天翼云渗透测试服务用户使用指引-中国电信集团有限公司.PDF

目录  天翼云 渗透测试服务 用户使用指南 中国电信股份有限公司云计算分公司 目录 目录 1 产品概述3 1.1 产品定义3 1.2 服务特点3 1.3 产品功能4 1.4 应用场景6 2 产品帮助7 3 操作指导10 产品概述 1 产品概述 1.1 产品定义 渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。 这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可 能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。 注：天翼云渗透测试服务基于传统的B/S结构，暂不支持对APP类的应用渗透测试。 渗透测试进行到何种程度需和客户沟通，证明存在漏洞，还是需要利用漏洞。 1.2 服务特点 1.专业团队 渗透测试团队人员具有多年丰富的项目经验，可将漏洞评级与业务层面相结合，展示客 户真实存在的业务风险。 2.安全保密 渗透测试团队人员均可签署用户保密协议，不公开任何关于客户漏洞的相关情况，使客 户的漏洞隐私的到保障。 3. 遵守owasp道德准则 /index.php/About_The_Open_Web_Application_Security_Pro ject#Code_of_Ethics 渗透测试团队人员遵守以下道德准则： 1) 根据所有适用法律和最高道德准则，履行所有专业活动和职责； 2) 贯彻执行应用安全法规标准、程序与控制； 3) 在专业活动过程中，对专有或其他敏感信息进行保密； 4) 勤勉尽责地履行职业责任； 5) 开诚布公与沟通； 6) 避免任何可能对雇主、信息安全专业人员或组织声誉造成利益冲突或损害的活动； 产品概述 7) 维护和确定客观性和独立性； 8) 免于来自行业或其他方面的压力； 9) 不要故意伤害或者泄露同事、客户或雇主的专业声誉； 10) 尊重每一个人； 11) 避免可能会损害 （或者可能看起来会损害）OWASP客观性和独立性的关系。 1.3 产品功能 1. 注入漏洞挖掘 测试概述：注入类型的漏洞通常是出现在用户和服务器进行信息交互的接口处，这种漏 洞使得服务器的后台数据库内的信息很有可能直接暴露出来，造成机密信息的泄漏。如果其 中包含管理员的账号信息，其危害也就不言而喻了。更重要的是站在系统用户的角度来说， 这种问题的出现严重影响到了系统在客户心中的信誉度。 2. 跨站漏洞检测 测试概述：跨站脚本攻击漏洞通常出现在用户和应用程序进行信息交互的接口处，这种 漏洞使用户访问应用程序的时候执行恶意代码，可以直接导致用户数据的泄漏，最终不但有 损系统的信誉度，同时还威胁到服务器的安全性。 3. 错误信息挖掘 测试概述：通过发送特殊的字符串参数导致系统错误，根据返回的错误信息分析得到有 价值的内容。 4. 业务逻辑测试 测试概述：在一个