渗透测试和安全意识检测方案v1.docx

《渗透测试和安全意识检测方案v1.docx》由会员分享，可在线阅读，更多相关《渗透测试和安全意识检测方案v1.docx（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1.渗透测试方案L1渗透测试服务渗透测试服务，是在用户授权的前提下，以模拟黑客攻击的方式，对用户网站或应 用系统的安全漏洞、安全隐患进行全面检测，最终目标是查找网站的安全漏洞、评估网 站的安全状态、提供漏洞修复建议。在渗透过程中，我们会采用业界领先的漏洞检测技术、攻击技术、攻击工具和迪普 安全团队编写的脚本。过程分为四步：计划与准备、信息收集、实施渗透、输出报告。 计划与准备阶段主要是根据网站反馈的内容制定项目实施方案与计划；信息收集与实施 渗透是项目的实施阶段，输出报告主要是汇总和评估项目中发现的安全威胁，并输出文 档。1.L1测试方法我司提供的渗透测试服务，采用的测试方法如下。信息搜集信息

2、探测阶段包括信息收集，端口、服务扫描，计算机漏洞检测，此阶段主要做渗透前的踩点用。使用工具： Maltego ,搜集管理员email、tel、常用id,网络拓扑等 Nmap ,端口、服务扫描，弱口令破解，系统信息探测 X-scan ,端口、服务扫描，弱口令破解，系统信息探测 POf ,系统识别 Appscan , Web漏洞检测程序 WVS , Web漏洞检测程序 W3AF , Web漏洞检测程序 我司漏洞检测产品，支持系统漏洞检测，Web漏洞检测等一系列功能 端口扫描通过对目标地址的TCP/UDP端口扫描，确定其所开放的服务的数量和类型，这是所 有渗透测试的基础。通过端口扫描，可以基本确定一

3、个系统的基本信息，结合安全工程 师的经验可以确定其可能存在以及被利用的安全弱点，为进行深层次的渗透提供依据。 口令猜测口令猜测也是一种出现概率很高的风险，几乎不需要任何攻击工具，利用一个简单 的暴力攻击程序和一个比较完善的字典，就可以猜测口令。对一个系统账号的猜测通常包括两个方面：首先是对用户名的猜测，其次是对密码 的猜测。 脚本测试.脚本测试专门针对Web服务器进行。根据最新的技术统计,脚本安全弱点为当前Web 系统尤其存在动态内容的Web系统存在的主要比较严重的安全弱点之一。利用脚本相关 弱点轻则可以获取系统其他目录的访问权限，重则将有可能取得系统的控制权限。因此 对于含有动态页面的Web

4、系统，脚本测试将是必不可少的一个环节。 Hydra ,暴力破解工具,支持Samba, FTP, POP3, IMAP, Telnet, HTTP Auth, LDAP, NNTP, MySQL, VNC, ICQ, Socks5, PCNFS, Cisco等多种协议的暴力破 解 Metasploit ,溢出程序利用平台 菜刀，Webshell功力工具 Pwdump7 ,读取系统HASH Cain ,内网sniffer工具 Disniff , linux下嗅探工具 人工渗透人工渗透，主要针对系统的业务逻辑漏洞进行安全测试，利用业务逻辑漏洞查找可 准确、切实的找出业务中存在的安全隐患，避免被恶意用

5、户利用，对系统造成重大损失。1.L2测试内容对用户网站和应用系统的渗透测试，除使用产品和工具扫描外，更重要的需要进 行人工渗透，渗透内容包括但不限于以下项，且需要对发现的漏洞进行验证和利用。序号渗透测试大项渗透测试小项1配置管理备份测试、HTTP方法测试、传输安全2身份鉴别用户注册、账户权限、账户枚举、弱口令3认证授权认证绕过、目录遍历、授权绕过、权限提升4会话管理超时测试、会话管理绕过测试、会话令牌泄露测试、 跨站点请求伪造CSRF测试5输入验证SQL注入、代码注入、命令执行注入、跨站脚本XSS6错误处理错误码分析、栈追踪分析7业务逻辑数据验证、请求伪造、完整性、次数限制、上传测 试1.L3

6、实施步骤根据黑客入侵的过程，并结合渗透测试的要求，我司渗透测试的实施步骤如下。计划与准备阶段1）工作目标计划与准备阶段，需要明确渗透测试的实施范围与测试对象，制定实施方法与方案, 并制定详细的实施计划，为渗透测试的顺利进行，作重要准备。渗透测试的实施，将按 照方案和计划进行。2）工作内容计划与准备阶段的工作，主要是对渗透测试实施举行研讨会，讨论渗透测试操作思 路，说明渗透测试的实施范围和测试对象，然后根据研讨内容制定相应得实施方案与计 划。由领导审核批准实施方案与计划，项目组根据实际情况的需要，会对实施方案与计 划进行一定的调整。3）实施计划序号任务名称工作内容计划时间.1渗透测试研讨会讨论渗

7、透测试的工作思路，说明测试范 围、测试目标对象、实施方式以及实施 人员和大致的时间计划2制定渗透测试实施方 案与计划根据研讨会的讨论内容，制定相应的渗 透测试实施方案和实施计划3提交渗透测试实施方 案与计划提交渗透测试实施方案与计划4审核与确认渗透测试 实施方案与计划项目组提交渗透测试实施方案与计划， 由领导进行审核确认，提出相应的意见 与建议5修正实施方案与计划根据领导审核意见和建议，对实施方案 与计划进行相应的修正信息收集阶段1）工作目标信息收集是所有入侵攻击的前奏和基础。通过信息收集分析，攻击者可以有针对性 地制定入侵攻击的方法策略，提高入侵的成功率、减小暴露或被发现的机率。因此以模 拟

8、黑客攻击方式进行的渗透测试，也以信息收集为第一个实施的阶段过程。2）工作内容信息收集阶段的工作内容是对目标所在的整个IP网段进行扫描探测与手工查阅。通过对目标地址的TCP/UDP端口扫描，确定其所开放的服务的数量和类型，这是所 有渗透性测试的基础。通过信息探测漏洞检测，可以基本确定一个系统的基本信息，结 合安全工程师的经验可以确定其可能存在以及被利用的安全弱点，为进行深层次的渗透 提供依据。并且用手工的方式对应用、网页等内容进行一些信息查看。3）实施计划序号任务名称工作内容计划时间.1渗透测试变更流程与变更 操作根据渗透测试的需要，进行相应的 变更2信息收集阶段实施操作按照实施方案，进行信息收

9、集阶段 实施操作渗透实施阶段1.1. 3. 4输出报告阶段1）工作目标本阶段为根据渗透测试得出的结果，进行汇总分析，输出渗透测试报告。2）工作内容编写、整理渗透测试报告。3）实施计划序号任务名称工作内容计划时间.1编写渗透测试报告对渗透测试得出的结果进行分析，并输 出报告输出成果渗透测试的输出成果如下： 渗透测试服务报告 渗透测试服务复测报告1.1. 5服务收益对网站和应用系统进行渗透测试，可带来如下收益： 评估网站或应用系统中存在的安全隐患、安全隐患； 发现网站或应用系存在的深层次安全隐患； 验证网站或应用系现有安全措施的防护强度； 评估网站或应用系被入侵的可能性，并在入侵者发起攻击前封堵可

10、能被利用的 攻击途径。2 .安全意识检测方案3 . 1钓鱼邮件测试钓鱼邮件测试服务是基于社会工程学原理，结合客户网络环境、邮件使用习惯和特 征，以热点事件为主题，精心构造极具迷惑性且含有恶意链接的邮件，模仿客户内部人 员/部门向目标群体定向开展邮件钓鱼测试，进而评估客户内部人员信息安全意识，为 后续安全培训、技术防护手段升级提供依据。服务内容标准的钓鱼邮件测试服务包括三部分：调研分析、测试实施、结果通报。调研分析为构造具有迷惑性的钓鱼邮件，增加测试的真实性，诱导被测试人员查看并点击钓 鱼链接，实施前需进行充分的调研分析，包括客户环境、热点事件、人员安全意识现状 等。测试实施根据调研分析结果，确

11、定和制作钓鱼邮件样例，敲定测试时间及目标对象后，实施 定性测试；结束后发送风险提示邮件，并对客户行为数据统计分析，形成钓鱼邮件测试 报告。结果通报对客户组织内人员安全意识输出评估结果并给出提升建议，同时就邮件系统现状提 出安全建议。服务优势实战化的服务，反复锤炼源于实战、用于实战，经过多年攻防实战经验的总结而形成，并在实践中不断改进攻防专家交付和自研工具加持由攻防专家直接交付，从攻击者视角，提供贴近攻防实战的优质服务。自主研发的 “钓鱼邮件测试平台”将实战经验不断传递到平台作动态更新，为快速高效服务提供了 有力保障。2. 2场景化安全测试账号口令安全检测服务账号口令安全检测服务是在原有传统弱口

12、令检测服务上结合公司PAM产线，增加了 账号资产梳理、账号风险监测项，优化了测试方式。以攻击方视角检测发现账号、口令 风险，从而降低客户在实战攻防过程中因账号、口令问题被攻陷的风险。供应链安全检测服务软件供应链安全直接影响关键基础设施和重要信息系统安全，加强供应链安全管控 已成为企业的普遍共识。供应链安全专项检测服务，帮助客户建立以软件供应链安全检 测为核心，集供应链安全咨询、应急响应、安全教育与培训为一体的安全保障框架，全 面提升供应链安全技术防护和管理水平。敏感信息泄露情报服务敏感信息泄露情报服务是以攻击队视角，聚焦于监测客户的敏感信息泄露情况的情 报服务，监控范围覆盖互联网的各种信息泄露

13、渠道。安全防御体系防御不仅要向内看， 也要向外看。服务突破了 “自有网络”防御的限制，防御体系跃升至“滑动标尺模型” 中的“威胁情报”和“进攻反制”层级。基础环境评估服务基础环境评估服务以专业人员、产品服务、技术创新能力为保障，面向安全技术、 安全管理方面开展风险评估、措施与建议分析等一系列工作。分析信息资产面临的安全 威胁及威胁发生的可能性，检查现有安全措施的有效性，从而识别出信息资产中存在的 安全风险点，并根据客户所能接受的风险，对客户信息资产所面临的风险程度做出准确 的评价，提供相关整改修复加固建议。APP安全测试服务APP安全测试服务是一项针对Android. IOS平台下APP软件及

14、运行环境进行全方 位安全测试的服务。旨在发现APP存在的技术和业务层面的安全问题，并指导开发人员 进行安全问题修复，保障APP安全、稳定、可靠、持续运行代码安全检测服务应用系统软件自身的安全性是确保应用系统安全稳定运行的关键。通常应用系统在 开发的过程中会产生的安全缺陷称为应用系统自身安全漏洞，通过采用应用系统源代码 安全检测服务，来减少和降低开发过程中的安全缺陷，有效降低客户应用系统安全风险， 保障应用系统安全稳定运行。提供包括但不限于的上述专项场景化安全测试服务，可依据用户实际需求进行定制。2.3网络安全意识培训随着互联网的飞速发展，基础信息网络和重要信息系统面临的安全风险日益严峻， 计算

15、机病毒传播和网络非法入侵越发猖獗，网络违法犯罪持续大幅上升，犯罪分子利用 一些安全漏洞，使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗 窃、网络诈骗、信息系统破坏等违法活动，给我国政治、经济和社会生活造成严重负面 影响。在网络安全问题中，人的因素是第一位的。欧洲网络与信息安全局在提高信息 安全意识中指出：“在所有的信息安全系统框架中，人这个要素往往是最薄弱的环节。 只有革新人们陈旧的安全观念和认知文化，才能真正减少信息安全可能存在的隐患。” 企业工作人员的网络安全意识是网络安全的第一道防线。加强全体员工网络安全意识直 接关系到企业整体网络安全，会直接涉及个人利益、公司组织利益，增强全体员工网络 安全意识刻不容缓。针对全全体员工网络安全意识教育方案如下：1、网络安全意识培训（线上），各类培训视频介绍加实际培训视频。2、企业网络安全宣传周（线下），安全周策划方案。3、网络安全主题活动（线下），网络安全意识知识培训（针对全体员工），提供网 络安全培训题材和资料；负责定期指导和下发主题相关的文案4、安全威胁演示及预防（线上结合线下）（钓鱼软件等欺诈软件、基础场景化安全 威胁测试等）