测
试
方
案
2020-07-04
1.测试概述
1.1.测试简介
本次测试内容为渗透测试。
渗透测试:是为了证明网络防御按照预期计划正常运行而提供的一种机制。
1.2.测试计划
1.2.1.测试内容
本次系统测试包括功能测试、性能测试、安全测试以及文档测试,本次测试工作将系统测试对象进行控制点划分,依据项目建设要求和相关标准、规范进行项目系统测试,并加强系统各阶段测试和实施过程控制,完善项目目标控制手段。
1.2.2.管理和技术要求
1、管理要求
为了保证本项目系统综合测试的顺利进行,将对项目实施事前评审和测试过程监督测试管理工作,合理分配项目人员负责相应的测试工作。
2、技术要求
为了保证本项目系统测试的顺利进行,在本次测试过程中将采取如下技术要求:
※渗透测试:验证系统设计的安全性是否满足客户需求。
2.测试范围
| 检测分类 | 检测范围 |
| Web网站 | SQL注入 |
| XSS跨站脚本 | |
| 网页挂马 | |
| 缓冲区溢出 | |
| 文件上传漏洞 | |
| 源代码泄露 | |
| 目录浏览、遍历漏洞 | |
| 数据库泄露 | |
| 弱口令 | |
| 越权访问 | |
| 会话验证绕过 | |
| 管理地址泄露 | |
| 信息检测 | |
| 中间件漏洞 | |
| 支付安全验证 | |
| 其他(如:写入控制,防止批量添加数据,是否使用验证码等) | |
| SOA服务端 | SQL注入 |
| 缓冲区溢出 | |
| 文件上传漏洞 | |
| 目录浏览、遍历漏洞 | |
| 弱口令 | |
| 越权访问 | |
| 会话验证绕过 | |
| 中间件漏洞 | |
| 其他(如:写入控制,防止批量添加数据,是否使用验证码等) |
| 小程序客户端 | 组件安全检测 |
| 代码安全检测 | |
| 内存安全检测 | |
| 数据安全检测 | |
| 业务安全检测 | |
| 应用管理检测 | |
| 服务器 | 身份鉴别 |
| 自主访问控制 | |
| 强制访问控制 | |
| 可信路径 | |
| 安全审计 | |
| 剩余信息保护 | |
| 入侵防范 |
| 检测项目 | 检测子类 | 类型 | 扫描测试 | 渗透测试 |
| 智能审核决策平台 | 小程序 | 小程序 | √ | √ |
| 审核平台 | Service | √ | √ | |
| 三方数据 | Service | √ | √ | |
| 内网审核平台 | Service | √ | √ | |
| 决策平台 | Service | √ | √ | |
| 三方数据服务 | Service | √ | √ | |
| 数据服务 | Service | √ | √ | |
| 自动化获取征信报告 | Service | √ | √ |
针对本次项目的测试范围和内容,我公司采取渗透测试的方法对整体系统进行安全性评估。
4.1.渗透测试原理
渗透测试过程主要依据现今已经掌握的安全漏洞信息,模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试,这里说有的渗透测试行为将在客户的书面明确授权和监督下进行。
4.2.渗透测试的流程
方案制定:
在获取到业主单位的书面授权许可后, 才进行渗透测试的实施。并且将实施范围、方法、时间、 人员等具体的方案与业主单位进行交流,并得到业主单位的认同。 在测试实施之前,会做到让业主单位对渗透测试过程和风险的知晓, 使随后的正式测试流程都在业主单位的控制下。
信息收集:
这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。 可以采用一些商业安全评估系统(如: ISS等) ; 免费的检测工具(NESSUS、Nmap 等)进行收集
测试实施:
在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web应用),此阶段如果成功的话,可能获得普通权限。渗透测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。 在获取到普通权限后, 尝试由普通权限提升为管理员权限, 获得对系统的完全控制权。一旦成功控制一台或多台服务器后,测试人员将利用这些被控制的服务器作为跳板,绕过防火墙或其他安全设备的防护,从而对内网其他服务器和客户端进行进一步的渗透。此过程将循环进行, 直到测试完成。最后由渗透测试人员清除中间数据。
报告输出:
渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。内容包括:具体的操作步骤描述;响应分析以及最后的安全修复建议
安全复查:
渗透测试完成后,某某协助业主单位对已发现的安全隐患进行修复。修复完成后,渗透测试工程师对修复的成果再次进行远程测试复查,对修复的结果进行检验,确保修复结果的有效性。
4.3.渗透测试的风险规避
在渗透测试过程中,虽然我们会尽量避免做影响正常业务运行的操作,也会实施风险规避的计策,但是由于测试过程变化多端,渗透测试服务仍然有可能对网络、系统运行造成一定不同程度的影响,严重的后果是可能造成服务停止, 甚至是宕机。比如渗透人员实施系统权限提升操作时,突遇系统停电,再次重启时可能会出现系统无法启动的故障等。因此,我们会在渗透测试前与业主单位详细讨论渗透方案,并采取如下多条策略来规避渗透测试带来的风险。
时间策略:
为减轻渗透测试造成的压力和预备风险排除时间,一般的安排测试时间在业务量不高的时间段。
测试策略:
为了防范测试导致业务的中断,可以不做一些拒绝服务类的测试。非常重要的系统不建议做深入的测试,避免意外崩溃而造成不可挽回的损失;具体测试过程中,最终结果可以由测试人员做推测,而不实施危险的操作步骤加以验证等。
备份策略:
为防范渗透过程中的异常问题,测试的目标系统需要事先做一个完整的数据备份,以便在问题发生后能及时恢复工作。对于核心业务系统等不可接受可能风险的系统的测试,可以采取对目标副本进行渗透的方式加以实施。这样就需要完整的复制目标系统的环境:硬件平台、操作系统、应用服务、程序软件、业务访问等;然后对该副本再进行渗透测试。
应急策略:
测试过程中,如果目标系统出现无响应、中断或者崩溃等情况,我们会立即中止渗透测试,并配合业主单位技术人员进行修复处理等。 在确认问题、修复系统、 防范此故障再重演后,经业主单位方同意才能继续进行其余的测试。
沟通策略:
测试过程中,确定测试人员和业主单位方配合人员的联系方式,便于及时沟通并解决工程中的难点。
5.我公司渗透测试优势
5.1.专业化团队优势
我公司有渗透测试优势专业化的渗透测试团队。渗透测试服务开展相对较早,经验非常丰富,曾经参与过很多大型网站的渗透测试工作。渗透测试团队会根据项目的规模有选择性的申请部分漏洞研发团队专家参与到项目中,共同组成临时的渗透测试小组,面向用户提供深层次、多角度、全方位的渗透测试
5.2.深入化的测试需求分析
在渗透测试开展前期,会从技术层面(网络层、系统层、应用层)着手与用户进行广泛沟通,对用户当前的一些重要资料进行采集、汇总、梳理、掌握, 以便为渗透测试工作地开展奠定良好的基础。除了技术层面以外,某某也将会根据用户渗透测试的目标以及提出的需求着重对于用户的业务层面进行分析, 并且将分析结果应用于渗透测试当中,做到明确所有需求的基础上准确而深入的贯彻用户的意图,将渗透测试的目标与业务系统连续性运行保障紧密的结合起来。
5.3.规范化的渗透测试流程
渗透测试流程分为准备、渗透以及加固三个基本阶段,在每个阶段都会生成阶段文档,最终在完成渗透测试整个流程以后将会由项目经理将三个阶段的文档进行整理、汇总、提交给用户。并且针对过程中遇到的问题向用户进行汇报。 某某提供的渗透测试流程特点就在于将渗透准备阶段及安全加固阶段作为两个而重要环节贯穿于整个渗透测试过程当中,这样就可以结合某某在项目监控管理方面的优势对整个渗透测试项目开展的规范化加以保障。
5.4.全面化的渗透测试内容
渗透测试内容基本围绕技术层面(系统层、应用层、网络层)进行开展,并且针对不同层面的安全漏洞及威胁某某提供了一系列渗透测试方法及流程。并且结合不同的漏洞也提出相应的修补建议供用户借鉴。
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
