渗透测试实施解决方案.docx
《渗透测试实施解决方案.docx》由会员分享,可在线阅读,更多相关《渗透测试实施解决方案.docx(14页珍藏版)》请在冰点文库上搜索。
渗透测试实施解决方案
渗透测试实施方案
1、渗透测试项目范围
本次渗透测试主要对象如下:
序号
网站
IP地址
重要级别
用途
2、渗透测试说明
安全工程人员利用安全扫描器、渗透测试工具结合人工对第一创业证券有限责任公司指定的IP进行非破坏性质的黑客模拟攻击,目的是尝试入侵系统并获取机密信息并将入侵的过程和技术细节产生报告提供给第一创业证券有限责任公司信息技术部门。
渗透测试和工具扫描可以很好的互相补充。
工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题;渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于渗透测试者的专业技能)。
但是,非常准确,可以发现逻辑性更强、更深层次的脆弱点。
对现有信息系统资源的要求
渗透测试主要针对系统主机进行。
因此,将占用主机系统及其所在的网络环境的部分资源。
同时需要工作人员的一些配合(某些特定条件下,如为了节省时间破解密码,渗透测试将首先得到普通用户权限),对于其他的资源没有特殊的要求。
渗透测试的方法
黑客的攻击入侵需要利用目标网络的安全弱点,渗透测试也是同样的道理。
它模拟真正的黑客入侵攻击方法,以人工渗透为主,辅助以攻击工具的使用,这样保证了整个渗透测试过程都在可以控制和调整的范围之内。
渗透测试前后系统的状态
由于采用可控制的、非破坏性质的渗透测试。
因此,不会对渗透测试对象造成严重的影响。
在渗透测试结束后,系统将保持正常运行状态。
渗透测试主要依据已经掌握的安全漏洞信息,模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。
原则上,渗透测试工程师不会使用未知EXP(即并非被外界或者安全厂商所获悉的安全弱点)对目标对象进行测试,但不排除某些EXP可能引发重大安全事件(比如:
严重的溢出、无权限但可远程执行代码等)的时,针对性的做出检测或者向用户预警。
渗透测试类似于军事上的“实战演习”或“沙盘推演”的概念,可以让用户清晰了解目前网络所处的脆弱性和可能造成的影响,以便采取必要的防范措施。
下图标示了一个攻击者的攻击路径和基础原理:
图攻击的基础原理
这里,所有的渗透测试行为将在客户接口人的书面明确授权和监督下进行。
3、渗透测试流程
虽然渗透测试并不会一成不变的依照某个模式进行,也许过程当中因为其他的发现而发生策略上的变化。
但它总归是有个原则需要依赖:
必须是一个全面的、可以揭示更多问题的过程。
有些安全公司在渗透测试的时候,发现了一个严重的高危漏洞,并且利用该漏洞获取了权限,然后输出报告给客户。
但实际上,这个系统还存在着其他漏洞没有被发现---这就充分说明,渗透测试必须是一个系统化的服务。
渗透测试服务,严格履行流程原则,也就是说,哪怕发现一个高危漏洞并且可以获取更高权限,也绝对不会放过其它问题,哪怕是个很小的问题。
因为,对于攻击者而言,一个小小的泄露,都可能引发他的攻击兴趣……
渗透测试工程师,会严格依照XXXX公司的操作流程进行,每个攻击都将进行尝试,直到确定问题的根源为止。
图渗透测试流程
参见上面的渗透测试流程图,信息的收集和分析伴随着每一个渗透测试步骤,每一个步骤又有三个部分组成:
操作、响应和结果分析。
客户委托是进行渗透测试的必要条件。
我们将尽最大努力做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。
信息收集分析几乎是所有入侵攻击的前奏。
通过信息收集分析,渗透测试人员可以相应地、有针对性的制定入侵攻击的计划,提高入侵的成功率、减小暴露或被发现的几率。
信息收集的方法包括主机网络扫描、端口扫描、操作系统类型辨别、应用服务辨别、账号扫描、配置信息辨别等。
入侵常用的工具包括nmap、nessus、nc等工具。
同时,还有操作系统中内置的许多工具也是常用的工具补充。
信息收集后的分析的基础是安全漏洞知识库。
通过收集信息和分析,存在两种可能性,其一是目标系统存在重大漏洞:
渗透测试人员可以直接远程控制目标系统,这时渗透测试人员可以直接调查目标系统中的漏洞分布、原因,形成最终的渗透测试报告;其二是目标系统没有远程严重漏洞,但是可以获得远程普通权限,这时渗透测试人员可以通过该普通权限进一步收集目标系统信息。
接下来,尽最大努力获取本地权限,收集本地信息,寻求本地权限提升的机会。
这些信息收集分析、权限提升的循环上升结果构成了整个渗透测试过程的输出。
XXXX公司渗透测试服务有别于其它公司的最显著特点在于:
细微的、哪怕并不成为黑客攻击点的问题也都将纳入我们的视线,包括目标IP周界域内的其它信任IP。
4、工具介绍
渗透测试人员模拟黑客入侵攻击的过程中使用的是操作系统自带网络应用、管理和诊断工具、黑客可以在网络上免费下载的扫描器、远程入侵代码和本地提升权限代码以及自主开发的安全扫描及漏洞工具包。
这些工具经过全球数以万计的程序员、网络管理员、安全专家以及黑客的测试和实际应用,在技术上已经非常成熟,实现了网络检查和安全测试的高度可控性,能够根据使用者的实际要求进行有针对性的测试。
但是,安全工具本身也是一把双刃剑,为了做到万无一失,我们也将针对系统可能出现的不稳定现象提出相应对策,以确保服务器和网络设备在进行渗透测试的过程中保持在可信状态。
以下列出了主要应用到的系统自带网络应用、管理和诊断工具,透测试工程师将用到但不限于只使用以下系统命令进行渗透测试。
工具名称
风险等级
获取途径
主要用途
风险描述
风险控制
ping
无
系统自带
获取主机信息
无
无
telnet
无
系统自带
登录系统
无
无
ftp
无
系统自带
传输文件
无
无
tracert
无
系统自带
获取网络信息
无
无
netuse
无
系统自带
建立连接
无
无
netuser
无
系统自带
查看系统用户
无
无
echo
无
系统自带
文件输出
无
无
nslookup
无
系统自带
获取主机信息
无
无
IE
无
系统自带
获得web信息、进行SQL注入
无
无
以下列出了渗透测试中常用到的网络扫描工具、网络管理软件等工具,这些工具都是网络上的免费软件。
透测试工程师将可能利用到但不限于以下工具。
远程溢出代码和本地溢出代码需要根据具体系统的版本和漏洞情况来选择,由于种类繁杂并且不具代表性,在这里不会一一列出。
工具
风险
获取途径
主要用途
风险描述
风险控制
nmap
无
官方网站
获取主机开放的服务、端口信息
无
无
nessus
低
官方网站
对主机进行漏洞扫描
可能造成网络资源的占用
如果主机负载过高,停止扫描。
nc
无
端口连接工具
无
无
远程溢出工具
中
通过漏洞远程进入系统
溢出程序可能造成服务不稳定
备份数据,服务异常时重启服务。
本地溢出工具
中
通过漏洞本地提升权限
溢出程序可能造成服务不稳定
备份数据,服务异常时重启服务。
5、渗透测试常用方法
5.1SQL注入漏洞
利用Web应用对数据库语言过滤不严格的漏洞,查找注入点并且利用。
通告注入点的利用可以获取到WebShell或者向网站页面内注入特定代码、篡改页面内容等。
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别。
所以,目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
5.2文件上传
如果目标对象因为业务需要而有网页文件上传的功能的话,如果对文件上传过滤不严谨,可能导致被添加后门。
利用上传漏洞可以直接得到WEBSHELL,风险性极高,现在的入侵中上传漏洞也是常见的漏洞。
5.3目录遍历
如果目标站点服务器对WEB服务程序配置不当,则会导致用户可以查看网站的所有目录结构,获取可以利用的信息,如:
后台路径、数据库路径等信息,如果碰上一些编辑器直接修改文件后产生BAK文件的话,这可以直接查看文件的源码,然后利用该信息,获取webshell甚至服务器控制权限。
5.4XSS跨站攻击
XSS(全称是CrossSiteScripting,意思是跨站脚本),通过该脚本可以诱使用户在不知不觉间泄漏个人信息,甚至中恶意代码。
通过对获取的COOKIE利用,经常可在不知道该用户密码的情况下,而使用该用户登陆服务器。
5.5弱口令漏洞
常用的弱口令包括系统管理员、数据库管理员、FTP用户、WEB服务后台管理员、MAIL管理员等等,通过这些可以获取webshell乃至系统权限。
5.6溢出漏洞
溢出包括本地溢出和远程溢出漏洞,包括系统本身的溢出以及第三方软件的溢出。
通过对溢出漏洞的利用,可获取目标服务器的信息,甚至获取到一个最高权限的shell。
5.7嗅探攻击
如果获取得到目标服务器同一网段的一台服务器,则可以通过sniffer,arp欺骗之类的攻击方式收集信息,或者欺骗目标服务器访问某些含有恶意代码网站,执行恶意程序,最后获得目标机器的控制权。
5.8拒绝服务攻击
渗透测试所针对的拒绝服务攻击并非指“僵尸主机”式攻击(被攻击者入侵过或可间接利用的主机)。
而是指因为系统存在拒绝服务的漏洞引发的拒绝服务。
很多时候,运行在互联网的服务器存在多种复杂或者隐蔽的缓存溢出。
那么,这种溢出也很容易导致被攻击者利用时产生拒绝服务的后果。
渗透测试人员会严格并谨慎的对目标进行缓存查询,通过服务器的回应来判断缓存是否可被利用,一旦缓存可利用。
那么,就会告知用户对该问题进行修复。
当然,如果用户知晓后果并且授权利用该问题时,渗透测试人员方可进行下一步溢出---直至产生拒绝服务。
5.9DNS劫持攻击
通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的。
5.10旁注攻击
旁注,顾名思义是从旁注入。
旁注就是通过目标网站所在的主机上存放的其他网站进行注入攻击的方法。
通过搜索到当前主机上捆绑的其他站点,入侵者就可能从这些站点找到攻击的入口。
旁注实际上是一种思想,一种考虑到管理员的设置和程序的功能缺陷而产生的攻击思路,不是一种单纯的路线入侵方法。
旁注也可以以同以个网站上不同的组件之间的注入攻击来进行。
5.11字符集转换并发盲注攻击
字符集转换错误属于类跨站和类SQL注入的另外一种攻击形式。
很多时候,攻击者发现注入点但并意味着就可以完全利用的了,但高深的攻击者会利用注入点来实现盲注攻击。
盲注攻击的危害性很高。
一个精心构造的盲注攻击脚本产生的量变可以导致整个数据库被劫持和篡改,金融行业一旦存在盲注(中间件跨越数据不驳回)将产生不可预估的严重后果。
总之,盲注是很隐蔽的安全漏洞,均由过滤不严或者过滤失当导致,它的存在对于网上交易来说,其危害相当严重,依赖中间件来抵消这种攻击不是一个安全的解决方法。
5.12诱导攻击
诱导攻击是一种新式攻击技巧,属于IE攻击的类型,但有超越IE攻击的高度。
诱导攻击是利用报头探针存储转发的形式来获取网络应用的惯性(安全防范)模式,然后利用这种递增的结论来编译诱导脚本,骗取服务器的不可对外信息。
5.13已知漏洞利用
检测目标服务器或应用程序厂商已公开的漏洞,如果发现,将针对该漏洞编译测试EXP程序进行攻击。
5.14其它渗透方法
在测试过程中发现的其它问题,并可用于攻击的手段。
6、实施日程
根据客户的授权,此次渗透测试将于以下时间段内进行:
7、输出结果
1.渗透测试提交的报告包括原始资料和分析报告;
2.分析报告是渗透测试后提供的最终分析和建议报告;
3.对于存在严重安全问题的目标,输出独立的渗透测试报告。
8、服务与质量控制
对于安全服务项目的验收,由于目前国内没有权威的安全工程第三方验收机构,因此验收方式都不尽相同。
XXXX公司根据历年安全工程验收方面积累的丰富经验,在此提出进一步的验收方法以供参考。
XXXX公司使用的验收方式参照了SSE-CMM(信息安全工程能力成熟度模型)中保证过程域中的相应要求,这些过程域也是项目验收的理论依据。
DIEM安全工程模型的安全保证(Ensure)过程部分是专门的验收过程,建议采用这种规范的安全工程验收方法,我方愿意配合客户项目组,严格按照这一过程中定义的实施过程和文档进行。
参照DIEM安全工程模型,在验收阶段客户主要应做以下几方面的工作:
确定验收目标
完成合同范围内的定期安全服务工作,提交相应报告。
完成安全咨询与规划工作,提交相应报告。
完成安全事件管理服务工作,提交相应报告。
完成安全监控,依照内容按时提交报告。
确定验收指标
安全服务范围内节点没有遗漏方案中规定的服务客体。
提交的汇总评估报告无遗漏内容。
投标文件规定的文件已交付。
所有规定的文件经的双方项目经理签字认可。
9.信息保密和风险控制措施
9.1信息保密
XXXX公司对客户的信息控制有完善的保护措施,并建立有客户信息管理制度,在各个环节实施上指定了专门的信息管理责任人,并且制订了《内部办公安全管理办法》和《外出实施安全管理办法》。
XXXX公司主要通过信息分级,技术控制,人员控制,职责分离等措施保障项目实施过程中所涉及的数据不泄露给无关人员。
9信息分级
我们将对项目相关的文档进行分类,主要目的是为了便于统计哪些电子文档需要纳入专业安全服务的电子文档保护体系。
而分级的主要标准是以文档所含内容的敏感程度。
文档的保密级别总共分为三级:
第一级:
是指由用户提供或XXXX公司调查得来的IP地址、帐号等信息。
第二级:
是指由用户提供或XXXX公司调查得来的网络拓扑、资产信息等。
第三级:
是指由用户提供或XXXX公司调查得来的业务流程、规章制度、操作规程等文档。
保密手段,按照项目资料的三级情况,采取如下的手段:
对于第一级的文档资料,要求可在用户内部借阅,但不得带离用户物理所在地的范围,由用户授权批准的例外,但需要按照授权方式进行处理。
过程文档中及结果文档中涉及这些文档,要求做一定的处理,如IP地址用设备名称加描述信息来代替。
对于第二级的文档资料,要求仅在具体项目小组内使用,要求由项目经理统一交接,加强控制。
过程文档中及结果文档中涉及这些文档,要求做一定的处理,如网络拓扑可整理为逻辑示意图,不涉及具体的现网核心资产,可体现核心资产的重要性信息,但不体现核心资产的具体用途。
对于第三级的文档资料,要求可在项目组内交流,同时注意内部保密。
过程文档中及结果文档中可直接引用这些文档资料。
9技术控制
对于客户相关的信息,XXXX公司强制要求公司工程师采用统一的安全机密软件对客户信息进行加密,保证客户机密信息的安全性。
9人员控制
XXXX公司作为服务提供商,我们将派出具有丰富评估经验的工程师参与本次评估,并保证评估过程中人员的稳定性和连续性,所有人员的操作均遵从相关规范要求。
在协商确定项目组人员组成后未经客户确认不能随意更换项目组成员,如果确实需要更换人员我们将在与客户就更换人员达成共识后,提交正式的人员变更申请。
9职责分离
在实施专业服务项目时,项目经理将对敏感的信息系统资料(包括IP地址、网络拓扑、业务流程、规章制度、资产信息等内容)进行权限管理,项目参与人员将根据不同的角色,得到不同的项目数据。
相关负责人将根据项目经理派发的项目数据进行分析并生成各阶段的评估报告。
项目经理将掌握所有项目的数据,包括业务调查、过程文档资料以及结果文档资料;
项目小组长将掌握其负责阶段的原始数据以及过程文档资料;
项目小组成员只会获得其负责的工作的原始数据,而不会得到项目的其他细节。
如果在项目中出现由于工作需要出现超越角色权限的信息传递时,需要向客户提交信息传递报告,并以双方签字确认。
9保密协议
XXXX公司在项目中将和客户签订《项目保密协议》,XXXX公司保证遵照《项目保密协议》中规定的保密条款并履行。
所有参与安全服务项目实施的XXXX公司项目组成员也都和XXXX公司签订了《员工保密协议》,项目组成员必须遵守公司的《员工保密协议》,并做到以下几点和项目相关的要求:
保守客户的商业秘密,不得对外透露。
客户访谈内容不得随意向项目组以外的人透露。
项目的过程文件与资料不得随处乱放,以免泄露。
9.2实施风险控制
9数据采集过程风险处理
这里的数据采集过程风险主要指扫描过程、人工审计过程、渗透测试过程的风险。
进行数据采集前,项目经理需要提前提交当前工作计划,经过双方确认后,双方共同为数据采集做好相应风险规避措施,再进行数据的采集。
这样不但能够保证双方合作时间上的可靠,同时可以防止因为采集数据(从网络设备、主机服务器上),造成影响设备、业务、系统正常运行的可能。
当前工作计划完成后,数据采集人员需要提交工作确认单,经过双方确认数据采集工作后,开展下一步工作。
可以通过工作确认,保证数据采集的有效性、准确性,防止进行重复性工作,同时避免工作的遗漏。
9服务实施方案的探讨、确认
在服务实施前,针对于重要业务系统,安全服务顾问都会与系统管理员针对安全服务方案进行探讨,描述每个步骤可能带来的风险及规避方法,提出XXXX公司的建议并由客户管理员确认最终的安全服务方案。
9综合分析阶段风险的控制
综合分析阶段主要是对已经采集的数据,进行综合整理和分析,完成相应的工作成果和报告。
这个过程需要与客户公司的项目组保持更畅通的沟通渠道,对项目实施过程中可能存在的工作遗漏或不足,确认补救措施。
对分析出的威胁、系统弱点等,需要结合具体业务赋予相应权值,为风险的定量分析做充分铺垫。
10.服务与支持
XXXX公司安全服务着重“服务保障客户价值”,在此过程中,如果您对服务、报告或细节存在意见和建议,请依照下列方式联络:
电子邮件
支持
升级会员 