作系统渗透
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试。
⏹数据库系统渗透
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库应用系统进行渗透测试。
⏹应用系统渗透
对渗透目标提供的各类应用,如ASP、CGI、JSP、PHP等组成的应用系统进行渗透测试。
3.2.1.4.检测用例
3.2.1.4.1.SQL注入类
⏹漏洞或威胁介绍
SQL注入漏洞的产生原理:
程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
SQL注入漏洞的潜在威胁:
攻击者利用注入漏洞,通过构造特殊的语句,可进行后台数据库操作并插入木马,以获取整个网站和数据库的控制权限,包括修改删除网站页面、窃取数据库敏感信息;甚至以网站为跳板,获取整个内网服务器控制权限。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
修改动态参数,在参数值后加上And1=1和And1=2或者’aNd‘a’=’a与’aNd‘a’=’b,提交后对返回内容作对比,如And1=1页面返回内容和原始页面相同,而And1=2时返回的页面不同,证明存在注入点
3
测试成功标准
能够发现注入点,获取敏感数据(如密码)、webshell、修改网页或系统权限
4
测试内容
测试内部访问的web程序是否存在SQLInjection漏洞
5
测试影响
无
3.2.1.4.2.跨站脚本类
⏹漏洞或威胁介绍
跨站脚本漏洞的产生原理:
程序对用户提交的变量代码未进行有效的过滤或转换,允许攻击者插入恶意Web代码。
跨站脚本漏洞的潜在威胁:
攻击者利用该漏洞,可能获取正常用户Cookie中的敏感数据、屏蔽页面特定信息、伪造页面信息、拒绝服务攻击、突破外网内网不同安全设置、与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
修改参数为”/>
3
测试成功标准
能够插入Javascript代码并成功执行
4
测试内容
测试web程序是否允许插入用户提交的跨站脚本攻击代码
5
测试影响
无
3.2.1.4.3.跨站伪造请求类
⏹漏洞或威胁介绍
跨站伪造请求漏洞产生原理:
安全开发不当,没有采用Token验证机制。
跨站伪造请求漏洞潜在威胁:
一个跨站伪造请求会模拟其他人登陆状态去访问一些功能接口,而这些功能或接口会认为是一次合法请求,如:
攻击者利用此漏洞可以添加后台管理员或直接创建Web脚本,控制Web服务器,以此为跳板获取整个内网服务器控制权限。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
示例:
应用程序允许用户提交不包含任何保密字段的状态改变请求,如:
height="0"/>如果受害用户通过认证后访问任何一个这样的恶意网站,伪造的请求将包含用户的会话信息,导致该请求被授权执行
3
测试成功标准
成功的冒充了他人身份,成功执行需要授权完成功能
4
测试内容
测试web程序是否存在跨站伪造请求漏洞
5
测试影响
无
3.2.1.4.4.认证会话管理类
⏹漏洞或威胁介绍
认证会话管理失效产生原理:
与会话管理相关的应用程序功能往往得不到正确的实现。
认证会话管理失效潜在威胁:
攻击者利用该漏洞,可能破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
示例:
机票预订应用程序支持URL重写,把会话ID放在URL里:
3
测试成功标准
成功的冒充了他人身份
4
测试内容
测试web程序是否存在会话管理失效
5
测试影响
无
3.2.1.4.5.弱口令类
⏹漏洞或威胁介绍
弱口令漏洞的产生原理:
无经验的系统操作人员没有意识到需要修改其安装软件的默认配置;
开发人员为了方便访问和测试留下的后门;
管理人员和用户使用简单易记忆用户名及密码;
应用存在缺省的(也许不可删除的)帐户及密码。
弱口令漏洞的潜在威胁:
攻击者利用该漏洞,可进行后台数据库操作并插入木马,以获取整个网站和数据库的控制权限,包括修改删除网站页面、窃取数据库敏感信息;甚至以网站为跳板,获取整个内网服务器控制权限。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
1.可尝试的用户名:
“admin”,“administrator”,“root”,“system”,“guest”,“operator”,or“super”,“qa”,“test”,“test1”,“testing”。
2.可尝试的密码:
空密码,"password","password123","pass123","admin","guest","123456"。
使用应用程序的名称或类似名称作为用户名/密码。
确认用户名的格式(如果存在注册页面,可以利用)。
检查源文件及JS文件(包括注释),查看是否有相关信息。
如:
“Ifusername=‘admin’。
用户名命名是否存在可以遵循的规律。
新建一个用户,查看其初始密码设定是否存在规律
3
测试成功标准
成功登陆成功
4
测试内容
测试web程序是否存在弱口令漏洞
5
测试影响
无
3.2.1.4.6.信息未加密类
⏹漏洞或威胁介绍
信息未加密的产生原理:
Web应用开发人员安全意识不到位。
信息未加密的潜在威胁:
当攻击者拿到数据后,这些数据直接就暴露给攻击者了,如果对数据做了加密处理,攻击者即使拿到数据,也无法破解数据。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
检查核心数据是否做了加密处理。
例:
用户密码是否使用了salt的哈希算法加密
3
测试成功标准
做了加密处理
4
测试内容
测试核心数据是否做了加密处理
5
测试影响
无
3.2.1.4.7.文件包含类
⏹漏洞或威胁介绍
文件包含漏洞的产生原理:
Web应用开发人员安全意识不到位,在包含或下载文件时未对用户传递的文件路径或文件名做控制。
文件包含漏洞的潜在威胁:
当攻击者利用此漏洞可以下载或浏览服务器上的其他文件,如一些程序数据库配置文件,操作系统密码文件,这样可以方便攻击者更容易攻破系统直接获取web权限或操作系统权限,甚至以网站为跳板,获取整个内网服务器控制权限。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
对有传递文件路径的地方,通过修改文件名或文件路径,测试是否可以包含其他文件。
例:
网页有一个URL:
http:
//127.0.0.1/download.jsp?
file=a.jpg下载图片a.jpg,我们修改参数file改为:
../../../../etc/passwd成功包含了passwd文件
例:
http:
//127.0.0.1/index.php?
include_path=test.ph包含test.php,我们修改test.php。
包含远程的php文件或本地的其他文件。
http:
//127.0.0.1/index.php?
include_path=http:
//127.0.0.2/shell.php包含远程php文件执行,包含本地jpg文件执行http:
//127.0.0.1/index.php?
include_path=upload/userface.jpg
3
测试成功标准
成功包含其他文件
4
测试内容
测试web应用是否存在文件包含漏洞
5
测试影响
无
3.2.1.4.8.目录浏览类
⏹漏洞或威胁介绍
目录浏览漏洞的产生原理:
Web服务器配置不当或程序读文件对用户传递的路径未做控制导致可以跳转任意目录。
目录浏览漏洞的潜在威胁:
当攻击者利用此漏洞可以浏览任意目录,当程序中存在以下数据库或程序等备份文件时,攻击者可以轻松获取这些东西,然后拿到Web权限,在通过Web权限拿到操作系统权限,甚至以本机为跳板,获取整个内网服务器控制权限。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
浏览Web程序的目录,查看是否有将文件列表展示
在有读文件操作并返回给用户的地方,测试用户传递的路径是否可以跳转任意目录
3
测试成功标准
成功显示目录或文件列表
4
测试内容
测试web应用是否存在目录浏览漏洞
5
测试影响
无
3.2.1.4.9.不安全的URL跳转类
⏹漏洞或威胁介绍
不安全的URL跳转漏洞产生原理:
URL权限控制不当。
不安全的URL跳转漏洞潜在威胁:
当攻击者利用此漏洞可以跳转到目标网站,骗取信任,通过搭建钓鱼网站等诱骗用户。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
在跳转URL的时候测试修改目标URL,是否可以跳转到其他网站。
例如URL:
http:
//127.0.0.1/jump.jsp?
url=login.jsp,此URL用来跳转到登陆页面,我们修改成http:
//127.0.0.1/jump.jsp?
url=http:
//钓鱼网.com,跳转到钓鱼网站,骗取信任
3
测试成功标准
成功跳转到其他网站
4
测试内容
测试web应用是否存在不安全的URL访问
5
测试影响
无
3.2.1.4.10.溢出漏洞类
⏹漏洞或威胁介绍
溢出漏洞产生原理:
程序中的某个或某些输入函数(使用者输入参数)对所接收数据的边界验证不严密而造成。
溢出漏洞潜在威胁:
当攻击者利用此漏洞可以直接破坏程序的正常运行或直接获取操作系统权限,甚至以本机为跳板,获取整个内网服务器控制权限。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
增加用户输入参数的长度,观察程序是否异常
3
测试成功标准
程序异常
4
测试内容
测试应用程序是否存在溢出漏洞
5
测试影响
无
3.2.1.4.11.信息泄露类
⏹漏洞或威胁介绍
信息泄露产生原理:
Web服务器配置或运维不当,例如Web应用的某些测试页面可能会使用到PHP的phpinfo()函数,会输出服务器的关键信息;如服务器在出现500错误的是否,打印了详细错误信息。
信息泄露潜在威胁:
攻击者可利用该漏洞,通过查看网站服务器关键信息,可能获取网站Web服务器配置信息甚至账户信息;通过结合其他漏洞可能造成更严重的危害。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
查看是否有测试文件,备份文件,SVN版本文件,参数错误,服务器返回500状态码错误时,是否有敏感的错误信息
3
测试成功标准
发现敏感的信息
4
测试内容
测试应用程序是否存在信息泄露
5
测试影响
无
3.2.1.4.12.文件上传类
⏹漏洞或威胁介绍
信息泄露产生原理:
Web开发人员在处理文件上传时,未正确对文件后缀做过滤。
信息泄露潜在威胁:
攻击者可利用该漏洞,可以直接上传WebShell控制Web服务器甚至,以网站为跳板,获取整个内网服务器控制权限。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
查看文件上传点是否过滤了常规的一些php,asp,jsp,aspx等脚本的上传
3
测试成功标准
发现可以上传Web脚本程序
4
测试内容
测试应用程序是否存在文件上传漏洞
5
测试影响
无
3.2.1.4.13.不安全的数据传输
⏹漏洞或威胁介绍
不安全的数据传输漏洞的产生原理:
核心交互数据没有采用加密传输,如SSL加密、HTTPS传输。
不安全的数据传输漏洞的潜在威胁:
攻击者利用此漏洞,可以在传输过程中,窃取或拦截传输数据,造成数据泄密。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
检查核心交互是否采用了SSL加密https传输
3
测试成功标准
采用了SSL加密https传输
4
测试内容
测试核心交互是否采用了SSL加密https传输
5
测试影响
无
3.2.1.4.14.未授权访问类
⏹漏洞或威胁介绍
未授权访问漏洞产生原理:
URL权限控制不当。
未授权访问漏洞潜在威胁:
当攻击者利用此漏洞可以任意浏览他人信息,造成信息泄密,攻击者利用这些信息,可能拿到Web权限,在通过Web权限拿到操作系统权限,甚至以本机为跳板,获取整个内网服务器控制权限。
⏹检测用例
序号
项目
内容
1
测试对象
应用系统
2
测试方法
攻击者只需简单地迫使浏览器连接到目标网址。
例如下面的两个网址都需要身份验证。
访问“admin_getappInfo”页面同时还需要管理员权限。