政府网站安全检测服务方案

贵州省政府网站群

安全检测服务方案

二〇〇九年一月六日

贵州省政府网站群安全检测服务方案

目 录

第1章. 前言 .......................................................... 5

1.1 前言 ....................................................................... 5 1.2 什么是网页漏洞和网页挂马 ................................................... 5

1.2.1 网页漏洞 ............................................................................................................................. 5 1.2.2 网页挂马 ............................................................................................................................. 5 1.3 监测实施原则 ............................................................... 6

1.3.1 标准性原则 ......................................................................................................................... 6 1.3.2 项目规范化管理 ................................................................................................................. 6

第2章. 安全检测服务介绍 .............................................. 8

2.1 跨站脚本 ................................................................... 8 2.2 SQL注入 ................................................................... 8 2.3 后台表单逃逸检测 ........................................................... 8 2.4 XPath注入检测 ............................................................. 8 2.5 后台登录弱口令检测 ......................................................... 9 2.6 源码泄露检测 ............................................................... 9 2.7 常见数据库检测 ............................................................. 9 2.8 常见目录检测 ............................................................... 9 2.9 目录浏览检测 ............................................................... 9 2.10 验证码检测 ................................................................ 9 2.11 ani木马检测 .............................................................. 9 2.12 ActiveX 控件木马检测 ..................................................... 10 2.13 常见挂马方式检测 ......................................................... 10

第3章. Web安全检测原理 ............................................ 11

3.1 第一阶段、网站结构分析： .................................................. 11 3.2 第二阶段、网页漏洞分析功能： .............................................. 11 3.3 第三阶段、结果审核输出阶段： .............................................. 11 3.4 SQL注入漏洞安全检测流程举例 .............................................. 11

ii

贵州省政府网站群安全检测服务方案

第4章.

渗透检测方案 ................................................. 13

4.1 渗透测试原理 .............................................................. 13 4.2 渗透测试的可行性 .......................................................... 13

4.2.1 渗透测试对现有信息资源的要求 ................................................................................... 13 4.2.2 渗透测试的方法 ............................................................................................................... 13 4.2.3 渗透测试前后系统的状态 ............................................................................................... 14 4.3 客户委托 .................................................................. 15 4.4 信息收集 .................................................................. 15 4.5 弱点利用 .................................................................. 15 4.6 结果输出 .................................................................. 16 4.7 渗透测试方法 .............................................................. 16

4.7.1 实施准备 ........................................................................................................................... 16

4.7.1.1 实施方式 ................................................................................................................ 16 4.7.1.2 人员分工 ................................................................................................................ 17 4.7.1.3 工作环境 ................................................................................................................ 17 4.7.2 工具测试 ........................................................................................................................... 17

4.7.2.1 测试方式 ................................................................................................................ 17 4.7.2.2 常用工具 ................................................................................................................ 17 4.7.2.3 可能的影响 ............................................................................................................ 18 4.7.3 人工测试 ........................................................................................................................... 19

4.7.3.1 测试方法 ................................................................................................................ 19 4.7.3.2 可能的影响 ............................................................................................................ 19 4.8 渗透测试内容 .............................................................. 19

4.8.1 应用层渗透测试 ............................................................................................................... 19

4.8.1.1 网站结构分析 ........................................................................................................ 19 4.8.1.2 目录遍历探测 ........................................................................................................ 20 4.8.1.3 隐藏文件探测 ........................................................................................................ 20 4.8.1.4 备份文件探测 ........................................................................................................ 21 4.8.1.5 CGI漏洞扫描 ......................................................................................................... 21 4.8.1.6 用户名和密码猜解 ................................................................................................ 21 4.8.1.7 跨站脚本漏洞挖掘 ................................................................................................ 22 4.8.1.8 SQL注射漏洞挖掘 ................................................................................................ 22 4.8.1.9 数据库挖掘分析 .................................................................................................... 22 4.8.2 系统层渗透测试 ............................................................................................................... 23

4.8.2.1 漏洞扫描 ................................................................................................................ 23 4.8.2.2 远程溢出 ................................................................................................................ 23 4.8.2.3 本地权限提升 ........................................................................................................ 23 4.8.2.4 远程密码猜解 ........................................................................................................ 24

第5章. 风险规避 ..................................................... 25

5.1 规避方式 .................................................................. 25

iii

贵州省政府网站群安全检测服务方案

5.1.1 时间选择 ........................................................................................................................... 25 5.1.2 攻击策略集选择 ............................................................................................................... 25 5.1.3 系统备份策略 ................................................................................................................... 25 5.1.4 系统恢复策略 ................................................................................................................... 26 5.1.5 过程监控 ........................................................................................................................... 26 5.1.6 其他要求 ........................................................................................................................... 26 5.2 应急预案 .................................................................. 27

第6章.

第7章. 安全检测服务的交付件—Web安全检测报告项目背景 ................ 28 安全检测服务的用户价值 ....................................... 30

7.1 变单纯被动防御为主动检测+被动防御 ......................................... 30 7.2 降低运营成本 .............................................................. 30 7.3 远程服务，业务隔离 ........................................................ 30

第8章.

第9章.

为何选择安全检测服务 ......................................... 31 费用说明 ..................................................... 32

iv

贵州省政府网站群安全检测服务方案

第1章. 前言

1.1 前言

据调查，有75%的攻击发生在Web应用层，且大多数网站都相当脆弱。大量的攻击者在利用Web漏洞入侵网站，实现数据篡改、挂马获利。然而，用户很难主 动发现这一切。若能主动发现Web漏洞以及网页木马，并采取补救措施，就可以降低网站安全风险，减少损失。这一切都需要从建立一个主动的网站安全检查机制 入手。针对这一网站安全趋势，（北京）信息安全服务中心发布了专门针对网站安全的标准化服务产品——Web安全检测服务。Web漏洞、网页木马，这些令管理员头痛的问题可以通过远程方式进行详细的检测，相当于为网站进行了一次全面的“体检”，并提供有针对性的“治疗”措施和健康建议，从而将这 些安全隐患带来的损失降到最低。

1.2 什么是网页漏洞和网页挂马 1.2.1 网页漏洞

日益增长的网络业务应用为脆弱的web应用提供了漏洞滋生的土壤。如银行、政府机构和在线商务企业都使用了web技术提供服务。这些机构往往自己开发整套的web应用程序(ASP、JSP和CGI等)，而这些开发者由于没有获得过专业训练，导致这些自产web软件漏洞百出，这些漏洞统称为网页漏洞。

网页漏洞的存在意味着网页中任何传递给浏览器的信息都可能被用户利用和操纵，恶意用户可以查看、修改或者插入敏感信息（包括价格、会话跟踪信息甚至是脚本执行代码）。 1.2.2 网页挂马

很多朋友都碰到过这样的现象：打开一个网站，结果页面还没显示，杀毒软件就开始报警，提示检测到木马病毒。有经验的朋友会知道这是网页病毒，但是自己打开的明明是正规网站，没有哪家正规网站会将病毒放

5

贵州省政府网站群安全检测服务方案

第3章. Web安全检测原理

Web安全检测是利用专用的Web应用漏洞扫描程序构建的自动化扫描平台，模拟Web前端可以与实际的Web应用程序通信，从而可以发现Web应用程序中的安全缺陷。其工作原理非常类似一个黑匣子测试器，也就是说它并不需要访问源代码，真正实现远程的安全检测。 3.1 第一阶段、网站结构分析：

通过爬虫技术远程完整而详细的分析出目标网站系统程序的分布结构，获得详细的网站目录和内容结构窗体，精确地得到网站程序结构；并能够对所有可浏览页面进行内容检索和分析，从中找到所有与客户端/服务器交互相关的动态内容（例如表单）； 3.2 第二阶段、网页漏洞分析功能：

分析来自网站程序结构中的每一个网站功能脚本程序的应用状况，借助于专用的漏洞检测数据库，能够自动构造各种类型的“异常”提交参数，能够对响应消息进行内容分析，结合状态码，判断测试结果。同时，还会模拟大多数普遍存在的WEB攻击手段，探测各种已知漏洞和未知漏洞，针对所有可能为黑客所利用的项目进行多样化多层次的探测和分析。 3.3 第三阶段、结果审核输出阶段：

测试结果最终形成安全隐患报告。和大多数检测工具一样，自动化的Web应用漏洞扫描程序的扫描结果也存在相应的误报，因此对于Web安全检测的结果还需要通过安全专家的精心审核，最终保证Web安全检测服务网页漏洞检测的真实性。

3.4 SQL注入漏洞安全检测流程举例

A）检测是否存在SQL注入漏洞

B）发送至少10个不同的数据包探测后台数据库的类型 C）获取当前数据库属性，例如连接的数据库名称，用户等

11

贵州省政府网站群安全检测服务方案 D）获取整个数据字典 E）开始注入/审核/渗透

SQL注入漏洞测试操作界面示意如下图：

12

贵州省政府网站群安全检测服务方案

第4章. 渗透检测方案

4.1 渗透测试原理

渗透测试主要依据安全专家已经掌握的安全漏洞，模拟黑客的攻击方法对系统和网络进行无破坏性质的攻击性测试。这里，所有的测试将在客户的授权和监督下进行。

渗透测试是风险评估中的技术层面评估的一个方面，有效的渗透测试可以直接发现被测试设备真实存在的一些安全风险，如可以发现操作系统、应用程序、数据库、网络设备等存在的漏洞以及漏洞利用的可能性，也可以发现各种设备的口令脆弱性、网络设备的易攻击性、防火墙设备策略的严谨性；也就能初步发现和估算出被测试网络中存在安全方面的技术风险；从而达到发现管理方面的一些风险的目的，这也是渗透测试的主要出发点和真实作用。 4.2 渗透测试的可行性

4.2.1 渗透测试对现有信息资源的要求

渗透测试主要针对系统主机以及网站应用程序进行，因此将占用主机及其所在的网络环境的部分资源。为了能更全面的进行渗透测试，同时有可能需要工作人员的一些配合（某些特定条件下），对于其他的资源没有特殊的要求。

4.2.2 渗透测试的方法

渗透测试利用安全扫描器和富有经验的安全工程师的人工经验对网络中的核心服务器及重要的网络设备，包括服务器、交换机、防火墙等以及对外提供服务的应用系统，如网站，论坛等进行非破坏性质的模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。

渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率

13

贵州省政府网站群安全检测服务方案

和速度，但是存在一定的误报率，不能发现较高层次、较复杂的安全问题；渗透测试需要投入的人力资源非常大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业机能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。 4.2.3 渗透测试前后系统的状态

由于采用可控制的、非破坏性质的渗透测试，因此不会对被评估的主机造成严重的影响。在渗透测试结束后，系统将保持正常运行状态。

是信息收集、分析否本地权限升级、控制系统否获取本地普通权限是本地信息收集、分析是信息收集、分析否存在远程普通弱点否是存在远程控制弱点控制系统客户委托信息收集、分析生成报告

14

贵州省政府网站群安全检测服务方案 参见上面的渗透测试流程图，信息的收集和分析伴随着每一个渗透测试步骤，每一个步骤又有三个部分组成：操作、响应和结果分析。远程渗透测试是通过互联网发起远程攻击，外部网络渗透测试比内部网络渗透测试更能说明安全性的严重性。由于本次渗透测试的目标是集团外网网站，本身网站就是对外提供服务，因此本次将完全模拟黑客攻击方式从远程进行外网渗透测试。 4.3 客户委托

客户委托是进行渗透测试的必要条件。将尽最大努力做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。这也是的专业服务与黑客攻击入侵的本质不同。

渗透测试委托书（授权书）应包含以下内容： ? 渗透测试的范围（包括IP地址及域名） ? 渗透测试时间（包括开始时间和结束时间）

? 渗透测试委托书（授权书）以书面形式提交并盖有甲方单位的公章

4.4 信息收集

信息收集分析几乎是所有入侵攻击的前提/前奏/基础。“知己知彼，百战不殆”，信息收集分析就是完成的这个任务。通过信息收集分析，攻击者（测试者）可以相应地、有针对性地制定入侵攻击的计划，提高入侵的成功率、减小暴露或被发现的几率。

信息收集的方法包括端口扫描、操作类型判别、应用判别、账号扫描、配置判别等等。入侵攻击常用的工具包括nmap、nc等，有时，操作系统中内置的许多工具（例如telnet、Internet Explorer浏览器）也可以成为非常有效的攻击入侵武器。信息收集后的分析的基础是安全弱点的关键知识库。 4.5 弱点利用

通过收集信息和分析，存在两种可能性，其一是目标系统存在重大弱点：测试者可以直接控制目标系统，这时测试者可以直接调查目标系统中的弱点分布、原因，形成最终的测试报告；其二是目标系统没有远程重大

15

贵州省政府网站群安全检测服务方案

弱点，但是可以获得远程普通权限，这时测试者可以通过该普通权限进一步收集目标系统信息。接下来，尽最大努力获取本地权限，收集本地资料信息，寻求本地权限升级的机会。这些不停的信息收集分析、权限升级的结果构成了整个渗透测试过程的输出。

从权限提升的目标来分析，也分为两种。其一是前面叙述的对本地主机权限进行提升。其二是利用已经获得权限的主机发起攻击获得其他服务器甚至整个网络的控制权限。 4.6 结果输出

为了能让客户更好的理解和监督渗透测试的全过程，本次渗透测试将采用书面文字、关键截图、以及视频录相多种方式做记录，视频记录和关键截图可以比书面文字更直观的、更真实的反映渗透测试全过程。

当渗透测试完成后，将根据渗透测试的过程文档撰写《网站渗透测试报告》，详细描述渗透测试的过程和结果，并对发现的问题提出解决方案。 4.7 渗透测试方法

渗透测试模拟真正的黑客入侵攻击方法，主要采用了安全漏洞工具远程扫描和专家分析相结合的方式，找到攻击者远程突破网络和控制网络设备的可能性，相对应的找到所有来自外界入侵对特定网络和网络设备造成的威胁。

另外由于目前网站服务器放置在防火墙内，对外开放的端口比较少，大部分扫描策略都被阻挡在防火墙外，因此利用安全扫描工具基本上发现不了太多有效信息。因此本次渗透测试，以人工渗透为主，辅助以攻击测试工具的使用，这样保证了整个渗透测试的全面型也保证了整个渗透过程都在可以控制和调整的范围之内。 4.7.1 实施准备 4.7.1.1 实施方式

本次渗透测试采用远程模拟黑客的攻击方法对网站的系统和网络进行无破坏性质的攻击性测试。

16

贵州省政府网站群安全检测服务方案

4.7.1.2 人员分工

安全管理员 安全管理员 安全顾问 安全顾问

4.7.1.3 工作环境

办公场所：

网络连接：能够从互联网访问检查目标 打印机和纸张

会议室（仅在汇报工作时需要） 投影机（仅在汇报工作时需要）

4.7.2 工具测试 4.7.2.1 测试方式

工具测试使用的工具主要包括：

安全扫描工具：自动化地扫描发掘系统的弱点以及其他信息； 漏洞利用工具：对发现的弱点进行验证和利用；

辅助工具：方便渗透测试的工作进行，帮助了解分析目标主机的信息。 工具测试的除安全扫描外，其他工作基本上都是与人工测试紧密结合来共同完成测试目标的。 4.7.2.2 常用工具

渗透测试工作中常用的扫描工具如下： SuperScan3 （端口扫描） Nessus安全扫描软件（系统扫描） X-Scan-v3.3安全扫描软件（系统扫描）

Retina Network Security Scanner安全扫描软件（系统扫描） Nikto 安全扫描软件 （CGI扫描）

Acunetix Web Vulnerability Scanner（网站应用扫描） MatriXay（SQL注入扫描）

17

贵州省政府网站群安全检测服务方案 渗透测试工作中常用的SQL注入利用工具如下： Domain3.5 Nbsi3.0 Pangolin DSQLTools

渗透测试工作中常用的漏洞利用以及辅助工具如下： WEBTOOL V4.2 网站安全检测工具 Metasploit SQLInjectEncode SQL综合利用工具

渗透测试工作中常用的在线工具如下： http://www.ip138.com IP地址查询

http://www.webhosting.info whois服务器查询 http://www.xmd5.org Md5在线解密 http://ip.wen.la/ 同IP站点查询

本次渗透测试过程中使用的工具将根据网站实际情况以及最小影响的原则进行选择。 4.7.2.3 可能的影响

工具自动扫描评估使用自动化的漏洞检测工具，通过禁用对目标服务器可能造成影响的策略，以保证目标主机的安全及应用程序的稳定。工具自动扫描评估在评估过程中将占用的网络带宽小于40K，可以忽略其对网络的影响。

1) 流量代价

经过测试，在扫描过程中，随着主机数量、漏洞的测试情况、网络划分、网络设备的构架等情况的不同，选用两种扫描软件（NESSUS、RETINA）进行模拟测试，具体数据如下：

Nessus 2.0.10占用10-28KB/S，Retina 4.9.210占用15-35KB/S。

18

贵州省政府网站群安全检测服务方案 2) 主机代价

扫描过程对于主机的影响，同上的实验环境，选用2种扫描软件（NESSUS、RETINA）进行测试： 4.7.3 人工测试 4.7.3.1 测试方法

人工测试的主要工作是对扫描发现的弱点以及信息进行分析验证，找到真实存在的漏洞并进行利用或者发掘出新的弱点。人工测试是渗透测试工作最主要的部分，它完全依靠顾问的个人经验进行。因此每个顾问测试和利用的方法以及选用工具都会不同。 4.7.3.2 可能的影响

由于采用可控制的、非破坏性质的渗透测试，因此不会对被评估的系统造成严重的影响。在渗透测试结束后，系统将基本保持一致。渗透测试过程透明化，所有测试过程及记录均由相关人员进行批准和审查。由于人工对网站的测试就相当于普通状态下流量网站内容，因此人工测试对服务器以及数据库的影响基本可以忽略。 4.8 渗透测试内容

本次针对网站的渗透测试是根据实际情况安排的，其中有部分属于系统评估内容。这些方面都直接影响了网站的安全。我们考虑到本次项目的初衷，故将部分评估内容加入到检测工作中。在测试内容的介绍中我们将对可能发现的安全隐患给予说明，同时给出该隐患的解决建议。 4.8.1 应用层渗透测试

应用层的渗透测试主要针对B/S架构的系统，是当前最流行的攻击手段。大部分黑客入侵都是由此开始，并渗透到系统和网络。我们在应用层渗透测试主要安排以下内容，具体操作根据网站实际情况进行： 4.8.1.1 网站结构分析

通过对网站进行智能搜索扫描，从结构上剖析了整个网站的组织结构，可以更加直观的看到整个网站的实施。

19

贵州省政府网站群安全检测服务方案 可能的安全危害

通过分析网站整个网站结构上的目录和文件取名习惯，以及网站结构层次的分析，能够得到管理员的建站习惯，可能导致恶意用户猜测管理员密码。

解决方案建议

尽量使用最常见的命名和网站结构分布，增加迷惑性和猜测难度。

4.8.1.2 目录遍历探测

通过遍历每个存在的目录，智能搜索并探测除公开网页中包含的所有目录以外，是否存在非授权不能访问却被访问的目录。这些目录很有可能就是网站管理员后台程序所在目录或者是数据库所在目录。如果这些目录没有做好权限设置，那么极有可能导致网站后台失陷于此。

可能的安全危害

这是Web服务器常见的Apache设置错误，恶意用户可以读取任意可读文件。

解决方案建议

在目录下放置Apache默认访问页面，或者修改Apache配置文件，禁止目录遍历。 4.8.1.3 隐藏文件探测

通过隐藏文件的智能探测，除了已有的所有公开页面以外，智能搜索并探测在这些目录下是否存在隐藏文件。这些文件很有可能就是网站的一些配置文件，或者是网站管理员忘记删除的程序说明书，或者是网站后台登陆的重要文件。这些文件极有可能导致网站重要数据的泄漏，最终导致整个网站权限的沦陷。

可能的安全危害

隐藏文件有可能是各种重要的程序页面，通过分析隐藏，有可能暴露出后台登陆的细节内容。

解决方案建议

20

贵州省政府网站群安全检测服务方案 及时地删除重要文件，或者是修改重要文件的名称

4.8.1.4 备份文件探测

通过备份文件的智能探测，除了已有的所有公开页面以外，智能搜索并探测在这些目录下是否存在备份文件。这些文件很有可能就是网站的一些重要文件的备份信息，或者是网站管理员忘记删除的网站数据库备份。这些文件是最有可能导致网站重要数据的泄漏的风险点，直接威胁着整个网站的整体安全。

可能的安全危害 源代码、私密文件泄露。 解决方案建议 及时删除备份文件。

4.8.1.5 CGI漏洞扫描

这种类型的漏洞通常是导致服务端脚本文件源代码的暴露，或者是程序的任意执行等等。同时，由于这类已知的CGI漏洞利用技术都是很成熟了的，所以对网站的安全也有较大的威胁。

可能的安全危害

敏感数据泄漏，服务器被入侵 解决方案建议

及时安装WEB服务器的安全补丁。

4.8.1.6 用户名和密码猜解

通常，网站是不提供内部用户注册的，但是由于内部用户的粗心大意留下了简单密码的帐户，导致外部人员可以使用内部功能。于此同时，内部功能上的风险也暴露给了外部人员。

可能的安全危害

导致外部用户可以登陆管理员后台，使用高权限功能，并造成内部功能缺陷的暴露。

解决方案建议

使用强壮的帐号密码，内部用户避免使用常见的用户名。

21

贵州省政府网站群安全检测服务方案

4.8.1.7 跨站脚本漏洞挖掘

跨站脚本攻击漏洞通常出现在用户和应用程序进行信息交互的接口处，这种漏洞使用户访问应用程序的时候执行恶意代码，可以直接导致用户数据的泄漏，最终不但有损网站的信誉度，同时还威胁到服务器的安全性。

可能的安全危害

感染病毒，泄漏敏感数据。 解决方案建议

在程序中各种输入参数，进行关键字的过滤。

4.8.1.8 SQL注射漏洞挖掘

SQL注射类型的漏洞通常是出现在用户和服务器进行信息交互的接口处，这种漏洞使得服务器的后台数据库内的信息很有可能直接暴露出来，造成机密信息的泄漏。如果其中包含管理员的帐号信息，其危害也就不言而喻了。更重要的是站在网站用户的角度来说，这种问题的出现严重影响到了网站在客户心中的信誉度。

可能的安全危害

未授权用户可能通过该漏洞获取数据库敏感资料，造成敏感信息泄漏。

解决方案建议

针对此类型漏洞，应尽量过虑各种输入参数，如 “用户名”或“密码”，id这三个参数进行过虑。 4.8.1.9 数据库挖掘分析

在使用MSSQL、MYSQL、Sybase和Oracle等常用数据库的时候，只要存在SQL注射漏洞，就能够通过这种漏洞对数据库中的信息进行挖掘，如果数据库服务器设置不当甚至可以导致数据库服务器被入侵。

可能的安全危害

敏感数据泄漏，服务器被入侵。 解决方案建议

由于数据库挖掘使用的是SQL服务器合法的语句，所以需要根治漏洞

22

贵州省政府网站群安全检测服务方案

的根源，加固所有的外部脚本，避免产生SQL注入漏洞。 4.8.2 系统层渗透测试

由于目前防火墙技术已经入侵检测技术广泛使用，目前系统层的入侵相对较少。大部分入侵行为在扫描阶段就被阻挡在防火墙外。因此我们在系统层的渗透测试时并不一定能发现系统真实的漏洞，但是检测的结果也是黑客在攻击中能发现的真实情况。 4.8.2.1 漏洞扫描

通过漏洞扫描可以发现服务器各种重要信息，也有可能直接发现系统重要的系统安全漏洞，或者发现操作系统及数据库等应用的弱口令漏洞。

通过安全扫描工作充分了解系统安全的真实情况，也充分了解外部攻击者所能探测到的信息，同时也检验防火墙等安全设备的实际效果。

可能的安全危害 信息泄露。 解决方案建议

部署并加强防火墙、入侵检测设备的安全策略。

4.8.2.2 远程溢出

远程溢出测试基于漏洞扫描的结果，扫描发现的系统漏洞有可能是误报。当前系统远程漏洞并不多，而且大部分远程溢出漏洞都被防火墙和入侵检测挡在外面，不过一旦远程溢出被利用，攻击者很有可能就会获得系统的最高权限。

可能的安全危害

导致攻击者获得系统权限。 解决方案建议

安装系统补丁，修复系统漏洞。

4.8.2.3 本地权限提升

攻击者通过攻击网站等应用程序后会获得一定的系统权限，在获得权限后他们就会利用系统本地溢出漏洞，系统缺陷，配置不当等漏洞进行权限提升，达到完全控制服务器的目的。

23

贵州省政府网站群安全检测服务方案 可能的安全危害

导致攻击者获得系统最高权限。 解决方案建议

修复系统存在安全漏洞，设置恰当的脚本执行权限，以及目录读写权限。

4.8.2.4 远程密码猜解

使用常见的密码对服务器进行远程密码猜解。 可能的安全危害 服务器被入侵 解决方案建议

使用强壮而没有规则的帐号和密码。建议使用蜜罐帐号，建立一个低权限的administrator帐号，拖延攻击者攻击的时间。

24

贵州省政府网站群安全检测服务方案

第5章. 风险规避

根据现有情况，渗透过程中可能会对系统资源造成一定影响，可以考虑选择以下规避措施： 5.1 规避方式 5.1.1 时间选择

为减轻渗透测试对网络和主机的影响，渗透测试时间尽量安排在业务量不大的时段或晚上。 5.1.2 攻击策略集选择

为防止渗透测试造成网络和主机的业务中断，在渗透测试中不使用含有拒绝服务的测试策略。对于不能接受任何可能风险的主机系统，或者可选择如下保守策略：

复制一份目标环境，包括硬件平台，操作系统，数据库管理系统，应用软件等。

对目标的副本进行渗透测试。

5.1.3 系统备份策略

为防止在渗透测试过程中出现的异常的情况，所有被评估系统均应在被评估之前作一次完整的系统备份或者关闭正在进行的操作，以便在系统发生灾难后及时恢复。

操作系统类：停止前台的应用操作，制作系统应急盘，对系统信息，注册表，sam文件，/etc中的配置文件以及其他含有重要系统配置信息和用户信息的目录和文件进行备份，并应该确保备份的自身安全。

数据库系统类：停止数据库系统的运行，然后对数据库系统进行数据转储，并妥善保护好备份数据。同时对数据库系统的配置信息和用户信息进行备份。

网络应用系统类：停止网络应用服务的运行，对网络应用服务系统及

25

贵州省政府网站群安全检测服务方案

其配置、用户信息、数据库等进行备份。

网络设备类：对网络设备的配置文件进行备份。

桌面系统类：关闭正在运行的前台应用，备份用户信息，用户文档，电子邮件等信息资料。 5.1.4 系统恢复策略

在渗透测试过程中，如果出现被评估系统没有响应或中断的情况，应当立即停止测试工作，与客户方配合人员一起分析情况，在确定原因后，及时恢复系统， 并采取必要的预防措施（比如调整测试策略）之后，确保对系统无影响，并经客户方同意之后才可继续进行。 5.1.5 过程监控

可以有三种形式：

全程监控：采用类似 Ethereal 或 Sniffer Pro 的嗅探软件进行全程抓包嗅探。优点是全过程都能完整记录。缺点是数据量太大，不易分析；需要大容量存储设备。

择要监控：对扫描过程不进行录制，仅仅在安全工程师分析数据后，准备发起渗透前，才开启类似 Ethereal 或 Sniffer Pro 的软件进行嗅探。

主机监控：仅监控受测主机的存活状态，避免意外情况发生。

5.1.6 其他要求

为了方便做安全审计，渗透测试人员所使用的主机名要求是“GooAnn”。

确定渗透测试期间的紧急联系电话（双方人员）。保证双方人员24小时开机。

渗透测试时间必需明确并严格遵守。

渗透测试效果上要求“深度”以及“广度”，深度是指能够渗透多深入就渗透多深入，比如从互联网渗透到会员系统。广度是指渗透并控制尽量多的主机系统或网络设备。

渗透测试前确定好目标机器以及目标机器的主要用途应用。

26

贵州省政府网站群安全检测服务方案 双方接口人员联系表，包括姓名、任务、联系方式，有什么疑问及时可以联系、交流。 5.2 应急预案

针对本次安全性检查工作中可能发生的不可预见性事件充分估计并考虑事件带来的影响特制定针对不同事件的应急预案：

1) 岗位责任制，对于参与项目的人员须严格执行操作规程，对于可能发生的后果充分估计。

2) 对于重要系统需提前备份，在不能实施工具检查的情况下采用人工检查的方式，避免由于检查产生安全事件。

3) 制定相应的通知机制，事件产生后按照流程通知到相应的负责人，包括：项目负责人、事件主机所属单位负责人。

4) 迅速恢复网站运行。

5) 应急专家组成员：两人：领导一人、工作人员一人；检测方：领导一人，高级技术人员二人。

6) 在扫描过程中如果出现被评估系统没有响应的情况，立即停止扫描，记录故障特征，并恢复系统的运行。

7) 根据现象特征确定原因（网络问题、扫描器问题、被评估主机的系统问题、扫描内容问题），调整扫描内容以及扫描范围等策略，排除扫描故障。

8) 分段扫描，使扫描小规模化，根据扫描内容合理划分每次扫描的主机范围，控制扫描器每次工作的时间，提高每次扫描的成功率，同时也避免了重复扫描。

9) 如果遇到无法解决问题，应由双方工作人员共同协商解决。

27

贵州省政府网站群安全检测服务方案

第6章. 安全检测服务的交付件—Web安全检测

报告项目背景

Web安全检测服务是一种远程检查服务，不是软件、也不是硬件设备。那么对客户的交付件是什么呢？就是一个定期的检查报告。周期与客户购买的检查周期相同。比如客户买的是一周检查一次，则Web安全检测服务为客户每周提供一次检查报告。

报告内容包括：检查的域名、检查的时间、检查的页面数量、检查的结果（是否存在漏洞）。如果存在漏洞，有多少页面存在漏洞，具体存在在哪些页面。最后是web漏洞修补的建议。

28

贵州省政府网站群安全检测服务方案

29

贵州省政府网站群安全检测服务方案

第7章. 安全检测服务的用户价值

Web安全检测服务的三大价值：

7.1 变单纯被动防御为主动检测+被动防御

传统的网站安全，多数是部署了IPS、防火墙等设备，很多网管人员认为这样就够了，但这仅仅是被动防御，就好像守城的军队只是一味的加高、加宽城墙，却不了解什么地方有可能存在问题，敌人最有可能从哪里进攻，甚至是否已经被入侵了。

有了Web安全检测服务，则增加了一种专业检测的手段，使得防御更具备针对性，能及时的将短木板补上，甚至能将已经被入侵的地方暴露出来。

7.2 降低运营成本

没有Web安全检测服务，客户要想对自己Web服务做安全检查则有两种手段：请专业的安全服务团队检查、购买Web扫描产品自己检查。前者的成本是非常高的，因为需要专业的安全团队到用户现场做检查，而且通常为期很长，对用户的正常web业务是有影响的。后者则是需要承担昂贵的Web扫描工具产品，且还要长期聘用专业的安全维护人员来使用该产品，这些都是成本。

而有了Web安全检测服务，则以上两种方式都可以不需要，因为的Web安全检测服务是基于近10年的检查经验基础上发展起来的安全服务，并且有专业的服务团队在做支撑，相当于客户每天都请专业服务团队在为自己的web安全做检查。 7.3 远程服务，业务隔离

Web安全检测服务是远程服务，因此也就无需在用户侧安装设备、无需更改用户网络、无需做网络割接，自然也就没有性能瓶颈。

30

贵州省政府网站群安全检测服务方案

第8章. 为何选择安全检测服务

选择Web安全检测服务的几大理由：

Web安全检测服务是在近10年的检测经验积累基础上发展起来的安全服务，现在已经有超过2000个检测类的客户。

Web安全检测服务是推出的远程安全检查服务，并能同时关注网页挂马和Web漏洞。

Web安全检测服务可以配其它的安全产品和服务，为网络用户提供一揽子安全解决方案。

Web安全检测服务基于强大的安全服务团队，都是业界最专业的安全服务团队，承担着大量的国家重要安全项目。

31

贵州省政府网站群安全检测服务方案

第9章. 费用说明

安全检测服务费用为 万元，包含基础检测服务项目。

安全渗透检测费用为 万元，属于可选检测项目，可以根据需要决定是否实施

32

本文来源：https://www.bwwdw.com/article/kfcp.html