xx网站应用渗透测试项目技术方案V2.0

更新时间：2023-09-12 13:29:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

新型冠状病毒推荐度：
相关推荐

密级：商业秘密

文档编号：

XX渗透测试项目

技术方案

xx信息技术（北京）股份有限公司

2012年10月

xx网站渗透测试项目技术方案

1 项目概要 ................................................................................................................ 4

1.1 1.2 1.3 1.4

项目背景 ....................................................................................................................... 4 项目目标 ....................................................................................................................... 4 项目交付 ....................................................................................................................... 4 项目原则 ....................................................................................................................... 5

2 测试过程 ................................................................................................................ 6

2.1 2.2 2.3 2.4 2.5 2.6 2.7

客户书面授权 ............................................................................................................... 6 制定实施方案 ............................................................................................................... 6 风险规避 ....................................................................................................................... 7 信息收集分析 ............................................................................................................... 7 渗透测试 ....................................................................................................................... 8 取得权限、提升权限 ................................................................................................... 8 评估报告 ....................................................................................................................... 9 2.7.1 2.7.2

渗透测试报告 ................................................................................................... 9 整改加固建议 ................................................................................................... 9

3 网络层渗透测试 .................................................................................................. 10

3.1

门户网站WEB渗透测试 .......................................................................................... 10 3.1.1 3.1.2 3.2

渗透测试范围 ................................................................................................. 10 渗透测试方法 ................................................................................................. 10

系统渗透测试 ............................................................................................................. 16 3.2.1 3.2.2

渗透测试范围 ................................................................................................. 16 渗透测试方法 ................................................................................................. 16

3.3 渗透测试风险规避措施 ............................................................................................. 19

4 项目实施方案 ...................................................................................................... 22

4.1 4.2 4.3 4.4

项目实施范围 ............................................................................................................. 22 项目实施阶段 ............................................................................................................. 22 项目实施计划 ............................................................................................................. 22 保密控制 ..................................................................................................................... 23 4.4.1 4.4.2 4.4.3

保密承诺 ......................................................................................................... 23 场地环境项目期间内的风险保密管理规定 ................................................. 23 文档材料的风险管理办法 ............................................................................. 23

共 32 页第 2 页

xx网站渗透测试项目技术方案

4.4.4 4.4.5 4.5

离场及项目结束的风险管理办法 ................................................................. 24 例外情况 ......................................................................................................... 24

项目沟通 ..................................................................................................................... 24 4.5.1 4.5.2 4.5.3

日常沟通、记录和备忘录 ............................................................................. 24 报告 ................................................................................................................. 24 会议 ................................................................................................................. 25

4.6 质量管理 ..................................................................................................................... 27 4.6.1 4.6.2

项目执行人员的质量职责 ............................................................................. 27 质量保证过程 ................................................................................................. 28

4.7 项目人员 ..................................................................................................................... 29

5 XX的优势 ............................................................................................................ 30

5.1 5.2 5.3

工程经验 ..................................................................................................................... 30 技术积累 ..................................................................................................................... 30 人才优势 ..................................................................................................................... 30

6 项目报价 .............................................................................................................. 31

共 32 页第 3 页

xx网站渗透测试项目技术方案

1 项目概要

1.1 项目背景

Web应用是网络应用和业务的集成，为所有用户提供方便的信息共享和应用共享。Web业务平台已经在电子商务、企业信息化中得到广泛的应用，企业都纷纷将应用架设在Web平台上，为客户提供更为方便、快捷的服务支持。伴随着这种趋势，入侵者也将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时，数据也显示，三分之二的 Web 站点都相当脆弱和易受攻击。

为保障xx网站系统对外服务的安全，xx公司将根据具体需求，采用成熟、规范的测试方法和工具对xx的网站应用进行渗透测试评估，以及时发现存在的问题，提出恰当的改进建议，为xx网站应用安全提供保障。

1.2 项目目标

针对本次项目，xx主要通过渗透测试的方式，发现和总结xx网站应用中可能面临的各类安全风险，并提出针对性的安全改进建议。

1.3 项目交付

通过本次网站应用渗透测试项目，xx将为xx交付以下成果： ? 《网站应用安全渗透测试报告》系列报告

本报告详细记录本次渗透测试的过程、方法、测试结果及结果分析等内容。

? 《网站应用安全扫描检测报告》系列报告

本报告主要依据工具扫描的结果对网站系统存在的安全问题予以描述并提出解决建议。

共 32 页第 4 页

xx网站渗透测试项目技术方案

1.4 项目原则

xx在项目实施全过程将遵循以下项目原则：规范性原则：

在项目实施过程中，xx的工作团队采用规范、统一的标准化工作流程和工作方式；项目文档化遵循xx的文档规范，文档的设计将依照国际、国内及行业内部的相关成熟标准和最佳实践。

可控性原则：

项目实施过程中所采用的工具、方法和过程要经xx的认可，确保项目进度的推进，保证本次项目的可控性。

最小影响原则：

项目实施应尽可能小地影响系统和网络的正常运行，不能对现有网络的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等)。

保密原则：

对服务过程中的过程数据和结果数据严格保密，未经授权不泄露给任何单位和个人，不利用此数据进行任何侵害xx的行为。

共 32 页第 5 页

xx网站渗透测试项目技术方案

殊内容进行不适当的处理，进行预判。SQL语句注入：通过向提交给应用程序的输入数据中“注入”某些特殊SQL语句，最终可能获取、篡改、控制网站服务器端数据库中的内容。

? SQL Injection定义

所谓SQL Injection ，就是通过向有SQL查询的WEB程序提交一个精心构造的请求，从而突破了最初的SQL查询限制，实现了未授权的访问或存取。

? SQL Injection原理

随着WEB应用的复杂化，多数WEB应用都使用数据库作为后台，WEB程序接受用户参数作为查询条件，即用户可以在某种程度上控制查询的结果，如果WEB程序对用户输入过滤的比较少，那么入侵者就可能提交一些特殊的参数，而这些参数可以使该查询语句按照自己的意图来运行，这往往是一些未授权的操作，这样只要组合后的查询语句在语法上没有错误，那么就会被执行。

? SQL Injection危害

SQL Injection的危害主要包括： 1．露敏感信息

2．提升WEB应用程序权限 3．操作任意文件 4．执行任意命令

? SQL Injection 技巧

利用SQL Injection的攻击技巧主要有如下几种：

1．逻辑组合法：通过组合多种逻辑查询语句，获得所需要的查询结果。

2．错误信息法：通过精心构造某些查询语句，使数据库运行出错，错误信息中包含了敏感信息。

3．有限穷举法：通过精心构造查询语句，可以快速穷举出数据库中的任意信息。

4．移花接木法：利用数据库已有资源，结合其特性立刻获得所需

共 32 页第 11 页

xx网站渗透测试项目技术方案

信息。

? 预防手段

要做到预防SQL Injection，数据库管理员（MS SQL Server）应做到：

1．应用系统使用独立的数据库帐号，并且分配最小的库，表以及字段权限

2．禁止或删除不必要的存储过程 3．必须使用的存储过程要分配合理的权限 4．屏蔽数据库错误信息 WEB程序员则应做到：

1．对用户输入内容进行过滤（‘ ， “ -- # ） 2．对用户输入长度进行限制 3．注意查询语句书写技巧

XSS跨站脚本攻击

通过跨站脚本的方式对门户网站系统进行测试。跨站脚本是一种向其他Web用户浏览页面插入执行代码的方法。网站服务器端应用程序如果接受客户端提交的表单信息而不加验证审核，攻击者很可能在其中插入可执行脚本的代码，例如JavaScript、VBScript等，如果客户端提交的内容不经过滤地返回给任意访问该网站的客户端浏览器，其中嵌入的脚本代码就会以该网站服务器的可信级别被客户端浏览器执行。

? 漏洞成因

是因为WEB程序没有对用户提交的变量中的HTML代码进行过滤或转换。

? 漏洞形式

这里所说的形式，实际上是指WEB输入的形式，主要分为两种： 1．显示输入 2．隐式输入

共 32 页第 12 页

xx网站渗透测试项目技术方案

其中显示输入明确要求用户输入数据，而隐式输入则本来并不要求用户输入数据，但是用户却可以通过输入数据来进行干涉。显示输入又可以分为两种： 1．输入完成立刻输出结果

2．输入完成先存储在文本文件或数据库中，然后再输出结果注意：后者可能会让你的网站面目全非!

而隐式输入除了一些正常的情况外，还可以利用服务器或WEB程序处理错误信息的方式来实施。

? 漏洞危害

比较典型的危害包括但不限于： 1．获取其他用户Cookie中的敏感数据 2．屏蔽页面特定信息 3．伪造页面信息 4．拒绝服务攻击

5．突破外网内网不同安全设置

6．与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等 7．其它

一般来说，上面的危害还经常伴随着页面变形的情况。而所谓跨站脚本执行漏洞，也就是通过别人的网站达到攻击的效果，也就是说，这种攻击能在一定程度上隐藏身份。

? 解决方法

要避免受到跨站脚本执行漏洞的攻击，需要程序员和用户两方面共同努力，程序员应过滤或转换用户提交数据中的所有HTML代码，并限制用户提交数据的长度；而用户方则不要轻易访问别人提供的链接，并禁止浏览器运行JavaScript和ActiveX代码。

共 32 页第 13 页

xx网站渗透测试项目技术方案

CRLF注入

CRLF注入攻击并没有像其它类型的攻击那样著名。但是，当对有安全漏洞的应用程序实施CRLF注入攻击时，这种攻击对于攻击者同样有效，并且对用户造成极大的破坏。

充分检测应用程序在数据执行操作之前，对任何不符合预期的数据类型的字符过滤是否符合要求。

XPath注入

XPath注入攻击是指利用XPath 解析器的松散输入和容错特性，能够在 URL、表单或其它信息上附带恶意的XPath 查询代码，以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法，它允许攻击者在事先不知道XPath查询相关知识的情况下，通过XPath查询得到一个XML文档的完整内容。

COOKIE操纵

浏览器与服务器之间的会话信息通常存储在Cookie或隐藏域中，通过修改这些会话参数，来对控制会话进行测试。参数操控一般发生在数据传输之前，因此SSL中的加密保护通常并不能解决这个问题。

? Cookie欺骗：修改或伪造Cookie，达到入侵目的。

Google Hacking

使用google中的一些语法可以提供给我们更多的WEB网站信息，通过在搜索引擎中搜索WEB网站可能存在的敏感信息，获取有利用价值的攻击线索，并进行渗透测试攻击。

共 32 页第 14 页

xx网站渗透测试项目技术方案

暴力猜解

对于采用口令进行用户认证的应用，将使用工具进行口令猜测以获取用户帐号/密码，口令猜测使用字典攻击和蛮力攻击。

木马植入

对网站进行信息收集，查找是否存在安全漏洞，是否可以利用漏洞上传一个后门程序以取得WEBSHELL，修改页面植入木马，对所有访问者进行木马攻击。

病毒与木马检查

根据本次渗透测试范围要求对系统进行木马检查，检查系统是否感染病毒和木马。此次检测如系统存在病毒或木马，我方将和xx程师在第一时间进行彻底的查杀和清除，并将检查结果进行汇总分析，形成报告。

病毒木马检查主要内容包括：

? 启动项分析； ? 隐藏文件、内核检测； ? 网络异常连接检测； ? 恶意文件扫描； ? 注册表分析； ? 清除恶意文件； ? 修复系统； ? 其他项；

溢出攻击

通过前期资料收集掌握的网站程序及各种支撑中间件进行分析、总结，利用工具与工程经验结合的方式对网站运营支撑的各种应用程序和中间件进行缓冲区溢出攻击测试，发现存在溢出的程序，充分保障网站安全运行。

共 32 页第 15 页

xx网站渗透测试项目技术方案

后门

利用工具对信息系统进行彻底扫描，对异常进程、网络异常连接、异常流量、启动项等进行深入分析，查找系统是否存在后门。

欺骗

实时监控网络情况，对诸如网络钓鱼和其他虚假网站形成实时跟踪机制，及时发现欺骗行为，通过安全上报机制及时报告并协助加强安全防范。

通过搜索引擎对疑似钓鱼网站和错误链接进行风险排查，对重点可疑网站进行深度负面分析。一旦发现有假冒站点出现，便立刻向相关管理机构举报，关闭该虚假站点。通过这种方式，大力防范了钓鱼网站对客户的欺骗和攻击，及时抑制了欺骗对客户利益的损害，为客户打造了安全可靠的互联网环境，有效消除了客户疑虑，大大增强了客户信心。

3.2 系统渗透测试

采用“黑盒”和“白盒”两种方式对xx的系统从应用层、网络层和系统层等方面进行渗透。

3.2.1 渗透测试范围

本次xx网站应用渗透测试项目实施范围包括10个自建网站及40个下属单位网站。

3.2.2 渗透测试方法

“黑盒”渗透测试

在只了解渗透对象的情况下，从互联网和xx下各个安全域接入点位置从“内”“外”两个方向分别对各个系统进行渗透。通常这类测试的最初信息来自于DNS、Web、Email及各种公开对外的服务器。

共 32 页第 16 页

xx网站渗透测试项目技术方案

“白盒”渗透测试

在黑盒渗透测试完毕后，结合xx提供的网络拓扑、IP地址信息、网络设备和主机设备类型、代码片段等信息，重新制定渗透测试方案，有针对性的对网络和主机设备进行渗透测试。这类测试的主要目的是模拟组织内部雇员的越权操作，和预防万一组织重要信息泄露，网络黑客能利用这些信息对组织构成的危害。

已知漏洞攻击

通过被披露的操作系统及应用软件（或模块）的安全漏洞，利用这些漏洞及相关工具对网站及其应用进行测试。

? 针对操作系统已知漏洞的攻击。

? 针对应用软件（包括Web服务器和应用服务器等）已知漏洞的攻击。

口令猜解

对于采用口令进行用户认证的应用，将使用工具进行口令猜测以获取用户帐号/密码，口令猜测使用字典攻击和蛮力攻击。

指令注入

对网站应用程序的输入数据进行合法性检查，对客户端参数中包含的某些特殊内容进行不适当的处理，进行预判。具体方法主要为：

? SQL语句注入 ? 隐蔽命令执行 ? 遍历目录/文件 ? 缓冲区溢出攻击

异常处理

当应用程序中的方法调用出现故障时，应用程序进行哪些操作？显示了多少？是否返回友好的错误信息给最终用户？是否把有价值的异常信息传递回调

共 32 页第 17 页

xx网站渗透测试项目技术方案

用者？应用程序的故障是否适当。

后门

利用工具对信息系统进行彻底扫描，对异常进程、网络异常连接、异常流

量、启动项等进行深入分析，查找系统是否存在后门。

病毒与木马检查

病毒木马检查主要内容包括：

? 启动项分析； ? 隐藏文件、内核检测； ? 网络异常连接检测； ? 恶意文件扫描； ? 注册表分析； ? 清除恶意文件； ? 修复系统； ? 其他项；

溢出攻击

通过前期资料收集掌握的系统运行的各种应用程序进行分析、总结，利用工具与工程经验结合的方式对各种应用程序进行缓冲区溢出攻击测试，发现存在溢出的程序，充分信息系统安全运行。

审核及日志记录

审核和日志记录指应用程序如何记录与安全相关的事件，确保网站系统日志

共 32 页第 18 页

xx网站渗透测试项目技术方案

功能已开启，并被管理员经常审核，许多攻击行为在Web系统日志中均能找到一些蛛丝马迹，通过对网站系统日志的审计发现一些潜在的或已实施的攻击行为。

3.3 渗透测试风险规避措施

渗透测试过程的最大的风险在于测试过程中对业务产生影响，为此我们在本项目采取以下措施来减小风险：

? 在渗透测试中不使用含有拒绝服务的测试策略。 ? 渗透测试时间尽量安排在业务量不大的时段或者晚上。

? 在渗透测试过程中如果出现被评估系统没有响应的情况，应当立即停止测

试工作，与xx相关人员一起分析情况，在确定原因后，并待正确恢复系统，采取必要的预防措施（比如调整测试策略等）之后，才可以继续进行。 ? xx测试者会与xx系统和安全管理人员保持良好沟通。随时协商解决出现的

各种难题。

渗透测试部分工具介绍

该部分简要介绍渗透测试过程中可能使用到的工具，如果渗透测试中使用到别的工具不再另行说明。

信息收集工具

Nslookup：用于使用DNS查询的手段对被测网段主机进行DNS查询，并收集相应的主机名、DNS名。

Whois：进行NIC查询工具，了解被测网络的相关信息。

Tracert：进行路由查询，了解路由路径。判断网络链路和防火墙的相关情况。

共 32 页第 19 页

xx网站渗透测试项目技术方案

网络扫描工具

DUMPSec：枚举Windows系统信息，包括用户组、注册表、打印和文件共享等信息。

Firewalk：该工具用于检测被测网络边界安全设备、包转发设备的访问控制策略及网络路径等。

LANguard Network Scanner：可用于对被测网络的端口进行扫描并探测操作系统指纹，通过NetBIOS查询获取主机信息。

Nmap：功能强大的开放源代码端口扫描工具，可以通过多种扫描方式对目标系统的开放端口和服务进行扫描。

Solarwinds：一套网络管理工具集合，包含了大量的网络管理和信息发现工具。

SuperScan：一个图形界面的端口扫描工具，可以快速的对开放端口进行扫描并探测主机存活情况，并带有DNS查询功能。

漏洞检测工具

Nessus：是一个免费的网络安全评估软件，功能强大且更新极快。该系统被设计为客户机/服务器模式，服务器端负责进行安全检查，客户端用来配置管理服务器端。可以对网络和主机存在的安全漏洞进行扫描，检查的结果可以使用HTML、纯文本、XML、LaTeX等格式保存。

SARA：这是一个免费的网络安全评估软件，可以对网络和主机存在的安全漏洞进行扫描。

口令破解工具

John the Ripper：主要用于破解UNIX系统口令，但是该工具也支持多种HASH加密的口令破解。

L0pht Crack用于Windows NT、2000和XP的口令破解。

共 32 页第 20 页

xx网站渗透测试项目技术方案

网络嗅探工具

Dsniff：可以收集网络中的机密信息，例如口令、电子邮件等，在渗透测试中，该工具还可用于中间人攻击。

Ethereal：可以在网络中被动的收集网络中的传输数据，并支持对数据进行细节分析，了解数据报文内容。

无线网络测试工具

Kismet：无线网络嗅探工具，支持大量无线网卡。 Netstumbler：用于检测网络中存在的无线接入点。 WEPCrack：可以支持对WEP加密进行破解。

其他WEB及数据库测试工具

包括部分公开及私有的WEB及数据库测试工具。

共 33 页第 21 页

xx网站渗透测试项目技术方案

4 项目实施方案

4.1 项目实施范围

本次xx网站应用渗透测试项目实施范围包括10个自建网站及40个下属单位网站。

4.2 项目实施阶段

本项目实施总体过程主要划分为以下三个阶段: 第一阶段：项目准备阶段此阶段的主要工作是召开项目启动会、深入了解网站结构、对测试报告的结构进行讨论整理，与此同时需要在此阶段完成网站测试过程中出现突发情况的应急预案并对应急预案在测试前进行演练；第二阶段：渗透测试阶段此阶段的主要工作是完成渗透测试的操作工作，包括在测试前备份系统信息和关闭不必要的服务、低级漏洞检测、高级漏洞检测和对潜在的安全隐患进行检测；

第三阶段：报告编制阶段此阶段的主要工作是对测试过程中产生的数据和资料进行整理并按照项目准备阶段制定的报告结构来编制测试报告、同时对已经发现的安全隐患出具加固方案，在每一个报告提交之前均需与xx方面进行充分讨论和沟通；

4.3 项目实施计划

项目实施阶段实施工作内容 1、调研核实项目范围；项目准备阶段 2、确认项目实施方法； 3、确定项目成果展现方式；共 33 页第 22 页

实施周期（工作日） 3天 xx网站渗透测试项目技术方案

4、召开项目启动会； 5、签订保密协议渗透测试阶段 1、对网站系统进行工具扫描； 2、对网站系统进行渗透测试； 1、编制渗透测试报告报告编制阶段 2、编制应用扫描报告 3、报告交付并讲解

15天 30天 4.4 保密控制

为保障xx的信息保密工作，通过如下控制措施，加强风险保密工作。

4.4.1 保密承诺

所有参与xx项目的xx顾问都要签订《保密承诺》，并交xx统一存档。

4.4.2 场地环境项目期间内的风险保密管理规定

所有进入xx工作场地的实施人员，均应遵守双方协定风险保密规定。确保在场地环境内信息的风险传递。

4.4.3 文档材料的风险管理办法