网站安全测试方案.docVIP

XX检测计划 : 版本: 时间： 目录 TOC \o 1-5 \h \z 一、 检测背景 -3- 二、 检测目标 -3- 三、 检测方案 -3- 方案概况 -3- 配合要求 -3- 检测流程 -3- 检测对象 -4- 检测周期 -5- 四、 风险声明 -5- 操作系统和常见应用漏洞扫描 -5 - WEB应用漏洞扫描 -6- 一、检测背景 二、检测目标 三、检测方案 1.方案概况 方案概况 预计检测时间 预计检测地点 预计检测人员 预计检测范围 预计检测内容 预计检测方法 预计检测工具 预计检测标准 配合要求 ＞人员配合要求 ＞提供的资料文档 ＞提供的现场环境和条件 检测流程 信息收集：此阶段中，渗透检测小组进行必要的信息收集，通过 现场访谈确定检测时间、检测方式、检测地点、注意事项等。通过互 联网搜集，获取IP地址、DNS域名、应用系统、软硬件环境等。 初步完成分析网络拓扑、操作系统、数据库版本等相关环境的目标。 渗透检测：此阶段中，渗透检测小组根据信息收集阶段分析的信 息，从互联网模拟黑客攻击方式，对外部网络、系统进行渗透检测。 此阶段如果发现问题，进行收集证据，简单利用漏洞获取非敏感信息, 证明漏洞可用；如果未发现问题则渗透检测结束。 本次测试将大量使用自动化检测设备进行测试，主要针对网站安 全性，网站敏感字，网页暗链进行检测。 输出报告：此阶段中，渗透检测小组根据检测的结果编写直观的 渗透检测服务报告。 网络倌息环境倌息系统倍以应用倍息怜测结来发现问题件通捡测愉出报杏获取ilE 网络倌息 环境倌息 系统倍以 应用倍息 怜测结来 发现问题 件通捡测 愉出报杏 获取ilE锯 检测对象 对XX进行安全检测和渗透检测的范 序号 名称 域名 IP地 址 备注 1 2 3 4 5.检测周期 编号 阶段名 工作内容 最早启动时间 最早结束时间 最晚启动时间 最晚结束时间 最长天数 风险声明 风险声明 1.操作系统和常见应用漏洞扫描 在使用扫描器对目标系统扫描的过程中，可能会出现以下的风险： ＞占用带宽（风险不高）6 ＞进程、系统崩溃。由于目标系统的多样性及脆弱性，或是目标 系统上某些特殊服务本身存在的缺陷，对扫描器发送的探测包或 者渗透测试工具发出的测试数据不能正常响应，可能会出现系统 崩溃或程序进程的崩溃。 ＞登录界面锁死。扫描器可以对某些常用应用程序（系统登录、 FTP , Telnet , SNMP , SSH , WEBLOGIC ）的登录口令进行弱 口令猜测验证，如果目标系统对登录失败次数进行了限制，尝试 登录次数超过限定次数系统可能会锁死登录界 风险规避方法： ＞根据目标系统的网络、应用状况，调整扫描测试时间段，采取 避峰扫描； ＞对扫描器扫描策略进行配置，适当调整扫描器的并发任务数和 扫描的强度，可使减少扫描器工作时占用的带宽，降低对目标系 统影响； ＞根据目标系统及目标系统上运行的应用程序，通过与测评委托 方相关人员协商，定制针对本系统测试的扫描插件、端口等配置， 尽量合理设置扫描强度，降低目标系统或进程崩溃的风险； ＞如目标系统对登录某些相关程序的尝试次数进行了限制，在进 行扫描时，可屏蔽暴力猜解功能，以避免登录界面锁死的情况发 生。 2. WEB应用漏洞扫描 在使用WEB应用漏洞扫描器对目标系统扫描的过程中，可能会存在 以下的风险： ＞占用带宽（风险不局）0 ＞登录界面锁死。WEB应用漏洞扫描会对登录页面进行弱口令 猜测，猜测过程可能会造成应用系统某些帐号锁死。 风险规避方法： ＞根据目标系统的网络、应用状况，调整扫描测试时间段，采取 避峰扫描； ＞如目标系统对登录某些相关程序的尝试次数进行了限制，在进 行扫描时，可屏蔽暴力猜解功能，以避免登录界面锁死的情况发 生。