xx网站应用渗透测试项目技术方案v20.docVIP

密 级：商业秘密 文档编号： XX渗透测试项目 技术方案 xx信息技术（北京）股份有限公司 2012年10月 目 录 TOC \o 1-3 \h \z \u 1 项目概要 4 1.1 项目背景 4 1.2 项目目标 4 1.3 项目交付 4 1.4 项目原则 5 2 测试过程 6 2.1 客户书面授权 6 2.2 制定实施方案 6 2.3 风险规避 7 2.4 信息收集分析 7 2.5 渗透测试 8 2.6 取得权限、提升权限 8 2.7 评估报告 9 2.7.1 渗透测试报告 9 2.7.2 整改加固建议 9 3 网络层渗透测试 10 3.1 门户网站WEB渗透测试 10 3.1.1 渗透测试范围 10 3.1.2 渗透测试方法 10 3.2 系统渗透测试 16 3.2.1 渗透测试范围 16 3.2.2 渗透测试方法 16 3.3 渗透测试风险规避措施 19 4 项目实施方案 22 4.1 项目实施范围 22 4.2 项目实施阶段 22 4.3 项目实施计划 23 4.4 保密控制 24 4.4.1 保密承诺 24 4.4.2 场地环境项目期间内的风险保密管理规定 24 4.4.3 文档材料的风险管理办法 24 4.4.4 离场及项目结束的风险管理办法 25 4.4.5 例外情况 25 4.5 项目沟通 25 4.5.1 日常沟通、记录和备忘录 25 4.5.2 报告 25 4.5.3 会议 26 4.6 质量管理 28 4.6.1 项目执行人员的质量职责 28 4.6.2 质量保证过程 29 4.7 项目人员 30 5 xx的优势 31 5.1 工程经验 31 5.2 技术积累 31 5.3 人才优势 31 6 项目报价 32 项目概要 项目背景 Web应用是网络应用和业务的集成，为所有用户提供方便的信息共享和应用共享。Web业务平台已经在电子商务、企业信息化中得到广泛的应用，企业都纷纷将应用架设在Web平台上，为客户提供更为方便、快捷的服务支持。伴随着这种趋势，入侵者也将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时，数据也显示，三分之二的 Web 站点都相当脆弱和易受攻击。 为保障xx网站系统对外服务的安全，xx公司将根据具体需求，采用成熟、规范的测试方法和工具对xx的网站应用进行渗透测试评估，以及时发现存在的问题，提出恰当的改进建议，为xx网站应用安全提供保障。 项目目标 针对本次项目，xx主要通过渗透测试的方式，发现和总结xx网站应用中可能面临的各类安全风险，并提出针对性的安全改进建议。 项目交付 通过本次网站应用渗透测试项目，xx将为xx交付以下成果： 《网站应用安全渗透测试报告》系列报告 本报告详细记录本次渗透测试的过程、方法、测试结果及结果分析等内容。 《网站应用安全扫描检测报告》系列报告 本报告主要依据工具扫描的结果对网站系统存在的安全问题予以描述并提出解决建议。 项目原则 xx在项目实施全过程将遵循以下项目原则： 规范性原则： 在项目实施过程中，xx的工作团队采用规范、统一的标准化工作流程和工作方式；项目文档化遵循xx的文档规范，文档的设计将依照国际、国内及行业内部的相关成熟标准和最佳实践。 可控性原则： 项目实施过程中所采用的工具、方法和过程要经xx的认可，确保项目进度的推进，保证本次项目的可控性。 最小影响原则： 项目实施应尽可能小地影响系统和网络的正常运行，不能对现有网络的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等)。 保密原则： 对服务过程中的过程数据和结果数据严格保密，未经授权不泄露给任何单位和个人，不利用此数据进行任何侵害xx的行为。 测试过程 客户书面授权 合法性即客户书面授权委托，并同意实施方案是进行渗透测试的必要条件。渗透测试首先必须将实施方法、实施时间、实施人员等具体的实施方案提交给客户，并得到客户的相应书面委托和授权。 本次书面授权应该做到xx对渗透测试所有细节和风险都知晓，所有过程都在xx的控制下进行。这也是专业渗透测试服务与黑客攻击的本质不同。 制定实施方案 实施方案应当由我方与xx相关技术人员进行沟通协商。调查了解客户对测试的基本接受情况。内容包括但不限于如下： 目标系统介绍、重点保护对象及特性。 是否允许数据破坏？ 是否允许