【正文】 l Xscan ，端口、服務掃描，弱口令破解，系統(tǒng)信息探測l P0f ，系統(tǒng)識別l Appscan ，Web漏洞檢測程序l WVS ，Web漏洞檢測程序l W3AF ，Web漏洞檢測程序l Scanner1000 ，迪普科技開發(fā)的漏洞檢測產(chǎn)品，支持系統(tǒng)漏洞檢測，Web漏洞檢測等一系列功能l 端口掃描 通過對目標地址的TCP/UDP端口掃描，確定其所開放的服務的數(shù)量和類型，這是所有滲透測試的基礎(chǔ)。通過端口掃描，可以基本確定一個系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗可以確定其可能存在以及被利用的安全弱點，為進行深層次的滲透提供依據(jù)。 l 口令猜測 口令猜測也是一種出現(xiàn)概率很高的風險，幾乎不需要任何攻擊工具，利用一個簡單的暴力攻擊程序和一個比較完善的字典，就可以猜測口令。 對一個系統(tǒng)賬號的猜測通常包括兩個方面：首先是對用戶名的猜測，其次是對密碼的猜測。 l 腳本測試 腳本測試專門針對Web服務器進行。根據(jù)最新的技術(shù)統(tǒng)計，腳本安全弱點為當前Web系統(tǒng)尤其存在動態(tài)內(nèi)容的Web系統(tǒng)存在的主要比較嚴重的安全弱點之一。利用腳本相關(guān)弱點輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對于含有動態(tài)頁面的Web系統(tǒng)，腳本測試將是必不可少的一個環(huán)節(jié)。 l Hydra ，暴力破解工具，支持Samba, FTP, POP3, IMAP, Telnet, HTTP Auth, LDAP, NNTP, MySQL, VNC, ICQ, Socks5, PCNFS, Cisco等多種協(xié)議的暴力破解l Metasploit ，溢出程序利用平臺l 菜刀 ，Webshell功力工具l Pwdump7 ，讀取系統(tǒng)HASHl Cain ，內(nèi)網(wǎng)sniffer工具l Disniff ，linux下嗅探工具l 人工滲透人工滲透，主要針對系統(tǒng)的業(yè)務邏輯漏洞進行安全測試，利用業(yè)務邏輯漏洞查找可準確、切實的找出業(yè)務中存在的安全隱患，避免被惡意用戶利用，對系統(tǒng)造成重大損失。 測試內(nèi)容對XXX網(wǎng)站的滲透測試，除使用產(chǎn)品和工具掃描外，更重要的需要進行人工滲透，滲透內(nèi)容包括但不限于以下項，且需要對發(fā)現(xiàn)的漏洞進行驗證和利用。序號滲透測試大項滲透測試小項1配置管理備份測試、HTTP方法測試、傳輸安全2身份鑒別用戶注冊、賬戶權(quán)限、賬戶枚舉、弱口令3認證授權(quán)認證繞過、目錄遍歷、授權(quán)繞過、權(quán)限提升4會話管理超時測試、會話管理繞過測試、會話令牌泄露測試、跨站點請求偽造CSRF測試5輸入驗證SQL注入、代碼注入、命令執(zhí)行注入、跨站腳本XSS6錯誤處理錯誤碼分析、棧追蹤分析7業(yè)務邏輯數(shù)據(jù)驗證、請求偽造、完整性、次數(shù)限制、上傳測試 實施步驟根據(jù)黑客入侵的過程，并結(jié)合滲透測試的要求，我司滲透測試的實施步驟如下。 計劃與準備階段1) 工作目標計劃與準備階段，需要明確滲透測試的實施范圍與測試對象，制定實施方法與方案，并制定詳細的實施計劃，為滲透測試的順利進行，作重要準備。滲透測試的實施，將按照方案和計劃進行。2) 工作內(nèi)容計劃與準備階段的工作，主要是對滲透測試實施舉行研討會，討論滲透測試操作思路，說明滲透測試的實施范圍和測試對象，然后根據(jù)研討內(nèi)容制定相應得實施方案與計劃。由領(lǐng)導審核批準實施方案與計劃，項目組根據(jù)實際情況的需要，會對實施方案與計劃進行一定的調(diào)整。3) 實施計劃序號任務名稱工作內(nèi)容計劃時間1滲透測試研討會討論滲透測試的工作思路，說明測試范圍、測試目標對象、實施方式以及實施人員和大致的時間計劃2制定滲透測試實施方案與計劃根據(jù)研討會的討論內(nèi)容，制定相應的滲透測試實施方案和實施計劃3提交滲透測試實施方案與計劃提交滲透測試實施方案與計劃4審核與確認滲透測試實施方案與計劃項目組提交滲透測試實施方案與計劃，由領(lǐng)導進行審核確認，提出相應的意見與建議5修正實施方案與計劃根據(jù)領(lǐng)導審核意見和建議，對實施方案與計劃進行相應的修正 信息收集階段1) 工作目標信息收集是所有入侵攻擊的前奏和基礎(chǔ)。通過信息收集分析，攻擊者可以有針對性地制定入侵攻擊的方法策略，提高入侵的成功率、減小暴露或被發(fā)現(xiàn)的機率。因此以模擬黑客攻擊方式進行的滲透測試，也以信息收集為第一個實施的階段過程。2) 工作內(nèi)容信息收集階段的工作內(nèi)容是對目標所在的整個IP網(wǎng)段進行掃描探測與手工查閱。通過對目標地址的TCP/UDP端口掃描，確定其所開放的服務的數(shù)量和類型，這是所有滲透性測試的基礎(chǔ)。通過信息探測漏洞檢測，可以基本確定一個系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗可以確定其可能存在以及被利用的安全弱點，為進行深層次的滲透提供依據(jù)。并且用手工的方式對應用、網(wǎng)頁等內(nèi)容進行一些信息查看。3) 實施計劃序號任務名稱工作內(nèi)容計劃時間1滲透測試變更流程與變更操作根據(jù)滲透測試的需要，進行相應的變更2信息收集階段實施操作按照實施方案，進行信息收集階段實施操作 滲透實施階段 輸出報告階段1) 工作目標本階段為根據(jù)滲透測試得出的結(jié)果，進行匯總分析，輸出《滲透測試報告》。2) 工作內(nèi)容編寫、整理滲透測試報告。3) 實施計劃序號任務名稱工作內(nèi)容計劃時間1編寫滲透測試報告對滲透測試得出的結(jié)果進行分析，并輸出報告 輸出成果滲透測試的輸出成果如下：l 《XXX滲透測試服務報告》l 《XXX滲透測試服務復測報告》 服務收益對網(wǎng)站進行滲透測試，可為XXX帶來如下收益：l 評估網(wǎng)站中存在的安全隱患、安全隱患； l 發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患； l 驗證網(wǎng)站現(xiàn)有安全措施的防護強度； l 評估網(wǎng)站被入侵的可能性，并在入侵者發(fā)起攻擊前封堵可能被利用的攻擊途徑。 網(wǎng)絡(luò)安全評估網(wǎng)絡(luò)安全評估是對網(wǎng)絡(luò)和業(yè)務系統(tǒng)的安全漏洞、安全隱患、安全風險，進行探測、識別、控制、消除的全過程，它從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與應用系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。網(wǎng)絡(luò)安全評估的內(nèi)容，包括網(wǎng)絡(luò)拓撲架構(gòu)、安全域規(guī)劃、邊界防護、安全防護措施、核心設(shè)備安全配置、設(shè)備脆弱性等，從而全面評估網(wǎng)絡(luò)的安全現(xiàn)狀，查找安全隱患。 評估內(nèi)容 資產(chǎn)評估概述信息資產(chǎn)的識別可以確定評估的對象，是整個安全服務工作的基礎(chǔ)。并且，本階段可以幫助XXX實現(xiàn)信息資產(chǎn)識別和整理，完成一份完整和最新的信息資產(chǎn)清單，對XXX的信息資產(chǎn)管理工作會有所幫助。目標完成一份完整和最新的信息資產(chǎn)清單。過程描述首先識別信息資產(chǎn)，完成所有重要信息資產(chǎn)的清單。按照資產(chǎn)性質(zhì)和業(yè)務類型等可以分成若干資產(chǎn)類，一般分為數(shù)據(jù)，軟件，服務，硬件，設(shè)備和文檔等。根據(jù)不同的項目目標與項目特點，重點識別的資產(chǎn)類別會有所不同，在通常的項目中，一般數(shù)據(jù)、軟件和服務為重點。 架構(gòu)安全評估概述對網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進行評估，發(fā)現(xiàn)存在的安全性方面的問題。結(jié)合業(yè)務體系、系統(tǒng)體系等結(jié)構(gòu)的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)組成以及網(wǎng)絡(luò)的關(guān)鍵設(shè)備的位置所在對于保持網(wǎng)絡(luò)的安全是非常重要的。另外，鑒定關(guān)鍵網(wǎng)絡(luò)拓撲，對于成功地實施一個基于網(wǎng)絡(luò)的風險管理方案是非常關(guān)鍵的。基本信息包括網(wǎng)絡(luò)帶寬，協(xié)議，硬件（例如：交換機，路由器等）Internet接入，地理分布方式和網(wǎng)絡(luò)管理。目標發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全性問題。過程描述拓撲結(jié)構(gòu)合理性分析，可擴展性分析，例如網(wǎng)絡(luò)中重要節(jié)點的鏈路是否有冗余。對XXX網(wǎng)絡(luò)進行全面了解，查看安全域是否有劃分，安全域的劃分是否合理，安全域間是否有相應的安全防護措施，并提出對應的改進方案。對于信息系統(tǒng)的安全，除了自身的安全檢測外，還需要考慮與其他系統(tǒng)進行對接的接口安全，即邊界安全。劃分安全域并對其進行安全防護，將有效保障系統(tǒng)與對接系統(tǒng)的安全。所以，安全域評估是架構(gòu)評估中的重中之重，我司將對XXX的安全域進行詳細的分析與劃分，并提出對應的措施，以保障對接應用系統(tǒng)的邊界安全，有效保障應用系統(tǒng)的安全運行。對邊界接入進行全面調(diào)研分析，對各種接入情況進行安全風險評估，與非信任網(wǎng)絡(luò)間互訪的安全管理，提出改進方案。邊界接入評估，也能有效促進系統(tǒng)與其他系統(tǒng)的對接接口安全。在相關(guān)的網(wǎng)絡(luò)隔離點，是否有恰當?shù)脑L問控制規(guī)則設(shè)立，是否被有效的執(zhí)行。各個接入節(jié)點部分是否具備安全措施保障，是否被正確配置和執(zhí)行。信任網(wǎng)絡(luò)或者不信任網(wǎng)絡(luò)之間是否有控制，控制本身帶來的安全程度以及是否有可以繞過控制的途徑。網(wǎng)絡(luò)體系架構(gòu)是如何進行管理的，是否有良好的機制和制度保障網(wǎng)絡(luò)架構(gòu)本身不被改變，沒有非法的不符合安全策略的架構(gòu)改變。是否有集中的設(shè)備認證管理機制，是否被正確的配置和執(zhí)行。網(wǎng)絡(luò)建設(shè)中是否良好的考慮了網(wǎng)絡(luò)的高可用性和可靠性問題，是否被正確使用和良好的配置，是否有機制保障不被修改。 配置安全評估概述對網(wǎng)絡(luò)及安全設(shè)備的配置進行檢查，對IP地址分配是否正確、VLAN劃分是否合理，路由協(xié)議、安全策略是否合理等多方面進行分析，網(wǎng)絡(luò)配置是整個網(wǎng)絡(luò)安全的基礎(chǔ)。目標發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備配置存在的不合理及安全性問題。過程描述分析所采用的路由協(xié)議，是否存在配置漏洞，冗余路由配置情況，路由協(xié)議的信任關(guān)系問題。分析配置中是否采用安全相關(guān)配置，系統(tǒng)的安全策略是否存在，以及是否和業(yè)務系統(tǒng)相互吻合。 對網(wǎng)絡(luò)管理相關(guān)協(xié)議的分析整理；對業(yè)務應用相關(guān)協(xié)議的分析整理。XXX業(yè)務系統(tǒng)本身業(yè)務服務所采用的相關(guān)協(xié)議，以及由此而帶來的相關(guān)的網(wǎng)絡(luò)支撐設(shè)備。在相關(guān)的網(wǎng)絡(luò)隔離點，是否有恰當?shù)脑L問控制規(guī)則設(shè)立，是否被有效的執(zhí)行。分析XXX網(wǎng)絡(luò)中VLAN劃分是否合理，相應設(shè)備上的VLAN配置是否正確，IP地址是否分配正確。安全配置本身是否具有不合理的配置或者弱點存在。網(wǎng)絡(luò)建設(shè)中是否良好的考慮了網(wǎng)絡(luò)的高可用性和可靠性問題，是否被正確使用和良好的配置，是否有機制保障不被修改。 設(shè)備漏洞掃描概述為了充分了解XXX當前網(wǎng)絡(luò)存在的安全隱患，采用迪普綜合漏洞評估掃描工具對XXX的網(wǎng)絡(luò)進行全面掃描，檢查其網(wǎng)絡(luò)設(shè)備的弱點，識別被入侵者用來非法進入網(wǎng)絡(luò)的漏洞。目標通過對XXX的網(wǎng)絡(luò)設(shè)備的掃描，發(fā)現(xiàn)目前XXX網(wǎng)絡(luò)設(shè)備存在的技術(shù)性安全漏洞。同時，也為安全加固工作提供依據(jù)。過程描述首先，確定掃描范圍，主要針對重要信息資產(chǎn)和抽樣網(wǎng)段。然后提交掃描方案和掃描申請，明確掃描執(zhí)行人員和時間安排。采用迪普綜合漏洞評估掃描工具對網(wǎng)絡(luò)進行全面掃描，檢查其網(wǎng)絡(luò)設(shè)備的弱點，識別被入侵者用來非法進入網(wǎng)絡(luò)的漏洞。 評估方法l 資料收集現(xiàn)狀資料收集是現(xiàn)狀調(diào)研重要的信息來源。項目組向業(yè)務管理部門和信息系統(tǒng)的負責人收集了網(wǎng)絡(luò)拓撲圖、IP地址規(guī)劃表、設(shè)備配置等資料，為全面評估XXX三套網(wǎng)絡(luò)的安全狀況提供了數(shù)據(jù)依據(jù)。l 現(xiàn)場訪談項目組對XXX三套網(wǎng)絡(luò)的維護人員，進行了現(xiàn)場訪談。針對訪談對象在信息安全管理和執(zhí)行信息安全控制中所扮演的角色，有重點的了解了信息安全管理現(xiàn)狀及信息安全基礎(chǔ)設(shè)施建設(shè)情況。通過現(xiàn)場訪談，項目組能夠獲取三套網(wǎng)絡(luò)安全現(xiàn)狀的第一手資料，并可驗證之前收集到的資料，從而提高其準確度和完整性。l 現(xiàn)場勘查對用戶網(wǎng)絡(luò)進行現(xiàn)場檢查，查找可能存在的安全隱患和漏洞，如物理機房安全評估，安全意識標語檢查等。l 調(diào)研問卷給用戶單位員工下發(fā)信息安全調(diào)查問卷，根據(jù)員工填寫的結(jié)果，了解用戶網(wǎng)絡(luò)安全意識、安全方針、安全培訓、安全應急等情況。l 漏洞掃描漏洞掃描是指使用基于網(wǎng)絡(luò)的安全弱點掃描工具，根據(jù)其內(nèi)置的漏洞測試方法、掃描策略，從網(wǎng)絡(luò)中對掃描對象進行一系列的安全檢查，從而發(fā)現(xiàn)可能存在的安全漏洞、安全隱患。使用漏洞掃描工具可以實現(xiàn)遠程自動化掃描，降低安全評估的工作量，并能根據(jù)需求輸出評估結(jié)果或者報表。在對三套網(wǎng)絡(luò)進行安全評估時，我們采用我司自己的漏洞掃描系統(tǒng)，對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行漏洞掃描，能夠有效評估XXX三套的安全狀況。l 綜合分析綜合分析，是指對上述所有方法獲得的相關(guān)信息，以及發(fā)現(xiàn)被評估對象所存在的安全缺陷和風險，進行綜合分析。評估人員分析和整理通過上述過程中所收集的各項信息，查找系統(tǒng)及相關(guān)的評估對象之間的相互關(guān)聯(lián)、相互配合中所存在的缺陷和安全風險，并與安全管理人員核實所收集的信息是否真實反映了網(wǎng)絡(luò)的真實安全情況，核實有疑問的信息。 實施步驟安全風險評估項目的流程，一般劃分為5個階段：項目計劃資料收集現(xiàn)場評估數(shù)據(jù)分析評估報告，如下?，F(xiàn)場評估數(shù)據(jù)分析評估報告明確評估范圍和目標制定項目計劃、計劃討論項目計劃資產(chǎn)賦值、漏洞掃描控制臺審計、安全訪談滲透測試、數(shù)據(jù)流分析弱點分析、威脅分析可能性分析、影響分析風險識別弱點評估報告風險評估報告安全修復建議資料收集資產(chǎn)調(diào)查表、網(wǎng)絡(luò)拓撲安全調(diào)研表、其他信息 具體實施步驟如下： 風險評估準備n 確定風險評估目標明確開展本次風險評估所期望獲得的目標。n 確定風險評估范圍明確本次風險評估的具體范圍，避免后期不必要的工作的開展。n 組建項目實施團隊組建風險評估實施團隊，包括項目經(jīng)理、實施工程師、質(zhì)量監(jiān)督人員在內(nèi)，實施團隊提前準備好評估所需要的表格、文檔、檢測工具等各項準備工作。n 進行項目系統(tǒng)調(diào)研系統(tǒng)調(diào)研為風險評估依據(jù)和方法的選擇、評估內(nèi)容的實施奠定基礎(chǔ)，調(diào)研內(nèi)容包括：a) 業(yè)務戰(zhàn)略及管理制度b) 主要的業(yè)務功能和要求c) 網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接d) 系統(tǒng)邊界e) 主要的硬件、軟件f) 數(shù)據(jù)和信息g) 其他n 制定風險評估方案指定風險評估方案，用于指導實施工作的開展，內(nèi)容包括（但不僅限于）：a) 團隊組織：包括評估團隊成員、組織結(jié)構(gòu)、角色、責任等內(nèi)