xx网站应用渗透测试项目技术方案V20.docx

1、xx网站应用渗透测试项目技术方案V20密 级：商业秘密 文档编号：XX渗透测试项目技术方案xx信息技术（北京）股份有限公司2012年10月 项目概要1.1项目背景Web应用是网络应用和业务的集成，为所有用户提供方便的信息共享和应用共享。Web业务平台已经在电子商务、企业信息化中得到广泛的应用，企业都纷纷将应用架设在Web平台上，为客户提供更为方便、快捷的服务支持。伴随着这种趋势，入侵者也将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时，数据也显示，三分之二的 Web 站

2、点都相当脆弱和易受攻击。为保障xx网站系统对外服务的安全，xx公司将根据具体需求，采用成熟、规范的测试方法和工具对xx的网站应用进行渗透测试评估，以及时发现存在的问题，提出恰当的改进建议，为xx网站应用安全提供保障。1.2项目目标针对本次项目，xx主要通过渗透测试的方式，发现和总结xx网站应用中可能面临的各类安全风险，并提出针对性的安全改进建议。1.3项目交付通过本次网站应用渗透测试项目，xx将为xx交付以下成果：网站应用安全渗透测试报告系列报告本报告详细记录本次渗透测试的过程、方法、测试结果及结果分析等内容。网站应用安全扫描检测报告系列报告本报告主要依据工具扫描的结果对网站系统存在的安全问题

3、予以描述并提出解决建议。1.4项目原则xx在项目实施全过程将遵循以下项目原则：规范性原则：在项目实施过程中，xx的工作团队采用规范、统一的标准化工作流程和工作方式；项目文档化遵循xx的文档规范，文档的设计将依照国际、国内及行业内部的相关成熟标准和最佳实践。可控性原则：项目实施过程中所采用的工具、方法和过程要经xx的认可，确保项目进度的推进，保证本次项目的可控性。最小影响原则：项目实施应尽可能小地影响系统和网络的正常运行，不能对现有网络的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等)。保密原则：对服务过程中的过程数据和结果数据严格保密，XX不泄露给任何单位和个人，

4、不利用此数据进行任何侵害xx的行为。测试过程1.5客户书面授权合法性即客户书面授权委托，并同意实施方案是进行渗透测试的必要条件。渗透测试首先必须将实施方法、实施时间、实施人员等具体的实施方案提交给客户，并得到客户的相应书面委托和授权。本次书面授权应该做到xx对渗透测试所有细节和风险都知晓，所有过程都在xx的控制下进行。这也是专业渗透测试服务与黑客攻击的本质不同。1.6制定实施方案实施方案应当由我方与xx相关技术人员进行沟通协商。调查了解客户对测试的基本接受情况。内容包括但不限于如下：目标系统介绍、重点保护对象及特性。 是否允许数据破坏？ 是否允许阻断业务正常运行？ 测试之前是否应当知会相关部门

5、接口人？ 接入方式？外网和内网？ 测试是发现问题就算成功，还是尽可能的发现多的问题？ 渗透过程是否需要考虑社会工程？ 在对客户具体情况充分了解的前提下，制定相应的测试流程，安全评估步骤如下：1.7风险规避渗透时间和策略为减轻渗透测试对网络和主机的影响，渗透测试时间应尽量安排在业务量不大的时段或晚上。为了防止渗透测试造成网络和主机的业务中断，在渗透测试中不应使用拒绝服务等策略。系统备份和恢复为了防止在渗透测试过程中出现意外情况，所有评估系统最好在被评估之前做一次完整的系统备份，以便在系统发生灾难后及时恢复。在渗透测试过程中，如果被评估系统没有响应或中断，应立即停止测试工作，与客户人员配合一起分析

6、情况。确定原因后，及时恢复系统，并采取必要的预防措施，确保对系统没有影响，并经客户同意后才可继续进行。沟通在测试实施过程中，测试人员和客户方人员应当建立直接沟通渠道，并在出现难题的时候保持合理沟通。1.8信息收集分析信息收集是每一个渗透攻击的前提，通过信息收集可以有针对性的制定模拟攻击测试计划，提高模拟攻击的成功率，同时还可以有效降低攻击测试对系统正常运行的不利影响。工具收集分析使用nslookup.exe，superscan，x-scan，tracert，namp等探测收集目标主机环境及其所在的网络环境。使用极光、榕基等漏洞扫描器，对目标网络中的主机进行漏洞扫描，并对扫描结果进行分析。使用e

7、thereal、sniffer pro等工具嗅探分析目标网络数据和私有协议交互。手工收集分析对目标主机环境及其所在网络环境，在工具分析基础上进行手工深入分析。判断是否存在远程利用漏洞和可以利用的敏感信息。其他手段收集分析可以由客户提供一些特定的资料，以便于我们查找漏洞。或者利用社会工程学或木马、间谍软件等收集有用信息。1.9渗透测试根据客户设备范围和项目时间计划，并结合前一步信息收集得到的设备存活情况、网络拓扑情况以及扫描得到的服务开放情况、漏洞情况制定计划，确定无误后实施。攻击手段大概有以下几种：主机存在重大安全问题，可以远程获取权限。但是这种可能性不大。应用系统存在安全问题，如SSH系统可

8、能存在溢出、脆弱口令等问题，严重的可以获取系统权限，轻则获取普通控制权限。 网络通信中存在加密薄弱或明文口令。同网段或信任主机中存在脆弱主机，通过sniffer监听目标服务器远程口令。1.10取得权限、提升权限通过初步的信息收集分析和攻击，存在两种可能，一种是目标系统存在重大安全弱点，测试可以直接控制目标系统，但是可能性很小；另一种是目标系统没有远程重大的安全弱点，但是可以获得普通用户权限，这时可以通过普通用户权限进一步收集目标系统信息，并努力获取超级用户权限。1.11评估报告评估结束后根据分析状况,描述弱点，改进建议，措施，解决方案，整理完成渗透测试报告和整改加固建议。1.11.1渗透测试报

9、告渗透测试报告将会详细的说明渗透测试过程中得到的数据和信息以及弱点。1.11.2整改加固建议整改加固建议根据渗透测试过程中发现的安全问题提供改进建议。网络层渗透测试本次测试严格按照攻击者的步骤：攻击载体、利用点、入侵手段与方法、造成后果与达到的目的可将典型情况总结，如下图： 注：图中相邻子框按箭头顺序都是一对多的1.12门户网站WEB渗透测试门户网站服务的对象是所有互联网用户，其风险和影响最大，如果出现网站被攻陷或网页被篡改等情况，可能会造成较大的社会或政治影响，因此需要专门针对xx的门户网站进行WEB渗透测试。1.12.1渗透测试范围本次xx网站应用渗透测试项目实施范围包括10个自建网站及4

10、0个下属单位网站。1.12.2渗透测试方法WEB服务器漏洞利用通过被披露的各种服务器操作系统及应用软件（或模块）的安全漏洞，利用这些漏洞及相关工具对WEB服务器和网站及其应用进行漏洞利用测试。SQL注入对网站应用程序的输入数据进行合法性检查，对客户端参数中包含的某些特殊内容进行不适当的处理，进行预判。SQL语句注入：通过向提交给应用程序的输入数据中“注入”某些特殊SQL语句，最终可能获取、篡改、控制网站服务器端数据库中的内容。SQL Injection定义所谓SQL Injection ，就是通过向有SQL查询的WEB程序提交一个精心构造的请求，从而突破了最初的SQL查询限制，实现了未授权的访

11、问或存取。SQL Injection原理随着WEB应用的复杂化，多数WEB应用都使用数据库作为后台，WEB程序接受用户参数作为查询条件，即用户可以在某种程度上控制查询的结果，如果WEB程序对用户输入过滤的比较少，那么入侵者就可能提交一些特殊的参数，而这些参数可以使该查询语句按照自己的意图来运行，这往往是一些未授权的操作，这样只要组合后的查询语句在语法上没有错误，那么就会被执行。SQL Injection危害SQL Injection的危害主要包括：1露敏感信息2提升WEB应用程序权限3操作任意文件4执行任意命令SQL Injection 技巧利用SQL Injection的攻击技巧主要有如下几

12、种：1逻辑组合法：通过组合多种逻辑查询语句，获得所需要的查询结果。2错误信息法：通过精心构造某些查询语句，使数据库运行出错，错误信息中包含了敏感信息。3有限穷举法：通过精心构造查询语句，可以快速穷举出数据库中的任意信息。4移花接木法：利用数据库已有资源，结合其特性立刻获得所需信息。预防手段要做到预防SQL Injection， 数据库管理员（MS SQL Server）应做到：1应用系统使用独立的数据库帐号，并且分配最小的库，表以及字段权限2禁止或删除不必要的存储过程3必须使用的存储过程要分配合理的权限4屏蔽数据库错误信息WEB程序员则应做到：1对用户输入内容进行过滤（ ， “ - # %09

13、 %20）2对用户输入长度进行限制3注意查询语句书写技巧XSS跨站脚本攻击通过跨站脚本的方式对门户网站系统进行测试。跨站脚本是一种向其他Web用户浏览页面插入执行代码的方法。网站服务器端应用程序如果接受客户端提交的表单信息而不加验证审核，攻击者很可能在其中插入可执行脚本的代码，例如JavaScript、VBScript等，如果客户端提交的内容不经过滤地返回给任意访问该网站的客户端浏览器，其中嵌入的脚本代码就会以该网站服务器的可信级别被客户端浏览器执行。漏洞成因是因为WEB程序没有对用户提交的变量中的HTML代码进行过滤或转换。漏洞形式这里所说的形式，实际上是指WEB输入的形式，主要分为两种：1

14、显示输入2隐式输入其中显示输入明确要求用户输入数据，而隐式输入则本来并不要求用户输入数据，但是用户却可以通过输入数据来进行干涉。显示输入又可以分为两种：1输入完成立刻输出结果2输入完成先存储在文本文件或数据库中，然后再输出结果注意：后者可能会让你的网站面目全非!而隐式输入除了一些正常的情况外，还可以利用服务器或WEB程序处理错误信息的方式来实施。漏洞危害比较典型的危害包括但不限于：1获取其他用户Cookie中的敏感数据2屏蔽页面特定信息3伪造页面信息4拒绝服务攻击5突破外网内网不同安全设置6与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等7其它一般来说，上面的危害还经常伴随着页面变形

15、的情况。而所谓跨站脚本执行漏洞，也就是通过别人的网站达到攻击的效果，也就是说，这种攻击能在一定程度上隐藏身份。解决方法要避免受到跨站脚本执行漏洞的攻击，需要程序员和用户两方面共同努力，程序员应过滤或转换用户提交数据中的所有HTML代码，并限制用户提交数据的长度；而用户方则不要轻易访问别人提供的链接，并禁止浏览器运行JavaScript和ActiveX代码。CRLF注入CRLF注入攻击并没有像其它类型的攻击那样著名。但是，当对有安全漏洞的应用程序实施CRLF注入攻击时，这种攻击对于攻击者同样有效，并且对用户造成极大的破坏。充分检测应用程序在数据执行操作之前，对任何不符合预期的数据类型的字符过滤是

16、否符合要求。XPath注入XPath注入攻击是指利用XPath 解析器的松散输入和容错特性，能够在 URL、表单或其它信息上附带恶意的XPath 查询代码，以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法，它允许攻击者在事先不知道XPath查询相关知 识的情况下，通过XPath查询得到一个XML文档的完整内容。COOKIE操纵浏览器与服务器之间的会话信息通常存储在Cookie或隐藏域中，通过修改这些会话参数，来对控制会话进行测试。参数操控一般发生在数据传输之前，因此SSL中的加密保护通常并不能解决这个问题。Cookie欺骗：修改或伪造Cookie，达到入

17、侵目的。Google Hacking使用google中的一些语法可以提供给我们更多的WEB网站信息，通过在搜索引擎中搜索WEB网站可能存在的敏感信息，获取有利用价值的攻击线索，并进行渗透测试攻击。暴力猜解对于采用口令进行用户认证的应用，将使用工具进行口令猜测以获取用户帐号/密码，口令猜测使用字典攻击和蛮力攻击。木马植入对网站进行信息收集，查找是否存在安全漏洞，是否可以利用漏洞上传一个后门程序以取得WEBSHELL，修改页面植入木马，对所有访问者进行木马攻击。病毒与木马检查根据本次渗透测试范围要求对系统进行木马检查，检查系统是否感染病毒和木马。此次检测如系统存在病毒或木马，我方将和xx程师在第一

18、时间进行彻底的查杀和清除，并将检查结果进行汇总分析，形成报告。病毒木马检查主要内容包括：启动项分析；隐藏文件、内核检测；网络异常连接检测；恶意文件扫描；注册表分析；清除恶意文件；修复系统；其他项；溢出攻击通过前期资料收集掌握的网站程序及各种支撑中间件进行分析、总结，利用工具与工程经验结合的方式对网站运营支撑的各种应用程序和中间件进行缓冲区溢出攻击测试，发现存在溢出的程序，充分保障网站安全运行。后门利用工具对信息系统进行彻底扫描，对异常进程、网络异常连接、异常流量、启动项等进行深入分析，查找系统是否存在后门。欺骗实时监控网络情况，对诸如网络钓鱼和其他虚假网站形成实时跟踪机制，及时发现欺骗行为，通

19、过安全上报机制及时报告并协助加强安全防范。通过搜索引擎对疑似钓鱼网站和错误链接进行风险排查，对重点可疑网站进行深度负面分析。一旦发现有假冒站点出现，便立刻向相关管理机构举报，关闭该虚假站点。通过这种方式，大力防范了钓鱼网站对客户的欺骗和攻击，及时抑制了欺骗对客户利益的损害，为客户打造了安全可靠的互联网环境，有效消除了客户疑虑，大大增强了客户信心。1.13系统渗透测试采用“黑盒”和“白盒”两种方式对xx的系统从应用层、网络层和系统层等方面进行渗透。1.13.1渗透测试范围本次xx网站应用渗透测试项目实施范围包括10个自建网站及40个下属单位网站。1.13.2渗透测试方法“黑盒”渗透测试在只了解渗

20、透对象的情况下，从互联网和xx下各个安全域接入点位置从“内”“外”两个方向分别对各个系统进行渗透。通常这类测试的最初信息来自于DNS、Web、Email及各种公开对外的服务器。“白盒”渗透测试在黑盒渗透测试完毕后，结合xx提供的网络拓扑、IP地址信息、网络设备和主机设备类型、代码片段等信息，重新制定渗透测试方案，有针对性的对网络和主机设备进行渗透测试。这类测试的主要目的是模拟组织内部雇员的越权操作，和预防万一组织重要信息泄露，网络黑客能利用这些信息对组织构成的危害。已知漏洞攻击通过被披露的操作系统及应用软件（或模块）的安全漏洞，利用这些漏洞及相关工具对网站及其应用进行测试。针对操作系统已知漏洞

21、的攻击。针对应用软件（包括Web服务器和应用服务器等）已知漏洞的攻击。口令猜解对于采用口令进行用户认证的应用，将使用工具进行口令猜测以获取用户帐号/密码，口令猜测使用字典攻击和蛮力攻击。指令注入对网站应用程序的输入数据进行合法性检查，对客户端参数中包含的某些特殊内容进行不适当的处理，进行预判。具体方法主要为：SQL语句注入隐蔽命令执行遍历目录/文件缓冲区溢出攻击异常处理当应用程序中的方法调用出现故障时，应用程序进行哪些操作？显示了多少？是否返回友好的错误信息给最终用户？是否把有价值的异常信息传递回调用者？应用程序的故障是否适当。后门 利用工具对信息系统进行彻底扫描，对异常进程、网络异常连接、异

22、常流量、启动项等进行深入分析，查找系统是否存在后门。病毒与木马检查根据本次渗透测试范围要求对系统进行木马检查，检查系统是否感染病毒和木马。此次检测如系统存在病毒或木马，我方将和xx程师在第一时间进行彻底的查杀和清除，并将检查结果进行汇总分析，形成报告。病毒木马检查主要内容包括：启动项分析；隐藏文件、内核检测；网络异常连接检测；恶意文件扫描；注册表分析；清除恶意文件；修复系统；其他项；溢出攻击通过前期资料收集掌握的系统运行的各种应用程序进行分析、总结，利用工具与工程经验结合的方式对各种应用程序进行缓冲区溢出攻击测试，发现存在溢出的程序，充分信息系统安全运行。审核及日志记录审核和日志记录指应用程序

23、如何记录与安全相关的事件，确保网站系统日志功能已开启，并被管理员经常审核，许多攻击行为在Web系统日志中均能找到一些蛛丝马迹，通过对网站系统日志的审计发现一些潜在的或已实施的攻击行为。1.14渗透测试风险规避措施渗透测试过程的最大的风险在于测试过程中对业务产生影响，为此我们在本项目采取以下措施来减小风险：在渗透测试中不使用含有拒绝服务的测试策略。渗透测试时间尽量安排在业务量不大的时段或者晚上。在渗透测试过程中如果出现被评估系统没有响应的情况，应当立即停止测试工作，与xx相关人员一起分析情况，在确定原因后，并待正确恢复系统，采取必要的预防措施（比如调整测试策略等）之后，才可以继续进行。xx测试者

24、会与xx系统和安全管理人员保持良好沟通。随时协商解决出现的各种难题。渗透测试部分工具介绍该部分简要介绍渗透测试过程中可能使用到的工具，如果渗透测试中使用到别的工具不再另行说明。信息收集工具Nslookup：用于使用DNS查询的手段对被测网段主机进行DNS查询，并收集相应的主机名、DNS名。Whois：进行NIC查询工具，了解被测网络的相关信息。Tracert：进行路由查询，了解路由路径。判断网络链路和防火墙的相关情况。网络扫描工具DUMPSec：枚举Windows系统信息，包括用户组、注册表、打印和文件共享等信息。Firewalk：该工具用于检测被测网络边界安全设备、包转发设备的访问控制策略及

25、网络路径等。LANguard Network Scanner：可用于对被测网络的端口进行扫描并探测操作系统指纹，通过NetBIOS查询获取主机信息。Nmap：功能强大的开放源代码端口扫描工具，可以通过多种扫描方式对目标系统的开放端口和服务进行扫描。Solarwinds：一套网络管理工具集合，包含了大量的网络管理和信息发现工具。SuperScan：一个图形界面的端口扫描工具，可以快速的对开放端口进行扫描并探测主机存活情况，并带有DNS查询功能。漏洞检测工具Nessus：是一个免费的网络安全评估软件，功能强大且更新极快。该系统被设计为客户机/服务器模式，服务器端负责进行安全检查，客户端用来配置管理

26、服务器端。可以对网络和主机存在的安全漏洞进行扫描，检查的结果可以使用HTML、纯文本、XML、LaTeX等格式保存。SARA：这是一个免费的网络安全评估软件，可以对网络和主机存在的安全漏洞进行扫描。口令破解工具John the Ripper：主要用于破解UNIX系统口令，但是该工具也支持多种HASH加密的口令破解。L0pht Crack用于Windows NT、2000和XP的口令破解。网络嗅探工具Dsniff：可以收集网络中的机密信息，例如口令、电子邮件等，在渗透测试中，该工具还可用于中间人攻击。Ethereal：可以在网络中被动的收集网络中的传输数据，并支持对数据进行细节分析，了解数据报文

27、内容。无线网络测试工具Kismet：无线网络嗅探工具，支持大量无线网卡。Netstumbler：用于检测网络中存在的无线接入点。WEPCrack：可以支持对WEP加密进行破解。其他WEB及数据库测试工具包括部分公开及私有的WEB及数据库测试工具。项目实施方案1.15项目实施范围本次xx网站应用渗透测试项目实施范围包括10个自建网站及40个下属单位网站。1.16项目实施阶段本项目实施总体过程主要划分为以下三个阶段:第一阶段：项目准备阶段此阶段的主要工作是召开项目启动会、深入了解网站结构、对测试报告的结构进行讨论整理，与此同时需要在此阶段完成网站测试过程中出现突发情况的应急预案并对应急预案在测试前

28、进行演练；第二阶段：渗透测试阶段此阶段的主要工作是完成渗透测试的操作工作，包括在测试前备份系统信息和关闭不必要的服务、低级漏洞检测、高级漏洞检测和对潜在的安全隐患进行检测；第三阶段：报告编制阶段此阶段的主要工作是对测试过程中产生的数据和资料进行整理并按照项目准备阶段制定的报告结构来编制测试报告、同时对已经发现的安全隐患出具加固方案，在每一个报告提交之前均需与xx方面进行充分讨论和沟通；1.17项目实施计划项目实施阶段实施工作内容实施周期（工作日）项目准备阶段1、调研核实项目范围；2、确认项目实施方法；3、确定项目成果展现方式；4、召开项目启动会；5、签订保密协议3天渗透测试阶段1、对网站系统进

29、行工具扫描；2、对网站系统进行渗透测试；30天报告编制阶段1、编制渗透测试报告2、编制应用扫描报告3、报告交付并讲解15天1.18保密控制为保障xx的信息保密工作，通过如下控制措施，加强风险保密工作。1.18.1保密承诺所有参与xx项目的xx顾问都要签订保密承诺，并交xx统一存档。1.18.2场地环境项目期间内的风险保密管理规定所有进入xx工作场地的实施人员，均应遵守双方协定风险保密规定。确保在场地环境内信息的风险传递。1.18.3文档材料的风险管理办法对需要xx提供的文档资料，xx提交文档调用单给xx接口人，在调用单规定期限内，xx方应当提供要求的文档资料。文档调用单上，明确文档申请人，文档

30、使用人员等涉及此文档的人员。对纸质文档，统一保管在指定的文件柜里。使用完后返还给xx提供方，并填写文档调用单的交回部分。对电子文档，传递通过xx方接口人指定的U盘，保存在文档申请人及使用人员的笔记本上，或指定的计算机上。项目组笔记本电脑的应设风险级别高的口令。1.18.4离场及项目结束的风险管理办法xx项目组在项目离场时，笔记本交由xx专人清理后方可带出。所有本地提供的纸质文档，在项目结束的事后，都要返给xx提供方，并填写文档调用单的交回部分。1.18.5例外情况遇到未列明的涉及保密方面的例外情况，双方就个案单独洽谈，由项目领导小组签字确认。1.19项目沟通在本项目中，将采用一些正规的项目沟通程序，保证参与项目的各方能够保持对项目的了解和支持。这些管理和沟通措施将对项目过程的质量和结果的质量具有重要的作用。1.19.1日常沟通、记录和备忘录鼓励项目参加各方在项目进行过程中随时对相关问题进行沟通。所有重要的、有主题的日常沟通活动都应留下记录或形成备忘录。日常沟通的主要渠道包括：非正式会议;电话;电子邮件;传真等。1.19.2报告各种报告是项目各方互相沟通的最正式的渠道和证据。一些必备的项目报告包括：项目计划和进展报告；项目总结报告；以及在各个阶段输出的项目成果文本等。1.19.3会议会议是项目管理活动的重