渗透测试方案详解

恶意代码防备资源控制数据库数据安全•测试内容4检测项目检测子类类型扫描测试渗透测试当日达前端SSO单点登录网站WEB VV后端SSO单点登录网站WEB VV当日达商城4期前台网站WEB VV当日达商城3期后台WEB VV当日达商城4期后台WEB VV砸金蛋活动WEB V砸金蛋后台WEB V一元云购WEB V月月抢神器WEB V滴滴贴膜WEB V快递查询（PC端）WEB V快递查询（移动端）WEB V中国人民不停电WEB VV干城通APP APP V干机团网站+APP WEB+APP VV进销存IMS进销存系统WEB VVIMS进销存管理工具WEB VV品月生小路由器固件升级后台管理WEB VV品胜云

3.2（版）APP V）品胜云

2.0（IPAD版APP V品胜云

3.3（版）APPV品胜商城

1.0APP VWEB服务文献上传服务WebService VV当日达商城3期后台服务WebService VV干城通APP调用服务WebService VV品胜云服务WebService VV品胜商城服务WebService VV路由器固件升级服务WebService VV服务器CentOS

6.564bit（3台）Server VCentOS

7.064bit（3台）Server VWindowsServer2023（2台）Server VWindowsServer2023（8台）Server V.测试措施5针对本次项目的测试范围和内容，我企业采用渗透测试的措施对整体系统进行安全性评估渗透测试原理

5.

1.渗透测试过程重要根据现今已经掌握的安全漏洞信息，模拟黑客的真实袭击措施对系统和网络进行非破坏性质的袭击性测试，这里说有时渗透测试行为将在客户的书面明确授权和监督下进行渗透测试口勺流程

5.

2.A方案制定在获取到业主单位日勺书面授权许可后，才进行渗透测试时实行并且将实行范围、措施、时间、人员等详细日勺方案与业主单位进行交流，并得到业主单位日勺认同在测试实行之前，会做到让业主单位对渗透测试过程和风险日勺知晓,使随即日勺正式测试流程都在业主单位日勺控制下＞信息搜集这包括操作系统类型指纹搜集；网络拓扑构造分析；端口扫描和目的系统提供的服务识别等可以采用某些商业安全评估系统（如ISS、极光等）；免费时检测工具（NESSUS、Nmap等）进行搜集＞测试实行在规避防火墙、入侵检测、防毒软件等安全产品监控日勺条件下进行操作系统可检测到日勺漏洞测试、应用系统检测到的漏洞测试（如Web应用），此阶段假如成功日勺话，也许获得一般权限渗透测试人员也许用到日勺测试手段有扫描分析、溢出测试、口令爆破、社会工程学、客户端袭击、中间人袭击等，用于测试人员顺利完毕工程在获取到一般权限后，尝试由一般权限提高为管理员权限，获得对系统的完全控制权一旦成功控制一台或多台服务器后，测试人员将运用这些被控制的服务器作为跳板，绕过防火墙或其他安全设备日勺防护，从而对内网其他服务器和客户端进行深入的渗透此过程将循环进行，直到测试完毕最终由渗透测试人员清除中间数据＞汇报输出渗透测试人员根据测试时过程成果编写直观的渗透测试服务汇报内容包括详细的操作环节描述；响应分析以及最终日勺安全修复提议＞安全复查渗透测试完毕后，某某协助业主单位对已发现日勺安全隐患进行修复修复完毕后，渗透测试工程师对修复日勺成果再次进行远程测试复查，对修复的成果进行检查，保证修复成果的有效性渗透测试日勺风险规避

5.

3.在渗透测试过程中，虽然我们会尽量防止做影响正常业务运行日勺操作，也会实行风险规避的计谋，不过由于测试过程变化多端，渗透测试服务仍然有也许对网络、系统运行导致一定不同样程度日勺影响，严重日勺后果是也许导致服务停止，甚至是宕机例如渗透人员实行系统权限提高操作时，突遇系统停电，再次重启时也许会出现系统无法启动的故障等因此，我们会在渗透测试前与业主单位详细讨论渗透方案，并采用如下多条方略来规避渗透测试带来日勺风险＞时间方略为减轻渗透测试导致的压力和预备风险排除时间，一般的安排测试时间在业务量不高日勺时间段＞测试方略为了防备测试导致业务日勺中断，可以不做某些拒绝服务类日勺测试非常重要日勺系统不提议做深入日勺测试，防止意外瓦解而导致不可挽回的损失；详细测试过程中，最终止果可以由测试人员做推测，而不实行危险日勺操作环节加以验证等＞备份方略为防备渗透过程中日勺异常问题，测试日勺目的系统需要事先做一种完整的数据备份，以便在问题发生后能及时恢复工作对于关键业务系统等不可接受也许风险的系统日勺测试，可以采用对目的副本进行渗透的方式加以实行这样就需要完整日勺复制目的系统日勺环境硬件平台、操作系统、应用服务、程序软件、业务访问等；然后对该副本再进行渗透测试＞应急方略测试过程中，假如目的系统出现无响应、中断或者瓦解等状况，我们会立即中断渗透测试，并配合业主单位技术人员进行修复处理等在确认问题、修复系统、防备此故障再重演后，经业主单位方同意才能继续进行其他日勺测试＞沟通方略测试过程中，确定测试人员和业主单位方配合人员的联络方式，便于及时沟通并处理工程中日勺难点渗透测试口勺收益

5.

4.渗透测试是站在实战角度对业主单位指定日勺目的系统进行的安全评估，可以让业主单位有关人员直观日勺理解到自己网络、系统、应用中隐含日勺漏洞和危害发生时也许导致的损失通过我们日勺渗透测试，可以获得如下增益＞安全缺陷从黑客日勺角度发现业主单位安全体系中日勺漏洞（隐含缺陷），协助业主单位明确目前减少风险的措施，为下一步日勺安全方略调整指明了方向＞测试汇报能协助业主单位以实际案例的形式来阐明目前安全现实状况，从而增长业主单位对信息安全的认知度，提高业主单位人员日勺风险危机意识，从而实现内部安全等级日勺整体提高＞交互式渗透测试我们日勺渗透测试人员在业主单位约定时范围、时间内实行测试，而业主单位人员可以与此同步进行有关的检测监控工作，测试自己能不能发现正在进行的渗透测试过程，从中真实日勺评估自己的检测预警能力渗透测试工具简介

5.

5.渗透测试人员模拟黑客入侵袭击日勺过程中使用日勺是操作系统自带网络应用、管理和诊断工具、黑客可以在网络上免费下载的扫描器、远程入侵代码和当地提高权限代码以及某某自主开发日勺安全扫描工具这些工具通过全球数以万计日勺程序员、网络管理员、安全专家以及黑客的测试和实际应用，在技术上已经非常成熟，实现了网络检查和安全测试日勺高度可控性，可以根据使用者日勺实际规定进行有针对性日勺测试不过安全工具自身也是一把双刃剑，为了做到万无一失，我们也将针对系统也许出现的不稳定现象提出对应对策，以保证服务器和网络设备在进行渗透测试日勺过程中保持在可信状态我企业渗透测试优势

6.专业化团体优势

6.

1.我企业有渗透测试优势专业化的渗透测试团体渗透测试服务开展相对较早，经验非常丰富，曾经参与过诸多大型网站的渗透测试工作渗透测试团体会根据项目日勺规模有选择性日勺申请部分漏洞研发团体专家参与到项目中，共同构成临时的渗透测试小组，面向顾客提供深层次、多角度、全方位的渗透测试深入化日勺测试需求分析

6.

2.在渗透测试开展前期，会从技术层面（网络层、系统层、应用层）着手与顾客进行广泛沟通，对顾客目前的某些重要资料进行采集、汇总、梳理、掌握，以便为渗透测试工作地开展奠定良好的基础除了技术层面以外，某某也将会根据顾客渗透测试日勺目的以及提出的需求着重对于顾客的业务层面进行分析，并且将分析成果应用于渗透测试当中，做到明确所有需求的基础上精确而深入的贯彻顾客的意图，将渗透测试的目日勺与业务系统持续性运行保障紧密的结合起来规范化日勺渗透测试流程

6.

3.渗透测试流程分为准备、渗透以及加固三个基本阶段，在每个阶段都会生成阶段文档，最终在完毕渗透测试整个流程后来将会由项目经理将三个阶段的文档进行整顿、汇总、提交给顾客并且针对过程中碰到的问题向顾客进行汇报某某提供的渗透测试流程特点就在于将渗透准备阶段及安全加固阶段作为两个独立而重要环节贯穿于整个渗透测试过程当中，这样就可以结合某某在项目监控管理方面日勺优势对整个渗透测试项目开展日勺规范化加以保障全面化日勺渗透测试内容

6.

4.渗透测试内容基本围绕技术层面（系统层、应用层、网络层）进行开展，并且针对不同样层面日勺安全漏洞及威胁某某提供了一系列渗透测试措施及流程并且结合不同样的漏洞也提出对应日勺修补提议供顾客借鉴目录错误!未定义书签

1.引言错误!未定义书签

1.

1.项目概述错误!未定义书签

2.测试概述错误!未定义书签

2.

1.测试简介错误!未定义书签

2.

2.测试根据错误!未定义书签

2.

3.测试思绪错误!未定义书签

2.

3.

1.工作思绪错误!未定义书签

2.

3.

2.管理和技术规定错误!未定义书签

2.

4.人员及设备计划错误!未定义书签

2.

4.

1.人员分派错误!未定义书签

2.

4.

2.测试设备错误!未定义书签

3.测试范围错误!未定义书签

4.测试内容错误!未定义书签

5.测试措施错误!未定义书签

5.

1.渗透测试原理错误!未定义书签

5.

2.渗透测试日勺流程错误!未定义书签

5.

3.渗透测试日勺风险规避错误!未定义书签,后期服务

71、提供系统性能优化改善方案

2、测试过程中、测试后提出改善意见，测试后配合做好系统优化改善工作提供回归测试

5.

4.渗透测试日勺收益错误!未定义书签

5.

5.渗透测试工具简介错误!未定义书签

6.我企业渗透测试优势错误!未定义书签

6.

1.专业化团体优势错误!未定义书签

6.

2.深入化的测试需求分析错误!未定义书签63规范化的渗透测试流程错误!未定义书签

6.

4.全面化的渗透测试内容错误!未定义书签7,后期服务错误!未定义书签.引言

1.项目概述

1.1四川品胜品牌管理有限企业，是广东品胜电子股份有限企业的全资子企业依托遍及全国的5000家加盟专卖店，四川品牌管理有限企业打造了线上线下结合日勺020购物平台一一“品胜・当日达”，建立了“线上线下同价”、“千城当日达”、“向日葵随身服务”三大服务体系，为消费者带来便捷日勺020购物体验2023年，品胜在成都温江科技工业园建立起国内首座终端客户体验馆，以人性化日勺互动设计让消费者亲身感受移动电源、数码配件与生活日勺智能互联，为追求高品质产品性能的顾客带来便捷、现代化日勺操作体验伴随业务的发展，原有日勺网站、系统、APP等都进行了不同样程度日勺功能更新和系统投产，同步，系统安全规定越来越高，也许受到日勺恶意袭击包括信息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、APT袭击等这些袭击完全能导致信息系统瘫痪、重要信息流失.测试概述2测试简介

2.

1.本次测试内容为渗透测试渗透测试是为了证明网络防御按照预期计划正常运行而提供日勺一种机制测试根据

2.

2.X GB/T

25000.51-2023《软件工程软件产品质量要与评价SQuaRE商业现货C0TS软件产品日勺质量规定和测试细则》X GB/T16260-2023《软件工程产品质量》X GB/T18336-2023《信息技术安全技术信息技术安全性评估准则》X GB/T20274-2023《信息系统安全保障评估框架》X客户提出的测试需求测试思绪23工作思绪

2.

3.

1.本次系统测试包括功能测试、性能测试、安全测试以及文档测试，本次测试工作将系统测试对象进行控制点划分，根据项目建设规定和有关原则、规范进行项目系统测试，并加强系统各阶段测试和实行过程控制，完善项目目的控制手段管理和技术规定

2.

3.

2.

1、管理规定为了保证本项目系统综合测试时顺利进行，将对项目实行事前评审和测试过程监督测试管理工作，合理分派项目人员负责对应的测试工作

2、技术规定为了保证本项目系统测试日勺顺利进行，在本次测试过程中将采用如下技术规定:X渗透测试验证系统设计口勺安全性与否满足客户需求.人员及设备计划

2.4人员分派

2.

4.

1.本次测试组织机构和人员分派如下:项目管理组杨方秀现场测试组屈绯颖、王洪斌、项目文档组龚正质量控制组杨方秀、屈绯颖测试设备

2.

4.

2.序号设备或仪器名称功能描述数量产地备注

1.TestManager测试管理IBM

12.ClearQuest缺陷跟踪IBM1用于安全测试的漏洞扫描

3.xscan1工具

4.测试机测试机国产2,测试范围3检测分类检测范围SQL注入XSS跨站脚本网贞挂马缓冲区溢出文献上传漏洞源代码泄露目录浏览、遍历漏洞数据库泄露弱口令Web网站越权访问会话验证绕过管理地址泄露舆论信息颁中间件漏洞支付安全验证其他（如写入控制防止批量添加数据,与否使用验证码等）SOA服务端SQL注入缓冲区溢出文献上传漏洞目录浏览、遍历漏洞弱口令越权访问会话验证绕过中间件漏洞其他（如写入控制，防止批量添加数据，与否使用验证码等）组件安全检测代码安全检测内存安全检测APP源生客户端-----------------------------------------------------------------------------数据安全检测业务安全检测应用管理检测身份鉴别自主访问控制强制访问控制服务器可信途径安全审计剩余信息保护入侵防备。