渗透测试方案资料.docVIP

四川品胜安全性渗透测试 测 试 方 成都国信安信息产业基地有限公司 目 录 目 录 1 1. 引言 2 1.1. 项目概述 2 2. 测试概述 2 2.1. 测试简介 2 2.2. 测试依据 2 2.3. 测试思路 3 2.3.1. 工作思路 3 2.3.2. 管理和技术要求 3 2.4. 人员及设备计划 4 2.4.1. 人员分配 4 2.4.2. 测试设备 4 3. 测试范围 5 4. 测试内容 8 5. 测试方法 10 5.1. 渗透测试原理 10 5.2. 渗透测试的流程 10 5.3. 渗透测试的风险规避 11 5.4. 渗透测试的收益 12 5.5. 渗透测试工具介绍 12 6. 我公司渗透测试优势 14 6.1. 专业化团队优势 14 6.2. 深入化的测试需求分析 14 6.3. 规范化的渗透测试流程 14 6.4. 全面化的渗透测试内容 14 7. 后期服务 16 引言 项目 2011年，品胜在成都温江科技工业园建立起国内首座终端客户体验馆，以人性化的互动设计让消费者亲身感受移动电源、数码配件与生活的智能互联，为追求高品质产品性能的用户带来便捷、现代化的操作体验。 伴随业务的发展，原有的网站、系统、APP等都进行了不同程度的功能更新和系统投产，同时，系统安全要求越来越高，可能受到的恶意攻击包括：信息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、APT攻击等。这些攻击完全能造成信息系统瘫痪、重要信息流失。 测试 测试简介 本次测试内容为渗透测试。 渗透测试：是为了证明网络防御按照预期计划正常运行而提供的一种机制依据 GB/T 25000.51-2010《软件工程 软件产品质量要与评价(SQuaRE) 商业现货(COTS)软件产品的质量要求和测试细则》GB/T 16260-2006《》GB/T 18336-2001《信息技术 安全技术 信息技术安全性评估准则》GB/T 20274-2006《信息系统安全保障评估框架》，加强系统测试和实施过程控制，完善项目目标控制手段。为了保证本项目的顺利进行，事前评审测试监督测试管理工作。 为了保证本项目的顺利进行测试验证系统设计人员及设备计划 人员分配 本次测试组织机构和人员分配如下： 项目管理组：杨方秀 现场测试组：屈绯颖、王洪斌、 项目文档组：龚正 质量控制组：杨方秀、屈绯颖 测试设备 序号 设备或仪器名称 功能描述 数量 产地 备注 TestManager 测试管理 1 IBM ClearQuest 缺陷跟踪 1 IBM xscan 用于安全测试的漏洞扫描工具 1 测试机 测试机 2 国产 测试范围 检测分类 检测范围 Web网站 SQL注入 XSS跨站脚本 网页挂马 缓冲区溢出 文件上传漏洞 源代码泄露 目录浏览、遍历漏洞 数据库泄露 弱口令 越权访问 会话验证绕过 管理地址泄露 舆论信息检测 中间件漏洞 支付安全验证 其他（如：写入控制,防止批量添加数据,是否使用验证码等） SQL注入 缓冲区溢出 文件上传漏洞 目录浏览、遍历漏洞 弱口令 越权访问 会话验证绕过 中间件漏洞 其他（如：写入控制,防止批量添加数据,是否使用验证码等） 组件安全检测 代码安全检测 内存安全检测 数据安全检测 业务安全检测 应用管理检测 服务器 身份鉴别 自主访问控制 强制访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 数据库数据安全 测试内容 检测项目 检测子类 类型 扫描测试 渗透测试 当日达 前端SSO单点登录网站 WEB √ √ 后端SSO单点登录网站 WEB √ √ 当日达商城4期前台网站 WEB √ √ 当日达商城3期后台 WEB √ √ 当日达商城4期后台 WEB √ √ 砸金蛋活动 WEB √ 砸金蛋后台 WEB √ 一元云购 WEB √ 月月抢神器 WEB √ 滴滴贴膜 WEB √ 快递查询（PC端） WEB √ 快递查询（移动端） WEB √ 中国人民不断电 WEB √ √ 千城通APP APP √ 千机团 网站+APP WEB+APP √ √ 进销存 IMS进销存系统 WEB √ √ IMS进销存管理工具 WEB √ √ 品胜云 路由器固件升级后台管理 WEB √ √ 品胜云3.2（手机版） APP √ 品胜云2.0（IPAD版） APP √ 品胜云3.3（手机版） APP √