渗透测试实施解决方案.doc

渗透测试实施方案  目 录 1、渗透测试项目范围 3 2、渗透测试说明 4 2.1渗透测试的必要性 4 2.2渗透测试的可行性 4 2.3渗透测试的原理 5 3、渗透测试流程 5 3.1客户委托 7 3.2信息收集分析 7 3.3提升权限 7 4、工具介绍 7 4.1系统自带网络工具 8 4.2自由软件和渗透测试工具 8 5、渗透测试常用方法 9 5.1SQL注入漏洞 9 5.2文件上传 9 5.3 目录遍历 9 5.4 XSS跨站攻击 10 5.5 弱口令漏洞 10 5.6 溢出漏洞 10 5.7 嗅探攻击 10 5.8拒绝服务攻击 10 5.9 DNS劫持攻击 11 5.10 旁注攻击 11 5.11 字符集转换并发盲注攻击 11 5.12 诱导攻击 11 5.13 已知漏洞利用 12 5.14 其它渗透方法 12 6、实施日程 12 7、输出结果 12 8、服务与质量控制 12 9.信息保密和风险控制措施 13 9.1信息保密 13 9.2实施风险控制 15 10.服务与支持 16 1、渗透测试项目范围 本次渗透测试主要对象如下： 序号 网站 IP地址 重要级别 用途 2、渗透测试说明 2.1渗透测试的必要性 安全工程人员利用安全扫描器、渗透测试工具结合人工对第一创业证券有限责任公司指定的IP进行非破坏性质的黑客模拟攻击，目的是尝试入侵系统并获取机密信息并将入侵的过程和技术细节产生报告提供给第一创业证券有限责任公司信息技术部门。 渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于渗透测试者的专业技能）。但是，非常准确，可以发现逻辑性更强、更深层次的脆弱点。 2.2渗透测试的可行性 2.2.1对现有信息系统资源的要求 渗透测试主要针对系统主机进行。因此，将占用主机系统及其所在的网络环境的部分资源。同时需要工作人员的一些配合（某些特定条件下，如为了节省时间破解密码，渗透测试将首先得到普通用户权限），对于其他的资源没有特殊的要求。 2.2.2渗透测试的方法 黑客的攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样的道理。它模拟真正的黑客入侵攻击方法，以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。 2.2.3渗透测试前后系统的状态 由于采用可控制的、非破坏性质的渗透测试。因此，不会对渗透测试对象造成严重的影响。在渗透测试结束后，系统将保持正常运行状态。 2.3渗透测试的原理 渗透测试主要依据已经掌握的安全漏洞信息，模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。原则上，渗透测试工程师不会使用未知EXP（即并非被外界或者安全厂商所获悉的安全弱点）对目标对象进行测试，但不排除某些EXP可能引发重大安全事件（比如：严重的溢出、无权限但可远程执行代码等）的时，针对性的做出检测或者向用户预警。 渗透测试类似于军事上的“实战演习”或“沙盘推演”的概念，可以让用户清晰了解目前网络所处的脆弱性和可能造成的影响，以便采取必要的防范措施。下图标示了一个攻击者的攻击路径和基础原理： 图 攻击的基础原理 这里，所有的渗透测试行为将在客户接口人的书面明确授权和监督下进行。 3、渗透测试流程 虽然渗透测试并不会一成不变的依照某个模式进行，也许过程当中因为其他的发现而发生策略上的变化。但它总归是有个原则需要依赖：必须是一个全面的、可以揭示更多问题的过程。有些安全公司在渗透测试的时候，发现了一个严重的高危漏洞，并且利用该漏洞获取了权限，然后输出报告给客户。但实际上，这个系统还存在着其他漏洞没有被发现---这就充分说明，渗透测试必须是一个系统化的服务。 渗透测试服务，严格履行流程原则，也就是说，哪怕发现一个高危漏洞并且可以获取更高权限，也绝对不会放过其它问题，哪怕是个很小的问题。因为，对于攻击者而言，一个小小的泄露，都可能引发他的攻击兴趣…… 渗透测试工程师，会严格依照XXXX公司的操作流程进行，每个攻击都将进行尝试，直到确定问题的根源为止。 图 渗透测试流程 参见上面的渗透测试流程图，信息的收集和分析伴随着每一个渗透测试步骤，每一个步骤又有三个部分组成：操作、响应和结果分析。 3.1客户委托 客户委托是进行渗透测试的必要条件。我们将尽最大努力做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。 3.2信息收集分析 信息收集分析几乎是所有入侵攻击的前奏。通过信息收集分析，渗透测试人员可以相应地、有针对性的制定入侵攻击的计划，提高入侵的成功率、减小暴露或被发现的几率。信息收集的方法包括主机网络