【正文】 表格 8 項(xiàng)目變更表項(xiàng)目范圍管理基礎(chǔ)信息項(xiàng)目名稱變更描述變更范圍定義描述項(xiàng)目范圍管理初始確認(rèn)37 / 51賣方項(xiàng)目經(jīng)理批示買方項(xiàng)目經(jīng)理批示相關(guān)負(fù)責(zé)人批示項(xiàng)目范圍重定義編號(hào) 重定義內(nèi)容 備注1□ 增加 □ 縮減2□ 增加 □ 縮減3□ 增加 □ 縮減4□ 增加 □。項(xiàng)目經(jīng)理、項(xiàng)目領(lǐng)導(dǎo)小組將基于這些信息，綜合考慮項(xiàng)目各方面情況，對(duì)范圍變更提出決策意見。為實(shí)現(xiàn)對(duì)范圍變更的嚴(yán)格控制，變更需要通過書面的方式進(jìn)行記錄，并在對(duì)其可能的影響進(jìn)行充分分析，綜合各方面情況做出決策。. 范圍變更控制范圍變更指對(duì)經(jīng)過項(xiàng)目各方同意和有效授權(quán)的對(duì)項(xiàng)目范圍的任何修改。36 / 51. 范圍定義一個(gè)預(yù)先定義的、清晰的項(xiàng)目范圍是項(xiàng)目順利開展的基礎(chǔ)。? 質(zhì)量控制：主要有項(xiàng)目商務(wù)和售前作為質(zhì)量監(jiān)督和控制，有權(quán)對(duì)項(xiàng)目實(shí)施進(jìn)行建議和實(shí)施工作的改進(jìn)。? 項(xiàng)目實(shí)施小組：由信息安全服務(wù)提供商技術(shù)人員組成，負(fù)責(zé)安全產(chǎn)品集成的具體實(shí)施。? 項(xiàng)目經(jīng)理：由信息安全服務(wù)提供商指定，根據(jù)項(xiàng)目協(xié)調(diào)小組的決定與授權(quán)，在充分調(diào)研準(zhǔn)備的基礎(chǔ)上，提出具體實(shí)施方案并組織實(shí)施，解決項(xiàng)目實(shí)施中出現(xiàn)的各類問題。. 組織管理為了保證項(xiàng)目的順利實(shí)施，確保達(dá)到預(yù)期的目標(biāo)，必須建立分工明確，職責(zé)清楚，層次分明同時(shí)又能協(xié)調(diào)配合的項(xiàng)目管理組織。. 項(xiàng)目驗(yàn)收對(duì)項(xiàng)目計(jì)劃與成果目標(biāo)進(jìn)行驗(yàn)收。 《脆弱性掃描分析報(bào)告》：脆弱性評(píng)估報(bào)告的子報(bào)告，主要描述通過工具掃描之后，對(duì)評(píng)估范圍內(nèi)的資產(chǎn)脆弱性進(jìn)行統(tǒng)計(jì)，重在描述高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)的數(shù)量以及百分比等情況。 《威脅賦值列表》：綜合報(bào)告的子報(bào)告，描述總結(jié)出評(píng)估范圍內(nèi)業(yè)務(wù)資產(chǎn)所面臨的威脅源，以及其所采用的方法。. 階段 8：項(xiàng)目交付. 成果交付項(xiàng)目完成后將提交以下文檔：? 《風(fēng)險(xiǎn)評(píng)估綜合報(bào)告》? 《資產(chǎn)賦值列表》? 《威脅賦值列表》? 《脆弱性賦值列表》 （包含《脆弱性掃描分析報(bào)告》 ）? 《風(fēng)險(xiǎn)處置計(jì)劃》 （附件《風(fēng)險(xiǎn)列表》 ） 《風(fēng)險(xiǎn)評(píng)估綜合報(bào)告》：主體報(bào)告，描述被評(píng)估信息系統(tǒng)得信息安全現(xiàn)狀，對(duì)評(píng)估范圍內(nèi)的業(yè)務(wù)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)分析，明確出威脅源采用何種威脅方法，利用了哪些脆弱性，對(duì)范圍內(nèi)的哪些資產(chǎn)產(chǎn)生了什么影響，采取何種對(duì)策進(jìn)行防范威脅，減少脆弱性；并對(duì)風(fēng)險(xiǎn)評(píng)估作出總結(jié)，總結(jié)出哪些問題需要當(dāng)前解決，哪些問題可以分步分期解決。在選擇和實(shí)施風(fēng)險(xiǎn)控制措施時(shí)，應(yīng)兼顧管理與技術(shù)，具體針對(duì)各類風(fēng)險(xiǎn)應(yīng)根據(jù)組織的實(shí)際情況考慮以下十一個(gè)方面的控制：安全方針、組織安全、資產(chǎn)的分類與控制、人員安全、物理與環(huán)境安全、通訊與運(yùn)作管理、訪問控制、系統(tǒng)的開發(fā)與維護(hù)、業(yè)務(wù)持續(xù)性管理、信息安全事件管理、符合性。殘余風(fēng)險(xiǎn)的評(píng)估可以依據(jù)本標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估流程實(shí)施，也可做適當(dāng)裁減。安全措施的選擇與實(shí)施應(yīng)參照國(guó)家和行業(yè)的相關(guān)標(biāo)準(zhǔn)。風(fēng)險(xiǎn)處理計(jì)劃中明確應(yīng)采取的彌補(bǔ)其脆弱性、降低安全事件造成的損失或減少安全事件發(fā)生可能性的新的安全措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。為確保所選擇控制措施的有效性，必要時(shí)可進(jìn)行再評(píng)估，以判斷實(shí)施控制措施后的殘余風(fēng)險(xiǎn)是否是可被接受的。殘余風(fēng)險(xiǎn)的評(píng)價(jià)可以依據(jù)組織風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則進(jìn)行，考慮選擇的控制措施和已有的控制措施對(duì)于威脅發(fā)生的可能性的降低。表格 7 風(fēng)險(xiǎn)圖等級(jí) 標(biāo)識(shí) 描述5 很高一旦發(fā)生將使系統(tǒng)遭受非常嚴(yán)重破壞，組織利益受到非常嚴(yán)重?fù)p失，如嚴(yán)重破壞組織信譽(yù)、嚴(yán)重影響組織業(yè)務(wù)的正常運(yùn)行、經(jīng)濟(jì)損失重大、企業(yè)影響惡劣等4 高 如果發(fā)生將使系統(tǒng)遭受比較嚴(yán)重的破壞，組織利益受到很嚴(yán)重?fù)p失3 中等 發(fā)生后將使系統(tǒng)受到一定的破壞，組織利益受到中等程度的損失2 低 發(fā)生后將使系統(tǒng)受到的破壞程度和利益損失一般1 很低 即使發(fā)生只會(huì)使系統(tǒng)受到較小的破壞32 / 51. 步驟三：選擇控制措施根據(jù)風(fēng)險(xiǎn)分析的結(jié)果，綜合考慮客戶信息系統(tǒng)的實(shí)際情況、成本因素等選擇相應(yīng)的管理或技術(shù)控制手段，并結(jié)合已經(jīng)發(fā)現(xiàn)的業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)，給出整改建議。評(píng)估者也可以根據(jù)被評(píng)估系統(tǒng)的實(shí)際情況自定義風(fēng)險(xiǎn)的等級(jí)。風(fēng)險(xiǎn)等級(jí)建議從1到5劃分為五級(jí)。不同安全事件對(duì)組織造成的影響也是不一樣的，在計(jì)算某個(gè)安全事件的損失時(shí)，應(yīng)將對(duì)組織的影響也考慮在內(nèi)。有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)：1. 計(jì)算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性 = L（威脅出現(xiàn)頻率，脆弱性） = L（Ta ，Vb）在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等） 、脆弱性被利用的難易程度（可訪問時(shí)間、設(shè)計(jì)和操作知識(shí)公開程度等） 、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。根據(jù)計(jì)算出的風(fēng)險(xiǎn)值，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并與客戶共同選擇風(fēng)險(xiǎn)的處置方式和風(fēng)險(xiǎn)的安全控制措施。從上述的定義可以看出，風(fēng)險(xiǎn)評(píng)估的策略是首先選定某項(xiàng)資產(chǎn)、評(píng)估資產(chǎn)價(jià)值、挖掘并評(píng)估資產(chǎn)面臨的威脅、挖掘并評(píng)估資產(chǎn)存在的弱點(diǎn)、評(píng)估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評(píng)估目標(biāo)的風(fēng)險(xiǎn)。29 / 51. 階段 6：風(fēng)險(xiǎn)綜合分析風(fēng)險(xiǎn)是一種潛在可能性，是指某個(gè)威脅利用弱點(diǎn)引起某項(xiàng)資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害。對(duì)于加固后的系統(tǒng)進(jìn)行重復(fù)性的滲透測(cè)試驗(yàn)證，以保障漏洞不可利用性，同時(shí)驗(yàn)證安全加固措施的有效性。重放測(cè)試重放攻擊的威脅在于攻擊者可以偽裝成一個(gè)合法用戶的身份，然后不被察覺的情況下進(jìn)行一些惡意操作。Naughty SOAP 附件本項(xiàng)測(cè)試將檢測(cè)接受附件的 Web 服務(wù)的是否存在漏洞。HTTP GET 參數(shù)/REST 測(cè)試許多 XML 應(yīng)用程序是通過 HTTP GET 查詢傳輸參數(shù)來使用的。XML內(nèi)容級(jí)別測(cè)試內(nèi)容級(jí)別的攻擊對(duì)象是 Web 服務(wù)及其使用的應(yīng)用程序的服務(wù)器，包括 Web 服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用程序服務(wù)器、操作系統(tǒng)等等。XML 解析器通常占用較多的 CPU 資源。當(dāng)服務(wù)器端進(jìn)行 XML 語(yǔ)句分析時(shí)，不合規(guī)格的 XML 將會(huì)出錯(cuò)。Web服務(wù)信息收集進(jìn)行 Web 服務(wù)測(cè)試的第一步是確定 WS 入口點(diǎn)和鏈接圖標(biāo)。OS Commanding本項(xiàng)測(cè)試將設(shè)法通過 HTTP 請(qǐng)求在應(yīng)用程序中注入 OS 命令。成功利用這一類別的漏洞會(huì)導(dǎo)致未授權(quán)用戶訪問或操作數(shù)據(jù)庫(kù)中的數(shù)據(jù)。SQL 注入測(cè)試（Oracle Mysql MsSQL Access）SQL 注入測(cè)試檢測(cè)是否有可能將數(shù)據(jù)注入到應(yīng)用程序中，以便在后端數(shù)據(jù)庫(kù)中執(zhí)行用戶定制的SQL 查詢。27 / 51存儲(chǔ)跨站腳本測(cè)試儲(chǔ)存式跨站腳本（XSS）是一種最危險(xiǎn)的跨站腳本。該攻擊不會(huì)使用存在漏洞的Web 應(yīng)用程序加載，而使用受害者載入的違規(guī)的URI 。授權(quán)測(cè)試權(quán)限提升測(cè)試本項(xiàng)測(cè)試確認(rèn)用戶是否可能采用特權(quán)提升攻擊的方式修改自己在應(yīng)用程序內(nèi)部的特權(quán)或角色。路徑遍歷測(cè)試本項(xiàng)測(cè)試鑒定是否能夠找到一種方法來執(zhí)行路徑遍歷攻擊并獲成功得服務(wù)器返回的信息。CSRF跨站請(qǐng)求偽造測(cè)試跨站偽造請(qǐng)求指在 Web 應(yīng)用中，迫使已通過驗(yàn)證的未知用戶執(zhí)行非法請(qǐng)求的方法。會(huì)話變量泄漏測(cè)試由于會(huì)話驗(yàn)證碼連系了用戶身份和用戶會(huì)話，它所代表的是保密信息。本項(xiàng)測(cè)試將分析應(yīng)用程序在分派 Cookie 時(shí)如何采取必要的防護(hù)措施，以及這些已正確配置的Cookie 屬性。如：對(duì)Cookie 實(shí)行反向工程，通過篡改 Cookies 來劫持會(huì)26 / 51話。用戶注銷緩存漏洞測(cè)試檢查注銷和緩存功能能否得到正確實(shí)現(xiàn)。驗(yàn)證繞過測(cè)試本項(xiàng)測(cè)試嘗試以非常規(guī)的方式企圖繞過身份認(rèn)證機(jī)制，使得應(yīng)用程序資源失去正常的保護(hù)，從而能夠在沒有認(rèn)證的情況下訪問這些受保護(hù)的資源。口令暴力猜解測(cè)試當(dāng)遍歷攻擊失敗，測(cè)試者可嘗試使用暴力破解的方式進(jìn)行驗(yàn)證。這項(xiàng)測(cè)試好于暴力破解，一旦獲取有效的用戶名后，就可針對(duì)性的進(jìn)行密碼攻擊。證書加密通道傳輸安全性測(cè)試本項(xiàng)測(cè)試試圖分析用戶輸入 Web 表單中的數(shù)據(jù)，如為了登錄網(wǎng)站而輸入的登錄憑據(jù)是否使用了安全的傳輸協(xié)議，以免受到攻擊。此項(xiàng)測(cè)試目的是找到管理接口，并檢測(cè)是否可以利用它來獲取管理員權(quán)限。本項(xiàng)測(cè)試驗(yàn)證這些文件是否存在于發(fā)布的 Web 應(yīng)用系統(tǒng)上。舊文件、備份文件、未引用文件測(cè)試Web 服務(wù)器上存在多余的、可讀、可下載的文件，并且用于備份的文件，是信息泄漏的一大源頭。文件擴(kuò)展名處理測(cè)試通過 Web 服務(wù)器或 Web 應(yīng)用程序上的文件擴(kuò)展名能夠識(shí)別出目標(biāo)應(yīng)用程序使用的技術(shù)，例如擴(kuò)展名 JSP 與 ASP。應(yīng)用程序配置信息測(cè)試通常在應(yīng)用程序開發(fā)和配置中會(huì)產(chǎn)生一些沒有考慮到的信息，而這些信息暫時(shí)被發(fā)布后的 Web 應(yīng)用程序所隱藏。配置管理測(cè)試基礎(chǔ)配置信息測(cè)試Web 應(yīng)用基礎(chǔ)架構(gòu)由于其內(nèi)在的復(fù)雜性和關(guān)聯(lián)性，一個(gè)微小的漏洞就可能對(duì)同一服務(wù)器上的另一個(gè)應(yīng)用程序產(chǎn)生嚴(yán)重的威脅，甚至破壞整個(gè)架構(gòu)的安全。如果沒有進(jìn)行安全的配置而使用手動(dòng)或自動(dòng)的技術(shù)進(jìn)行偵聽，偵聽器就可能泄露敏感數(shù)據(jù)以及配置信息或正在運(yùn)行的數(shù)據(jù)庫(kù)實(shí)例信息。本項(xiàng)測(cè)試的模塊為：SSL 版本、算法、密鑰長(zhǎng)度、數(shù)字證書、有效期。SSL/TLS 測(cè)試SSL 和 TLS 是兩個(gè)以加密的方式為傳輸?shù)男畔⑻峁┌踩淼赖膮f(xié)議，具有保護(hù)、加密和身份認(rèn)證的功能。錯(cuò)誤碼等信息能讓測(cè)試者了解應(yīng)用程序使用的有關(guān)技術(shù)和產(chǎn)品。本項(xiàng)測(cè)試對(duì)于發(fā)現(xiàn)細(xì)節(jié)/尋找突破尤為有效，比如發(fā)現(xiàn)用于管理的應(yīng)用腳本，或舊版本的文件/控件，在測(cè)試、開發(fā)或維護(hù)過程中產(chǎn)生的已不用的腳本。獲取運(yùn)行網(wǎng)頁(yè)服務(wù)器的版本，讓測(cè)試人員知道哪些是已知弱點(diǎn)及在測(cè)試時(shí)使用何種方法恰當(dāng)。這部分枚舉完成后，將幫助測(cè)試人員找出在應(yīng)用里面應(yīng)該重點(diǎn)關(guān)注的領(lǐng)域。搜索引擎?zhèn)蓽y(cè)搜索引擎，比如 Google，能夠用來發(fā)現(xiàn)公開發(fā)布的網(wǎng)頁(yè)應(yīng)用結(jié)構(gòu)或者錯(cuò)誤頁(yè)面等相關(guān)問題。本次滲透測(cè)試將參考 OSSTMM 測(cè)試框架中的以下技術(shù)方法：? 信息收集和狀態(tài)評(píng)估? 網(wǎng)絡(luò)節(jié)點(diǎn)枚舉和探測(cè)? 系統(tǒng)服務(wù)和端口掃描驗(yàn)證? 應(yīng)用層測(cè)試? 漏洞挖掘與驗(yàn)證本次滲透測(cè)試將參考 OWASP 2022 最新發(fā)布的十大 Web 應(yīng)用漏洞排名，并使用測(cè)試框架中相應(yīng)的技術(shù)方法：? SQL 注入? 跨站腳本（XSS）22 / 51? 惡意文件執(zhí)行? 不安全的直接對(duì)象引用? 跨站請(qǐng)求偽造（CSRF）? 信息泄漏和錯(cuò)誤處理不當(dāng)? 認(rèn)證和會(huì)話管理失效? 不安全的加密存儲(chǔ)? 不安全的通訊? URL 訪問失效. 滲透測(cè)試試用例庫(kù)為保證滲透測(cè)試內(nèi)容的全面性以及測(cè)試漏洞的深入挖掘，啟明星辰總結(jié)了多年的滲透測(cè)試經(jīng)驗(yàn)與豐富的滲透測(cè)試用例，以下是啟明星辰用于 Web 應(yīng)用層滲透測(cè)試的用例庫(kù)，測(cè)試條目涵蓋了全面/最新的 Web 應(yīng)用層漏洞與測(cè)試方法，將根據(jù)不同應(yīng)用系統(tǒng)的特性進(jìn)行有針對(duì)性的匹配測(cè)試。. 滲透測(cè)試流程滲透測(cè)試流程嚴(yán)格依照下圖執(zhí)行，采用可控制的、非破壞性質(zhì)的滲透測(cè)試，并在執(zhí)行過程中把握好每一個(gè)步驟的信息輸入/輸出，控制好風(fēng)險(xiǎn)，確保對(duì)網(wǎng)絡(luò)不造成破壞性的損害，保證滲透測(cè)試前后信息系統(tǒng)的可用性、可靠性保持一致。接下來盡最大努19 / 51力取得超級(jí)用戶權(quán)限、收集目標(biāo)主機(jī)資料信息，尋求本地權(quán)限提升的機(jī)會(huì)。因此對(duì)于含有動(dòng)態(tài)頁(yè)面的 Web 系統(tǒng)，腳本測(cè)試將是必不可少的一個(gè)環(huán)節(jié)。根據(jù)最新的技術(shù)統(tǒng)計(jì)，腳本安全弱點(diǎn)為當(dāng)前 Web 系統(tǒng)尤其存在動(dòng)態(tài)內(nèi)容的 Web 系統(tǒng)存在的主要比較嚴(yán)重的安全弱點(diǎn)之一。多年的實(shí)踐證明，在經(jīng)過前期的口令猜測(cè)階段獲取的普通賬號(hào)登錄系統(tǒng)之后，對(duì)系統(tǒng)實(shí)施本地溢出攻擊，就能獲取不進(jìn)行主動(dòng)安全防御的系統(tǒng)的控制管理權(quán)限。使用本地溢出的前提是首先要獲得一個(gè)普通用戶的密碼。對(duì)于在防火墻內(nèi)的系統(tǒng)存在同樣的風(fēng)險(xiǎn)，只要對(duì)跨接防火墻內(nèi)外的一臺(tái)主機(jī)攻擊成功，那么通過這臺(tái)主機(jī)對(duì)防火墻內(nèi)的主機(jī)進(jìn)行攻擊就易如反掌。猜解的對(duì)象包括：WEB 登錄口、FTP 端口、數(shù)據(jù)庫(kù)端口、遠(yuǎn)程管理端口等。18 / 51口令猜測(cè)本階段將對(duì)暴露在公網(wǎng)的所有登陸口進(jìn)行口令猜解的測(cè)試，找出各個(gè)系統(tǒng)可能存在的弱口令或易被猜解的口令。端口掃描通過對(duì)目標(biāo)地址的 TCP/UDP 端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測(cè)試的基礎(chǔ)。針對(duì)各應(yīng)用系統(tǒng)的滲透測(cè)試方法包括以下方法但不局限于以下方法：測(cè)試類型測(cè)試描述信息收集信息收集是滲透攻擊的前提，通過信息收集可以有針對(duì)性地制定模擬攻擊測(cè)試計(jì)劃，提高模擬攻擊的成功率，同時(shí)可以有效的降低攻擊測(cè)試對(duì)系統(tǒng)正常運(yùn)行造成的不利影響。. 滲透測(cè)試方法滲透測(cè)試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵需要利用目標(biāo)網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測(cè)試也是同樣的道理。. 已有安全措施識(shí)別在脆弱性識(shí)別中，發(fā)現(xiàn)已經(jīng)實(shí)施的安全脆弱性防護(hù)手段，進(jìn)行整理。安全建設(shè)管理安全建設(shè)管理主要是從安全邊界和定級(jí)、安全方案設(shè)計(jì)、安全產(chǎn)品采購(gòu)和使用、自主研發(fā)環(huán)境安全、外包軟件研發(fā)環(huán)境安全、工程實(shí)施安全、測(cè)試驗(yàn)收、交付、安全服務(wù)商的選擇、安全網(wǎng)絡(luò)定級(jí)備案安全 10 個(gè)方面來進(jìn)行安全建設(shè)的脆弱性發(fā)現(xiàn)識(shí)別。16 / 51安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)的脆弱性識(shí)別要從崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查五個(gè)方面，根據(jù)等級(jí)保護(hù)的安全要求的具體內(nèi)容來進(jìn)行安