【正文】 試將參考 OSSTMM 測(cè)試框架中的以下技術(shù)方法：? 信息收集和狀態(tài)評(píng)估? 網(wǎng)絡(luò)節(jié)點(diǎn)枚舉和探測(cè)? 系統(tǒng)服務(wù)和端口掃描驗(yàn)證? 應(yīng)用層測(cè)試? 漏洞挖掘與驗(yàn)證本次滲透測(cè)試將參考 OWASP 2022 最新發(fā)布的十大 Web 應(yīng)用漏洞排名，并使用測(cè)試框架中相應(yīng)的技術(shù)方法：? SQL 注入? 跨站腳本（XSS）22 / 51? 惡意文件執(zhí)行? 不安全的直接對(duì)象引用? 跨站請(qǐng)求偽造（CSRF）? 信息泄漏和錯(cuò)誤處理不當(dāng)? 認(rèn)證和會(huì)話管理失效? 不安全的加密存儲(chǔ)? 不安全的通訊? URL 訪問失效. 滲透測(cè)試試用例庫為保證滲透測(cè)試內(nèi)容的全面性以及測(cè)試漏洞的深入挖掘，啟明星辰總結(jié)了多年的滲透測(cè)試經(jīng)驗(yàn)與豐富的滲透測(cè)試用例，以下是啟明星辰用于 Web 應(yīng)用層滲透測(cè)試的用例庫，測(cè)試條目涵蓋了全面/最新的 Web 應(yīng)用層漏洞與測(cè)試方法，將根據(jù)不同應(yīng)用系統(tǒng)的特性進(jìn)行有針對(duì)性的匹配測(cè)試。接下來盡最大努19 / 51力取得超級(jí)用戶權(quán)限、收集目標(biāo)主機(jī)資料信息，尋求本地權(quán)限提升的機(jī)會(huì)。根據(jù)最新的技術(shù)統(tǒng)計(jì)，腳本安全弱點(diǎn)為當(dāng)前 Web 系統(tǒng)尤其存在動(dòng)態(tài)內(nèi)容的 Web 系統(tǒng)存在的主要比較嚴(yán)重的安全弱點(diǎn)之一。使用本地溢出的前提是首先要獲得一個(gè)普通用戶的密碼。猜解的對(duì)象包括：WEB 登錄口、FTP 端口、數(shù)據(jù)庫端口、遠(yuǎn)程管理端口等。端口掃描通過對(duì)目標(biāo)地址的 TCP/UDP 端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測(cè)試的基礎(chǔ)。. 滲透測(cè)試方法滲透測(cè)試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵需要利用目標(biāo)網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測(cè)試也是同樣的道理。安全建設(shè)管理安全建設(shè)管理主要是從安全邊界和定級(jí)、安全方案設(shè)計(jì)、安全產(chǎn)品采購和使用、自主研發(fā)環(huán)境安全、外包軟件研發(fā)環(huán)境安全、工程實(shí)施安全、測(cè)試驗(yàn)收、交付、安全服務(wù)商的選擇、安全網(wǎng)絡(luò)定級(jí)備案安全 10 個(gè)方面來進(jìn)行安全建設(shè)的脆弱性發(fā)現(xiàn)識(shí)別。目的是了解客戶業(yè)務(wù)流程的安全隱患，協(xié)助客戶進(jìn)行業(yè)務(wù)流程的安全防護(hù)。在評(píng)估過程中，主要針對(duì)網(wǎng)絡(luò)拓?fù)洹⒃L問控制策略與措施、網(wǎng)絡(luò)設(shè)備配置、安全設(shè)備配置、網(wǎng)絡(luò)性能與業(yè)務(wù)負(fù)載幾個(gè)方面進(jìn)行調(diào)查與分析。)，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問題。? 評(píng)估介質(zhì)安全：軟盤、硬盤、光盤、磁帶等媒體的管理，信息媒體的維修將保證所存儲(chǔ)的信息不被泄漏，不再需要的媒體，將按規(guī)定及時(shí)安全地予以銷毀。達(dá)成目標(biāo) 準(zhǔn)確把握物理安全中的安全隱患，提出安全建議。. 實(shí)施步驟脆弱性識(shí)別步驟主要是通過技術(shù)脆弱性和管理脆弱性來進(jìn)行識(shí)別。? 分發(fā)攻擊威脅與風(fēng)險(xiǎn)：在設(shè)備制造、安裝、維護(hù)過程中，在設(shè)備上設(shè)置隱藏的后門或攻擊途徑、? 內(nèi)部攻擊威脅與風(fēng)險(xiǎn)：惡意修改數(shù)據(jù)和安全機(jī)制配置參數(shù)、惡意建立未授權(quán)連接、惡意的物理損壞和破壞、無意的數(shù)據(jù)損壞和破壞。對(duì)威脅進(jìn)行賦值并確定威脅等級(jí)。11 / 51. 階段步驟威脅識(shí)別采用人工審計(jì)、安全策略文檔審閱、人員面談、入侵檢測(cè)系統(tǒng)收集的信息和人工分析。. 階段輸出本階段完成后輸出文檔如下：? 《資產(chǎn)詳細(xì)清單》? 《資產(chǎn)賦值列表》. 階段 3：威脅評(píng)估威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。? 與高級(jí)主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進(jìn)行交流。? 填表式調(diào)查。階段二：進(jìn)行資產(chǎn)識(shí)別，分類并賦值。要做好這項(xiàng)工作，首先需要詳細(xì)了解資產(chǎn)分類與管理的詳細(xì)情況。步驟一：項(xiàng)目組織，確定雙項(xiàng)目組織結(jié)構(gòu)及人員分工。階 段 1 ： 服 務(wù) 啟 動(dòng) 階 段 2 ： 資 產(chǎn) 評(píng) 估 階 段 3 ： 威 脅 評(píng) 估 階 段 4 ： 脆 弱 性 評(píng) 估 階 段 5 ： 風(fēng) 險(xiǎn) 分 析 階 段 6 ： 處 置 計(jì) 劃 階 段 7 ： 服 務(wù) 驗(yàn) 收項(xiàng) 目 實(shí) 施 風(fēng) 險(xiǎn) 及 規(guī) 避 措 施服 務(wù) 管 理 （ 服 務(wù) 組 織 結(jié) 構(gòu) 、 實(shí) 施 計(jì) 劃 、 質(zhì) 量 管 理 、 保 密 控 制 ）資 產(chǎn) 識(shí) 別資 產(chǎn) 分 類資 產(chǎn) 清 單資 產(chǎn) 分 析資 產(chǎn) 賦 值威 脅 識(shí) 別威 脅 分 類范 圍 確 定系 統(tǒng) 調(diào) 研制 定 計(jì) 劃報(bào) 告 提 交成 果 匯 報(bào)服 務(wù) 驗(yàn) 收威 脅 分 析威 脅 賦 值獲 得 支 持技 術(shù) 脆 弱 識(shí) 別管 理 脆 弱 識(shí) 別控 制 措 施 識(shí) 別脆 弱 性 分 析脆 弱 性 賦 值《 資 產(chǎn) 評(píng) 估 報(bào) 告 》《 服 務(wù) 實(shí) 施 計(jì) 劃 》 《 威 脅 評(píng) 估 報(bào) 告 》 《 脆 弱 性 評(píng) 估 報(bào) 告 》 《 風(fēng) 險(xiǎn) 評(píng) 估 報(bào) 告 》 《 風(fēng) 險(xiǎn) 處 置 計(jì) 劃 》 《 服 務(wù) 驗(yàn) 收 報(bào) 告 》風(fēng) 險(xiǎn) 綜 合 識(shí) 別風(fēng) 險(xiǎn) 模 型 計(jì) 算風(fēng) 險(xiǎn) 接 收 準(zhǔn) 則風(fēng) 險(xiǎn) 綜 合 評(píng) 價(jià)安 全 目 標(biāo) 確 定安 全 措 施 選 擇實(shí) 施 內(nèi) 容 安 排制 定 處 置 計(jì) 劃圖 3 項(xiàng)目實(shí)施流程圖. 階段 1：項(xiàng)目啟動(dòng)階段此階段是項(xiàng)目的啟動(dòng)和計(jì)劃階段，是項(xiàng)目實(shí)施階段的開始，對(duì)項(xiàng)目整個(gè)過程的實(shí)施工作與項(xiàng)目管理工作都非常重要。風(fēng)險(xiǎn)分析的主要內(nèi)容為：a） 對(duì)資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值；b） 對(duì)威脅進(jìn)行識(shí)別，描述威脅的屬性，并對(duì)威脅出現(xiàn)的頻率賦值；c） 對(duì)脆弱性進(jìn)行識(shí)別，并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；d） 根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性；6 / 51e） 根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失；f） 根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)算安全事件一旦發(fā)生對(duì)組織的影響，即風(fēng)險(xiǎn)值。因此，在系統(tǒng)中就總是有殘余風(fēng)險(xiǎn)（RR）的存在，這樣，系統(tǒng)安全需求的確定實(shí)際上也是對(duì)余留風(fēng)險(xiǎn)及其接受程度的確定。安防措施是阻止威脅、降低風(fēng)險(xiǎn)、控制事故影響、檢測(cè)事故及實(shí)施恢復(fù)的一系列實(shí)踐、程序或機(jī)制。從宏觀上講，威脅按照產(chǎn)生的來源可以分為非授權(quán)蓄意行為、不可抗力、人為錯(cuò)誤、以及設(shè)施/設(shè)備錯(cuò)誤等。弱點(diǎn)也稱為“脆弱性”或“漏洞” 。. 風(fēng)險(xiǎn)關(guān)系模型風(fēng)險(xiǎn)關(guān)系模型從安全風(fēng)險(xiǎn)的所有要素：資產(chǎn)、影響、威脅、弱點(diǎn)、安全控制、安全需求、安全風(fēng)險(xiǎn)等方面形象地描述的他們各自之間的關(guān)系和影響，風(fēng)險(xiǎn)關(guān)系模型如下圖所示。? 中共中央辦公廳國(guó)務(wù)院辦公廳《關(guān)于印發(fā) 2022—2020 年國(guó)家信息化發(fā)展戰(zhàn)略的通知》 （中辦[2022]11 號(hào)文）提出加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作。. 政策依據(jù)表格 1 相關(guān)策略時(shí)間 相關(guān)政策文件2022 年? 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》 （中辦發(fā) 27號(hào)文） ，提出“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估” 。4. 最小影響原則項(xiàng)目的所有階段，保證項(xiàng)目實(shí)施過程工作對(duì)系統(tǒng)正常運(yùn)行的可能影響降低到最低限度，不會(huì)對(duì)客戶目前的業(yè)務(wù)系統(tǒng)運(yùn)行造成明顯的影響。____________________________XXXX 集團(tuán)風(fēng)險(xiǎn)評(píng)估項(xiàng)目技術(shù)建議書____________________________二〇一四年八月目 錄第 1 章 項(xiàng)目方案設(shè)計(jì) ................................................................................1. 設(shè)計(jì)目標(biāo) ............................................................................................................................1. 設(shè)計(jì)原則 ............................................................................................................................1. 設(shè)計(jì)依據(jù) ............................................................................................................................2. 政策依據(jù) ..................................................................................................................2. 標(biāo)準(zhǔn)依據(jù) ..................................................................................................................3. 方法模型 ............................................................................................................................3. 風(fēng)險(xiǎn)關(guān)系模型 ..........................................................................................................3. 風(fēng)險(xiǎn)分析方法模型 ..................................................................................................5. 工具方法 ............................................................................................................................6. 風(fēng)險(xiǎn)評(píng)估采用方法 ..................................................................................................6. 風(fēng)險(xiǎn)評(píng)估使用工具 ..................................................................................................6第 2 章 項(xiàng)目實(shí)施流程 ................................................................................7. 階段 1：項(xiàng)目啟動(dòng)階段 .....................................................................................................7. 階段目標(biāo) ..................................................................................................................8. 階段步驟 ..................................................................................................................8. 階段輸出 ..................................................................................................................8. 階段 2：資產(chǎn)評(píng)估階段 .....................................................................................................9. 階段目標(biāo) ..................................................................................................................9. 階段步驟 ..................................................................................................................9. 階段方法 ..................................................................................................................9. 階段輸出 ................................................................................................................10. 階段 3：威脅評(píng)估 ...........................................................................................................10. 階段目標(biāo) ...................................................................