渗透测试风险及事项-v1.1

本文档所包含的信息是受东方电气和上海帕科所签署的“保密信息交换协议”保护和限制。在未事先得到东方电气和上海帕科书面同意之前，本文档全部或部分内容不得用于其他任何用途或交与第三方。_______________________________东方电气项目渗透测试方案_______________________________渗透测试方案第2页共7页目录第1章  概述................................................................................................................4  1.1.  测试范围......................................................................................................4  1.2.  测试方式......................................................................................................4  1.3.  参考标准......................................................................................................4  第2章  测试阶段描述................................................................................................5  2.1.  信息收集及工具扫描阶段..........................................................................5  2.1.1.  阶段描述...........................................................................................................5  2.1.2.  测试规范...........................................................................................................5  2.1.3.  测试风险说明...................................................................................................5  2.1.4.  风险规避措施...................................................................................................6  2.2.  漏洞利用及风险评估阶段..........................................................................6  2.2.1.  阶段描述...........................................................................................................6  2.2.2.  测试规范...........................................................................................................6  2.2.3.  测试风险说明...................................................................................................7  2.2.4.  风险规避措施...................................................................................................7  渗透测试方案第3页共7页文档信息表文档基本信息项目名称东方电气项目文档名称渗透测试服务规范创建者马振创建时间2012/9/12文档修订信息版本修正章节日期作者变更记录1.0全部2012/9/12马振创建渗透测试方案第4页共7页第1章概述1.1.测试范围应用系统名称应用系统IP1.2.测试方式测试方式有如下两种：n外部测试模拟外部攻击者对东方电气应用应用系统进行攻击尝试，通常以突破外部防线（Internet入口防火墙形成的）进入应用系统为目标，测试的发起位置是外部Internet。n内部测试模拟企移动内部攻击者对目标应用系统进行攻击尝试，通常以突破移动内部防线(内部防火墙形成的)进入应用系统区域为目标，测试的发起位置是Office。本次渗透测试仅在东方电气外部进行测试，因此，主要以外部测试为主1.3.参考标准《OWASPTestingGuide》《NISTSP800-115》《OSSTM》(Open-SourceSecurityTestingMethodology)渗透测试方案第5页共7页第2章测试阶段描述2.1.信息收集及工具扫描阶段2.1.1.阶段描述n进行必要的信息收集，如东方电气应用的IP地址、DNS记录、软件版本信息、IP段和网络拓扑等n进行端口扫描及服务识别（Nmap）n进行系统层漏洞扫描（Nessus）n进行WEB应用层漏洞扫描（WVS、IBM_Appscan、HP_WebInspect）2.1.2.测试规范n关闭DDOS、CC等可能导致服务器无法正常工作的扫描策略2.1.3.测试风险说明n如果应用系统存在一些文件写入方面的漏洞（如PUT上传漏洞），扫描时可能会自动写入临时文件进行测试，但不对现有的文件进行修改、删除等操作n如果网站存在一些数据插入的功能模块（如留言板、论坛发帖及新建帐号等），可能在扫描时插入大量测试数据n如果网站存在一些数据修改及删除的功能模块（如编辑留言、删贴或删帐号等），可能在扫描时提交修改和删除的操作n在扫描时，由于提交一定数量的HTTP请求，可能会引起服务器负载升高，如果服务器本身就负载较高，可能会导致服务器无响应n某些安全监控设备会可能会对扫描行为发出告警渗透测试方案第6页共7页2.1.4.风险规避措施n建议在东方电气的测试环境或模拟环境中进行工具扫描n移动生产环境风险规避措施如下Ø工具扫描尽量安排在非工作空闲时间Ø扫描前，建议对应用等相关应用程序和数据库进行备份Ø扫描时，请系统相关负责人进行应用状况监控，出现异常时可以及时中断，也可以通过SOC平台的监控功能进行监控Ø扫描后，检查系统运行情况，清理临时文件和临时数据；如果没有权限操作，及时通知系统管理员进行清理（在提交的测试报告中会列出测试中可能留下测试文件和测试数据的地方）n如果不能接受本阶段带来的风险，可以跳过此阶段，但对整体的测试效果有一定影响，如下Ø降低渗透测试效率Ø漏洞测试不完整2.2.漏洞利用及风险评估阶段2.2.1.阶段描述n手工提交HTTP请求，主要对东方电气应用系统进行漏洞的深度利用测试，评估已发现漏洞对网站带来的真实风险n当获得系统的普通访问权限时，上传测试工具，利用漏洞进行提权测试2.2.2.测试规范n不使用DDOS、CC等可能导致服务器无法正常工作的手法渗透测试方案第7页共7页2.2.3.测试风险说明n如果东方电气应用系统存在SQL注入等相关数据库方面的漏洞，可能对数据库进行操作，如读取用户表、创建临时表、利用数据反向连接、执行存储过程等n利用本地缓冲区溢出漏洞提权时，可能会导致服务器无响应n测试中可能会上传一下测试文件，但不会删改已有的正常文件n某些安全监控设备会可能会对测试行为发出告警2.2.4.风险规避措施n建议在东方电气应用系统测试环境或模拟环境中进行渗透测试n生产环境风险规避措施如下Ø测试前，建议对WEB应用程序和数据库进行备份Ø测试时，请系统相关负责人进行应用状况监控，出现异常时可以及时中断Ø测试后，检查系统运行情况，清理临时文件和临时数据；如果没有权限操作，及时通知系统管理员进行清理（在提交的测试报告中会列出测试中可能留下测试文件和测试数据的地方）n如果不能接受本阶段带来的风险，可以跳过此阶段，但对整体的测试效果有一定影响，如下Ø不能准确评估已发现漏洞对网站带来的真实风险Ø缺少对服务器漏洞的提权行测试