公司渗透测试方案.doc
《公司渗透测试方案.doc》由会员分享,可在线阅读,更多相关《公司渗透测试方案.doc(31页珍藏版)》请在冰豆网上搜索。
XXX渗透测试方案
■文档编号
■密级
■版本编号
■日期
!
■版本变更记录
时间
版本
说明
修改人
■适用性声明
本文档是(以下简称“某某”)为XXX(以下简称“XXX”)提交的渗透测试方案,供XXX的项目相关人员阅读。
28/31下载文档可编辑
目录
一. 概述 1
1.1 项目背景 1
1.2 实施目的 1
1.3 服务目标 2
二. 远程渗透测试介绍 3
2.1 渗透测试原理 3
2.2 渗透测试流程 3
2.3 渗透测试的风险规避 6
2.4 渗透测试的收益 7
2.5 渗透工具介绍 7
2.5.1 系统自带工具 8
2.5.2 自由软件和渗透测试工具 8
三. 项目实施计划 10
3.1 方案制定 10
3.2 信息收集 11
3.3 测试实施 11
3.4 报告输出 15
3.5 安全复查 15
四. 交付成果 16
五. 某某渗透测试的优势 16
附录A 某某公司简介 19
一.概述
1.1项目背景
XXX成立于1992年,注册资金7亿元,具有中国房地产开发企业一级资质,总资产300多亿元,是一个涵盖房地产开发、商业管理、物业管理、商贸代理、综合投资业务的大型集团企业。
多年来,XXX信息系统的发展与信息化的建设密不可分,并且通过领导重视、业务需求、自身努力已经将信息化程度提高到一定的水平。
但近年来针对XXX信息系统的安全事件时有发生,网络面临的安全威胁日益严重。
随着业务需求不断地增加、网络结构日趋复杂,信息系统面临的安全威胁、威胁的主体及其动机和能力、威胁的客体等方面都变得更加复杂和难于控制。
XXX信息系统的建设是由业务系统的驱动建设而成的,初始的网络建设大多没有统一的安全规划,而业务系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。
在支持业务不断发展的前提下,如何保证系统的安全性是一个巨大的挑战,对系统进行区域划分,进行层次化、有重点的保护是保证系统和信息安全的有效手段,信息安全体系化的建设与开展迫在眉睫。
1.2实施目的
信息安全越来越成为保障企业网络的稳定运行的重要元素。
XXX信息系统经过多年的实践和摸索,已经初具规模,在技术上、产品方面取得了很大的成就,但随着企业面临的安全威胁不断变化,单纯地靠产品来解决各类信息安全问题已经不能满足XXX的实际安全需求。
从根本上解决目前企业所面临的信息安全难题,只靠技术和产品是不够的,服务将直接影响到解决各类安全问题的效果。
对于已经实施了安全防护措施(安全产品、安全服务)或者即将实施安全防护措施的XXX而言,明确网络当前的安全现状对下一步的安全建设具有重大的指导意义。
所以本次项目的目的是通过远程渗透测试全面检测XXX信息系统目前存在安全隐患,为下一步信息安全建设提供依据。
我们相信,凭借某某多年的安全技术积累和丰富的安全服务项目经验,能够圆满的完成本次安全服务项目。
同时,我们也希望能继续保持和XXX在信息安全项目上长期的合作,共同为XXX信息系统的安全建设贡献力量。
1.3服务目标
某某在本次XXX信息安全服务项目中将达到以下的目标:
n通过远程渗透测试全面检测XXX信息系统直接暴露在互联网上的安全隐患,并提供实际可行的安全修复建议。
二.远程渗透测试介绍
2.1渗透测试原理
渗透测试过程主要依据某某安全专家已经掌握的安全漏洞信息,模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。
这里,所有的渗透测试行为将在客户的书面明确授权和监督下进行。
2.2渗透测试流程
方案制定
某某获取到XXX的书面授权许可后,才进行渗透测试的实施。
并且将实施范围、方法、时间、人员等具体的方案与XXX进行交流,并得到XXX的认同。
在测试实施之前,某某会做到让XXX对渗透测试过程和风险的知晓,使随后的正式测试流程都在XXX的控制下。
信息收集
这包括:
操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。
可以采用一些商业安全评估系统(如:
ISS、极光等);免费的检测工具(NESSUS、Nmap等)进行收集。
测试实施
在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:
操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:
Web应用),此阶段如果成功的话,可能获得普通权限。
渗透测试人员可能用到的测试手段有:
扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。
在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。
一旦成功控制一台或多台服务器后,测试人员将利用这些被控制的服务器作为跳板,绕过防火墙或其他安全设备的防护,从而对内网其他服务器和客户端进行进一步的渗透。
此过程将循环进行,直到测试完成。
最后由渗透测试人员清除中间数据。
报告输出
渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。
内容包括:
具体的操作步骤描述;响应分析以及最后的安全修复建议。
安全复查
渗透测试完成后,某某协助XXX对已发现的安全隐患进行修复。
修复完成后,某某渗透测试工程师对修复的成果再次进行远程测试复查,对修复的结果进行检验,确保修复结果的有效性。
下图是更为详细的步骤拆分示意图:
某某渗透测试流程图
2.3渗透测试的风险规避
在渗透测试过程中,虽然我们会尽量避免做影响正常业务运行的操作,也会实施风险规避的计策,但是由于测试过程变化多端,渗透测试服务仍然有可能对网络、系统运行造成一定不同程度的影响,严重的后果是可能造成服务停止,甚至是宕机。
比如渗透人员实施系统权限提升操作时,突遇系统停电,再次重启时可能会出现系统无法启动的故障等。
因此,我们会在渗透测试前与XXX详细讨论渗透方案,并采取如下多条策略来规避渗透测试带来的风险:
时间策略:
为减轻渗透测试造成的压力和预备风险排除时间,一般的安排测试时间在业务量不高的时间段。
测试策略:
为了防范测试导致业务的中断,可以不做一些拒绝服务类的测试。
非常重要的系统不建议做深入的测试,避免意外崩溃而造成不可挽回的损失;具体测试过程中,最终结果可以由测试人员做推测,而不实施危险的操作步骤加以验证等。
备份策略:
为防范渗透过程中的异常问题,测试的目标系统需要事先做一个完整的数据备份,以便在问题发生后能及时恢复工作。
对于核心业务系统等不可接受可能风险的系统的测试,可以采取对目标副本进行渗透的方式加以实施。
这样就需要完整的复制目标系统的环境:
硬件平台、操作系统、应用服务、程序软件、业务访问等;然后对该副本再进行渗透测试。
应急策略:
测试过程中,如果目标系统出现无响应、中断或者崩溃等情况,我们会立即中止渗透测试,并配合XXX技术人员进行修复处理等。
在确认问题、修复系统、防范此故障再重演后,经XXX方同意才能继续进行其余的测试。
沟通策略:
测试过程中,确定测试人员和XXX方配合人员的联系方式,便于及时沟通并解决工程中的难点。
2.4渗透测试的收益
渗透测试是站在实战角度对XXX指定的目标系统进行的安全评估,可以让XXX相关人员直观的了解到自己网络、系统、应用中隐含的漏洞和危害发生时可能导致的损失。
通过我们的渗透测试,可以获得如下增益:
n安全缺陷:
从黑客的角度发现XXX安全体系中的漏洞(隐含缺陷),协助XXX明确目前降低风险的措施,为下一步的安全策略调整指明了方向。
n测试报告:
能帮助XXX以实际案例的形式来说明目前安全现状,从而增加XXX对信息安全的认知度,提升XXX人员的风险危机意识,从而实现内部安全等级的整体提升。
n交互式渗透测试:
我们的渗透测试人员在XXX约定的范围、时间内实施测试,而XXX人员可以与此同时进行相关的检测监控工作,测试自己能不能发现正在进行的渗透测试过程,从中真实的评估自己的检测预警能力。
2.5渗透工具介绍
渗透测试人员模拟黑客入侵攻击的过程中使用的是操作系统自带网络应用、管理和诊断工具、黑客可以在网络上免费下载的扫描器、远程入侵代码和本地提升权限代码以及某某自主开发的安全扫描工具。
这些工具经过全球数以万计的程序员、网络管理员、安全专家以及黑客的测试和实际应用,在技术上已经非常成熟,实现了网络检查和安全测试的高度可控性,能够根据使用者的实际要求进行有针对性的测试。
但是安全工具本身也是一把双刃剑,为了做到万无一失,我们也将针对系统可能出现的不稳定现象提出相应对策,以确保服务器和网络设备在进行渗透测试的过程中保持在可信状态。
2.5.1系统自带工具
以下列出了主要应用到的系统自带网络应用、管理和诊断工具,某某渗透测试工程师将用到但不限于只使用以下系统命令进行渗透测试。
工具名称
风险等级
获取途径
主要用途
存在风险描述
风险控制方法
ping
无
系统自带
获取主机信息
无
无
telnet
无
系统自带
登录系统
无
无
ftp
无
系统自带
传输文件
无
无
tracert
无
系统自带
获取网络信息
无
无
netuse
无
系统自带
建立连接
无
无
netuser
无
系统自带
查看系统用户
无
无
echo
无
系统自带
文件输出
无
无
nslookup
无
系统自带
获取主机信息
无
无
IE
无
系统自带
获得web信息、进行SQL注入
无
无
2.5.2自由软件和渗透测试工具
以下列出了渗透测试中常用到的网络扫描工具、网络管理软件等工具,这些工具都是网络上的免费软件。
某某渗透测试工程师将可能利用到但是不限于利用以下工具。
远程溢出代码和本地溢出代码需要根据具体系统的版本和漏洞情况来选择,由于种类繁杂并且没有代表性,在这里不会一一列出。
工具
名称
风险
等级
获取途径
主要用途
存在风险描述
风险控制方法
nmap
无
获取主机开放的服务、端口信息
无
无
nessus
低
对主机进行漏洞扫描
可能造成网络资源的占用
如果主机负载过高,停止扫描。
Retina
低
对主机进行漏洞扫描
可能造成网络资源的占用
如果主机负载过高,停止扫描。
nc
无
端口连接工具
无
无
远程溢出工具
中
packetstormsecurity.nl
通过漏洞远程进入系统
溢出程序可能造成服务不稳定
备份数据,服务异常时重启服务。
本地溢出工具
中
packetstormsecurity.nl
通过漏洞本地提升权限
溢出程序可能造成服务不稳定
备份数据,服务异常时重启服务。
三.项目实施计划
XXX信息系统服务器主要包括域控、DNS、Mail、ERP、OA、档案、桌面管理、节点监控、财务和Web等约12台,其中DNS、Mail、ERP、OA和Web等6台服务器可以通过互联网直接访问。
根据项目服务目标和项目服务内容,可将整个项目包括项目沟通、方案制定、信息收集、测试实施、报告输出和安全复查,项目实施计划表如下:
项目阶段
实施内容
工期
启动阶段
项目启动协调会
0.5工作日
实施阶段
方案制定
根据XXX信息系统实际情况制定详细测试方案、测试方法以及测试工具的准备。
1工作日
信息收集
利用公开域查询、扫描、嗅探以及社会工程学等手段收集XXX信息系统大量信息,从中提取有用信息。
2工作日
测试实施
对前期收集的敏感或者漏洞信息进行利用,控制部分服务器;然后利用被控制的服务器作为跳板,绕过安全设备的限制,对内网进行渗透。
22工作日
报告输出
对前期的工作和测试成果进行汇总,并制定安全修复建议,最后编写相应报告。
1工作日
安全复查
修复完成后对修复结果进行复查,检测修复效果,并完成复查报告。
1工作日
验收阶段
项目验收报告会
0.5工作日
3.1方案制定
某某远程渗透测试小组根据XXX信息系统的规模和实际业务情况制定详细的渗透测试方案,包括测试方法的选择、测试工具的准备已经分析测试过程中可能带来的风险分析和相应的风险规避方法。
3.2信息收集
在信息收集阶段的测试方法、测试内容以及可能存在的风险情况如下表所示:
测试方法
测试内容
风险等级
存在风险
风险控制方法
工期
(工作日)
公开域信息收集
通过whois、nslookup、baidu、google等方法搜索XXX信息系统的公开域信息。
无
无
无
0.5
扫描
对XXX信息系统暴露在互联网的网络、系统、主机和应用程序进行远程漏洞扫描,并对扫描结果进行分析。
低
特别是对应用程序的扫描会使用海量的测试用例进行测试,可能消耗服务器一定性能
终止扫描
1
社会工程学
利用社会工程学原理获取XXX信息系统敏感信息
无
无
无
0.5
3.3测试实施
测试实施阶段主要分为两个阶段。
在第一阶段,某某测试人员根据前期收集的信息对XXX直接暴露在互联网系统进行测试,利用目前前沿的入侵技术控制部分目标系统。
第一阶段完成后,某某渗透测试小组与XXX相关人员进行沟通,汇报测试成果以及下一步的测试计划,双方达成共识并做好相应数据备份后,某某测试人员利用前期被控制的系统作为跳板进行内网的渗透测试。
第一阶段的测试对象和测试方法以及可能出现的风险情况如下表:
测试对象
测试方案
风险等级
存在风险
风险控制方法
工期
(工作日)
网络设备
口令破解、嗅探
中
口令破解可能会消耗服务器性能
停止破解
0.5
远程溢出类
高
可能出现未知错误而宕机
重启设备
0.5
协议攻击,如路由欺骗、二层攻击等
高
可能导致路由错误,导致正常路由不可达
重启设备
0.5
DNS
系统层漏洞,如口令破解、嗅探、远程溢出以及已知木马后门探测和利用等
中
口令破解可能会消耗服务器性能
停止破解
0.5
DNS软件远程溢出类测试
高
可能出现未知错误而使DNS服务无法正常运行
重启DNS服务
0.5
CachePoison
高
投毒成功则造成dns无法正常解析域名查询请求
重启DNS服务
1
DoS测试
中
严重影响服务器性能,严重时可能导致服务器处于假死状态
停止测试
0.5
Mail
系统层漏洞,如口令破解、嗅探、远程溢出以及已知木马后门探测和利用等
中
口令破解可能会消耗服务器性能
停止破解
0.5
POP3口令破解
中
口令破解可能会消耗服务器性能
停止破解
0.5
MTA软件远程溢出类测试
高
可能出现未知错误而使Mail服务无法正常运行
重启DNS服务
0.5
邮件系统配置类缺陷,如匿名转发,发信认证、认证策略等
中
伪造邮件欺骗客户端收信人员或钓鱼,对服务器端无危险
告知被欺骗的人员
1
客户端欺骗
中
制作欺骗性邮件欺骗客户端,从而获取敏感信息
告知被欺骗的人员
0.5
ERP
系统层漏洞,如口令破解、嗅探、远程溢出以及已知木马后门探测和利用等
中
口令破解可能会消耗服务器性能
停止破解
0.5
ERP系统认证授权类,包括暴力攻击、认证不充分、会话定置、会话期限不充分、凭证/会话预测和授权不充分等
中
口令破解可能会消耗服务器性能
停止破解
0.5
ERP系统命令执行类,包括LDAP注入、SSI注入、SQL注入、Xpath注入、操作系统命令、格式字符串攻击和缓冲区溢出等
高
注入类测试可能导致页面或数据篡改
测试时实时沟通,对于可能出现篡改时事先做好数据备份,并制定数据恢复方案
1
ERP系统逻辑攻击类,包括功能滥用和拒绝服务等
高
拒绝服务可能导致服务器反应缓慢
停止测试
0.5
ERP系统客户端攻击类,包括跨站点脚本编制和内容电子欺骗等
高
对服务器无影响
无
0.5
ERP系统信息泄露类,包括可预测资源定位、路径遍历、目录索引和信息泄露等
中
无
无
0.5
OA
系统层漏洞,如口令破解、嗅探、远程溢出以及已知木马后门探测和利用等
中
口令破解可能会消耗服务器性能
停止破解
0.5
OA认证授权类,包括暴力攻击、认证不充分、会话定置、会话期限不充分、凭证/会话预测和授权不充分等
中
口令破解可能会消耗服务器性能
停止破解
0.5
OA命令执行类,包括LDAP注入、SSI注入、SQL注入、Xpath注入、操作系统命令、格式字符串攻击和缓冲区溢出等
高
注入类测试可能导致页面或数据篡改
测试时实时沟通,对于可能出现篡改时事先做好数据备份,并制定数据恢复方案
1
OA逻辑攻击类,包括功能滥用和拒绝服务等
高
拒绝服务可能导致服务器反应缓慢
停止测试
0.5
OA客户端攻击类,包括跨站点脚本编制和内容电子欺骗等
高
对服务器无影响
无
0.5
OA信息泄露类,包括可预测资源定位、路径遍历、目录索引和信息泄露等
中
无
无
0.5
WEB
(2个系统)
系统层漏洞,如口令破解、嗅探、远程溢出以及已知木马后门探测和利用等
中
口令破解可能会消耗服务器性能
停止破解
0.5
WEB系统认证授权类,包括暴力攻击、认证不充分、会话定置、会话期限不充分、凭证/会话预测和授权不充分等
中
口令破解可能会消耗服务器性能
停止破解
0.5
WEB系统命令执行类,包括LDAP注入、SSI注入、SQL注入、Xpath注入、操作系统命令、格式字符串攻击和缓冲区溢出等
高
注入类测试可能导致页面或数据篡改
测试时实时沟通,对于可能出现篡改时事先做好数据备份,并制定数据恢复方案
2
WEB系统逻辑攻击类,包括功能滥用和拒绝服务等
高
拒绝服务可能导致服务器反应缓慢
停止测试
1
WEB系统客户端攻击类,包括跨站点脚本编制和内容电子欺骗等
高
对服务器无影响
无
1
WEB系统信息泄露类,包括可预测资源定位、路径遍历、目录索引和信息泄露等
中
无
无
1
经过第一阶段的测试,如果控制部分服务器后则进入第二阶段的测试;如果第一阶段测试的目标服务器处于较安全的状态,测试人员未能控制部分部分服务器,则选取一台外网服务器,假设已被控制,再进入第二阶段测试。
第二阶段的测试对象和测试方法以及可能出现的风险情况如下表:
测试对象
测试方案
风险等级
存在风险
风险控制方法
工期
(工作日)
内网服务器
口令破解、嗅探
中
口令破解可能会消耗服务器性能;网络嗅探可能出现短暂断网现象
停止破解或者停止嗅探
0.5
远程溢出类
高
可能出现未知错误而宕机
重启服务器
0.5
内网客户端
口令破解、嗅探
中
口令破解可能会影响网络性能;网络嗅探可能出现短暂断网现象
停止破解或者停止嗅探
0.5
远程溢出类
高
可能出现未知错误而宕机
重启客户端
0.5
控制域服务器
高
无
无
0
3.4报告输出
测试人员汇总整理前期工作内容和成果,并根据XXX信息系统实际制定可行的安全修复方案,最后形成《远程渗透测试报告》。
此过程共需1个人日。
3.5安全复查
渗透测试完成后,某某协助XXX对已发现的安全隐患进行修复。
修复完成后,某某渗透测试小组对修复的成果再次进行远程测试复查,对修复的结果进行检验,确保修复结果的有效性。
最终完成《渗透测试复查报告》。
此过程共需1个人日。
四.交付成果
最终提交如下交付物件:
《XXX信息系统远程渗透测试报告》
《XXX信息系统远程渗透测试复查报告》
五.某某渗透测试的优势
某某渗透测试优势
l专业化的渗透测试团队
某某拥有国内知名的漏洞研究团队,对漏洞的研究成果已经应用到了很多的安全产品当中。
多项基于漏洞研发的产品均获得国际国内的诸多荣誉以及行业广泛认可。
某某渗透测试服务开展相对较早,经验非常丰富,曾经参与过很多大型网站的渗透测试工作(奥运会官网、国网等),并且在奥运会期间某某渗透测试团队曾为很多具有影响力和关键性网站提供了信息安全保障服务。
渗透测试团队会根据项目的规模有选择性的申请部分漏洞研发团队专家参与到项目中,共同组成临时的渗透测试小组,面向用户提供深层次、多角度、全方位的渗透测试。
注:
某某至今维护着国内最大中文漏洞库,并具有基础漏洞分析定位能力。
l深入化的测试需求分析
某某在渗透测试开展前期,会从技术层面(网络层、系统层、应用层)着手与用户进行广泛沟通,对用户当前的一些重要资料进行采集、汇总、梳理、掌握,以便为渗透测试工作地开展奠定良好的基础。
除了技术层面以外,某某也将会根据用户渗透测试的目标以及提出的需求着重对于用户的业务层面进行分析,并且将分析结果应用于渗透测试当中,做到明确所有需求的基础上准确而深入的贯彻用户的意图,将渗透测试的目标与业务系统连续性运行保障紧密的结合起来。
l规范化的渗透测试流程
某某渗透测试流程分为准备、渗透以及加固三个基本阶段,在每个阶段都会生成阶段文档,最终在完成渗透测试整个流程以后将会由项目经理将三个阶段的文档进行整理、汇总、提交给用户。
并且针对过程中遇到的问题向用户进行汇报。
某某提供的渗透测试流程特点就在于将渗透准备阶段及安全加固阶段作为两个独立而重要环节贯穿于整个渗透测试过程当中,这样就可以结合某某在项目监控管理方面的优势对整个渗透测试项目开展的规范化加以保障。
l全面化的渗透测试内容
某某渗透测试内容基本围绕技术层面(系统层、应用层、网络层)进行开展,并且针对不同层面的安全漏洞及威胁某某提供了一系列渗透测试方法及流程。
并且结合不同的漏洞也提出相应的修补建议供用户借鉴。
某某渗透测试内容图
(学习的目的是增长知识,提高能力,相信一分耕耘一分收获,努力就一定可以获得应有的回报)
升级会员 