工控安全渗透测试指南.docx

1. 确定分析对象通过对工控网络的分析确定我们测试对象。工业掌握系统ICS是几种类型掌握系统的总称，包括监控和数据采集SCADA系统、分布式掌握系统DCS和其它掌握系统。对系统的核心掌握元件和网络组件进展查验。2. 分析过程和方法2.1 主机检测对处于关键节点的计算机进展检测2.1.1 上位机上位机是一台计算机，我们可以用以下几种方法来分析扫描端口：查看是否开放可疑端口查看系统配置：查看系统的账户，是否存在隐蔽账户，安全策略是否被改动查找可疑进程和文件：使用杀毒软件对系统进展全盘扫描，查找是否存在后门木马以及病毒方法扫描端口查看系统配置查找可疑进程和文件目的查看是否开放可疑端口查看系统的账户，是否存在隐蔽账户，安全策略是否被改动使用杀毒软件对系统进展全盘扫描，查找是否存在后门木马以及病毒工具Nmap 或者直接 cmd 运行命令 netstat -an直接在系统上查看杀毒软件如 mcafee，小红伞2.1.2方法应用效劳器目的工具扫描端口查看系统配置查找可疑进程和文件Webshell 查杀查看是否开放可疑端口查看系统的账户，是否存在隐蔽账户，安全策略是否被改动使用杀毒软件对系统进展全盘扫描，查找是否存在后门木马以及病毒使用专用的 webshell 查杀工具扫描，用来觉察黑客留下的 web 后门Nmap 或者直接 cmd 运行命令 netstat -an直接在系统上查看杀毒软件如 mcafee，小红伞D 盾、360 等2.2 网络检测网络监测：可以使用行为管控硬件进展监控，觉察可以用户行为流量监测：使用入侵检测系统进展监控网络边界：在网络边界查找薄弱环节，查看边界完整性，是否存在不合理配置方法网络监控目的工具可以使用行为管控硬件进展 上网行为治理监控，觉察可以用户行为使用入侵检测系统进展监控在网络边界查找薄弱环节，流量监控网络边界完整性检查如 IDS手工查看查看边界完整性，是否存在不合理配置网络安全分析：病毒木马分析暴力破解分析垃圾邮件分析web 效劳器攻击分析ARP 哄骗分析方法收集网络流量网络协议分析找出特别流量并对其分析目的收集流量以便于分析使用相应的工具对收集到的流量包进展分析处理，找出流量较大、发包次数较大的节点 ip对流量较大的节点ip 进展进一步的分析，找出对应的进程和端口工具专用的流量收集设备Wireshark、专业的分析工具2.3 漏洞漏洞类型：应用系统漏洞Windows 系统漏洞Linux 系统漏洞路由器及其他硬件设备漏洞方法应用系统漏洞操作系统漏洞路由器及其他硬件设备漏洞2.4 日志分析收集对象及工具：应用系统日志：可以使用数据库：应用效劳器日志：路由器：防火墙：访问掌握日志：目的找出系统薄弱简洁被利用的环节找出系统薄弱简洁被利用的环节找出系统薄弱简洁被利用的环节工具手工测试辅以工具手工测试辅以工具手工测试辅以工具方法收集需要分析的日志目的将全部需要分析的日志进展收集，如数据库日志、应用日志、应用系统日志、操作工具人工收集、审计系统收集系统日志、路由器、防火墙等硬件设备日志对日志进展分析对全部收集到的日志进展初步分析，将疑似攻击痕迹进展记录日志分析工具如 360 星图、人工编写匹配规章上机检查2.5 渗透测试依据日志分析的初步结果， 上机进展行为推断，推想入侵过程人工测试方法工具扫描 手工测试 社会工程学漏洞攻击目的用工具找出常见的、易觉察的漏洞利用阅历和不同的思路来找出系统不简洁觉察的威逼 利用寻常收集的数据库找出目标用户的信息，从而猎取进入系统的钥匙对觉察漏洞的系统，用已经有利用的工具进展攻击利用权限提升的工具猎取系统最高权限工具常 见 的 扫 描 工 具 wvs 、appscan、Nessus 等等手工测试Sqlmap、metasploit 等权限提升测试项测试子项自动化扫描测试专业工具扫描Web 效劳器端口扫描危急 方法测试信息收集Web 中间件版本脚本语言中间件安全漏洞中间件安全中间件治理后台名目扫瞄程序遍历名目任意文件修改文件名目测试文件上传文件下载测试项测试子项文件包含SQL 注入测试注入测试命令执行测试反射型跨站脚本跨站脚本存储型跨站脚本横向测试权限治理测试纵向测试口令测试弱口令/默认口令编辑器测试编辑器漏洞测试测试、备份页面代码备份压缩文件 Robots 接口信息泄露信息泄漏测试特别处理信息泄露治理后台是否可猜测其他方式开源代码检测开源代码漏洞检查业务/程序规律测试规律测试程序设计漏洞百度检测入侵挂马检测Google 检测安全联盟旁路测试旁路测试漏洞危害性测试通过对漏洞验证之后是否可以对内漏洞危害性测试网以及其他效劳进展渗透测试用户登录认证绕过其他漏洞重放攻击