xx网站应用渗透测试项目技术方案V2.0.doc

1、密 级：商业秘密 文档编号：XX渗透测试项目技术方案xx 信息技术（北京）股份有限公司2012 年 10 月xx 网站渗透测试项目技术方案 共 33 页 第 2 页目 录1 项目概要 .41.1 项目背景 41.2 项目目标 41.3 项目交付 41.4 项目原则 52 测试过程 .62.1 客户书面授权 62.2 制定实施方案 62.3 风险规避 72.4 信息收集分析 72.5 渗透测试 82.6 取得权限、提升权限 82.7 评估报告 92.7.1 渗透测试报告 92.7.2 整改加固建议 93 网络层渗透测试 .103.1 门户网站 WEB 渗透测试 .103.1.1 渗透测试范围 1

2、03.1.2 渗透测试方法 103.2 系统渗透测试 163.2.1 渗透测试范围 163.2.2 渗透测试方法 163.3 渗透测试风险规避措施 194 项目实施方案 .224.1 项目实施范围 224.2 项目实施阶段 224.3 项目实施计划 234.4 保密控制 244.4.1 保密承诺 244.4.2 场地环境项目期间内的风险保密管理规定 244.4.3 文档材料的风险管理办法 24xx 网站渗透测试项目技术方案 共 33 页 第 3 页4.4.4 离场及项目结束的风险管理办法 254.4.5 例外情况 254.5 项目沟通 254.5.1 日常沟通、记录和备忘录 254.5.2 报

3、告 254.5.3 会议 264.6 质量管理 284.6.1 项目执行人员的质量职责 284.6.2 质量保证过程 294.7 项目人员 305 XX 的优势 315.1 工程经验 315.2 技术积累 315.3 人才优势 316 项目报价 .32xx 网站渗透测试项目技术方案 共 33 页 第 4 页1 项目概要1.1 项目背景Web 应用是网络应用和业务的集成，为所有用户提供方便的信息共享和应用共享。Web 业务平台已经在电子商务、企业信息化中得到广泛的应用，企业都纷纷将应用架设在 Web 平台上，为客户提供更为方便、快捷的服务支持。伴随着这种趋势，入侵者也将注意力从以往对传统网络服务

4、器的攻击逐步转移到了对 Web 业务的攻击上。根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时，数据也显示，三分之二的 Web 站点都相当脆弱和易受攻击。为保障 xx 网站系统对外服务的安全，xx 公司将根据具体需求，采用成熟、规范的测试方法和工具对 xx 的网站应用进行渗透测试评估，以及时发现存在的问题，提出恰当的改进建议，为 xx 网站应用安全提供保障。1.2 项目目标针对本次项目，xx 主要通过渗透测试的方式，发现和总结 xx 网站应用中可能面临的各类安全风险，并提出针对性的安全改进建议。1.3 项目交付通过本次网站应用渗透测试项目，x

5、x 将为 xx 交付以下成果： 网站应用安全渗透测试报告系列报告本报告详细记录本次渗透测试的过程、方法、测试结果及结果分析等内容。 网站应用安全扫描检测报告系列报告本报告主要依据工具扫描的结果对网站系统存在的安全问题予以描述并提出解决建议。xx 网站渗透测试项目技术方案 共 33 页 第 5 页1.4 项目原则xx 在项目实施全过程将遵循以下项目原则：规范性原则：在项目实施过程中，xx 的工作团队采用规范、统一的标准化工作流程和工作方式；项目文档化遵循 xx 的文档规范，文档的设计将依照国际、国内及行业内部的相关成熟标准和最佳实践。可控性原则：项目实施过程中所采用的工具、方法和过程要经 xx

6、的认可，确保项目进度的推进，保证本次项目的可控性。最小影响原则：项目实施应尽可能小地影响系统和网络的正常运行，不能对现有网络的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等)。保密原则：对服务过程中的过程数据和结果数据严格保密，未经授权不泄露给任何单位和个人，不利用此数据进行任何侵害 xx 的行为。xx 网站渗透测试项目技术方案 共 33 页 第 6 页2 测试过程2.1 客户书面授权合法性即客户书面授权委托，并同意实施方案是进行渗透测试的必要条件。渗透测试首先必须将实施方法、实施时间、实施人员等具体的实施方案提交给客户，并得到客户的相应书面委托和授权。本次书面授

7、权应该做到 xx 对渗透测试所有细节和风险都知晓，所有过程都在 xx 的控制下进行。这也是专业渗透测试服务与黑客攻击的本质不同。2.2 制定实施方案实施方案应当由我方与 xx 相关技术人员进行沟通协商。调查了解客户对测试的基本接受情况。内容包括但不限于如下： 目标系统介绍、重点保护对象及特性。 是否允许数据破坏？ 是否允许阻断业务正常运行？ 测试之前是否应当知会相关部门接口人？ 接入方式？外网和内网？ 测试是发现问题就算成功，还是尽可能的发现多的问题？ 渗透过程是否需要考虑社会工程？ 在对客户具体情况充分了解的前提下，制定相应的测试流程，安全评估步骤如下：xx 网站渗透测试项目技术方案 共 3

8、3 页 第 7 页2.3 风险规避 渗透时间和策略为减轻渗透测试对网络和主机的影响，渗透测试时间应尽量安排在业务量不大的时段或晚上。为了防止渗透测试造成网络和主机的业务中断，在渗透测试中不应使用拒绝服务等策略。 系统备份和恢复为了防止在渗透测试过程中出现意外情况，所有评估系统最好在被评估之前做一次完整的系统备份，以便在系统发生灾难后及时恢复。在渗透测试过程中，如果被评估系统没有响应或中断，应立即停止测试工作，与客户人员配合一起分析情况。确定原因后，及时恢复系统，并采取必要的预防措施，确保对系统没有影响，并经客户同意后才可继续进行。 沟通在测试实施过程中，测试人员和客户方人员应当建立直接沟通渠道

9、，并在出现难题的时候保持合理沟通。2.4 信息收集分析信息收集是每一个渗透攻击的前提，通过信息收集可以有针对性的制定模拟攻击测试计划，提高模拟攻击的成功率，同时还可以有效降低攻击测试对系统正常运行的不利影响。 工具收集分析xx 网站渗透测试项目技术方案 共 33 页 第 8 页使用 nslookup.exe，superscan，x-scan，tracert，namp 等探测收集目标主机环境及其所在的网络环境。使用极光、榕基等漏洞扫描器，对目标网络中的主机进行漏洞扫描，并对扫描结果进行分析。使用 ethereal、sniffer pro 等工具嗅探分析目标网络数据和私有协议交互。 手工收集分析对

10、目标主机环境及其所在网络环境，在工具分析基础上进行手工深入分析。判断是否存在远程利用漏洞和可以利用的敏感信息。 其他手段收集分析可以由客户提供一些特定的资料，以便于我们查找漏洞。或者利用社会工程学或木马、间谍软件等收集有用信息。2.5 渗透测试根据客户设备范围和项目时间计划，并结合前一步信息收集得到的设备存活情况、网络拓扑情况以及扫描得到的服务开放情况、漏洞情况制定计划，确定无误后实施。攻击手段大概有以下几种： 主机存在重大安全问题，可以远程获取权限。但是这种可能性不大。 应用系统存在安全问题，如 SSH 系统可能存在溢出、脆弱口令等问题，严重的可以获取系统权限，轻则获取普通控制权限。 网络通

11、信中存在加密薄弱或明文口令。 同网段或信任主机中存在脆弱主机，通过 sniffer 监听目标服务器远程口令。xx 网站渗透测试项目技术方案 共 33 页 第 9 页2.6 取得权限、提升权限通过初步的信息收集分析和攻击，存在两种可能，一种是目标系统存在重大安全弱点，测试可以直接控制目标系统，但是可能性很小；另一种是目标系统没有远程重大的安全弱点，但是可以获得普通用户权限，这时可以通过普通用户权限进一步收集目标系统信息，并努力获取超级用户权限。2.7 评估报告评估结束后根据分析状况,描述弱点，改进建议，措施，解决方案，整理完成渗透测试报告和整改加固建议。2.7.1 渗透测试报告渗透测试报告将会详

12、细的说明渗透测试过程中得到的数据和信息以及弱点。2.7.2 整改加固建议整改加固建议根据渗透测试过程中发现的安全问题提供改进建议。xx 网站渗透测试项目技术方案 共 33 页 第 10 页3 网络层渗透测试本次测试严格按照攻击者的步骤：攻击载体、利用点、入侵手段与方法、造成后果与达到的目的可将典型情况总结，如下图：目的获取经济利益挑战 、 地位政治目的毁灭攻击者专业罪犯恐怖分子黑客间谍破坏者公司入侵者攻击点载体E - M a i lC G I用户命令脚本或程序P i n g 等F O R M利用点配置脆弱点实现脆弱点设计脆弱点后果服务被盗窃信息缺陷信息泄密拒绝服务非授权存取非授权使用文件传输数

13、据进程入侵手段 、 方法注：图中相邻子框按箭头顺序都是一对多的3.1 门户网站 WEB 渗透测试门户网站服务的对象是所有互联网用户，其风险和影响最大，如果出现网站被攻陷或网页被篡改等情况，可能会造成较大的社会或政治影响，因此需要专门针对 xx 的门户网站进行 WEB 渗透测试。3.1.1 渗透测试范围本次 xx 网站应用渗透测试项目实施范围包括 10 个自建网站及 40 个下属单位网站。3.1.2 渗透测试方法WEB 服务器漏洞利用通过被披露的各种服务器操作系统及应用软件（或模块）的安全漏洞，利用这些漏洞及相关工具对 WEB 服务器和网站及其应用进行漏洞利用测试。SQL 注入对网站应用程序的输

14、入数据进行合法性检查，对客户端参数中包含的某些xx 网站渗透测试项目技术方案 共 33 页 第 11 页特殊内容进行不适当的处理，进行预判。SQL 语句注入：通过向提交给应用程序的输入数据中“注入”某些特殊 SQL 语句，最终可能获取、篡改、控制网站服务器端数据库中的内容。 SQL Injection 定义所谓 SQL Injection ，就是通过向有 SQL 查询的 WEB 程序提交一个精心构造的请求，从而突破了最初的 SQL 查询限制，实现了未授权的访问或存取。 SQL Injection 原理随着 WEB 应用的复杂化，多数 WEB 应用都使用数据库作为后台，WEB 程序接受用户参数作

15、为查询条件，即用户可以在某种程度上控制查询的结果，如果 WEB 程序对用户输入过滤的比较少，那么入侵者就可能提交一些特殊的参数，而这些参数可以使该查询语句按照自己的意图来运行，这往往是一些未授权的操作，这样只要组合后的查询语句在语法上没有错误，那么就会被执行。 SQL Injection 危害SQL Injection 的危害主要包括：1露敏感信息2提升 WEB 应用程序权限3操作任意文件4执行任意命令 SQL Injection 技巧利用 SQL Injection 的攻击技巧主要有如下几种：1逻辑组合法：通过组合多种逻辑查询语句，获得所需要的查询结果。2错误信息法：通过精心构造某些查询语句

16、，使数据库运行出错，错误信息中包含了敏感信息。3有限穷举法：通过精心构造查询语句，可以快速穷举出数据库中的任意信息。4移花接木法：利用数据库已有资源，结合其特性立刻获得所xx 网站渗透测试项目技术方案 共 33 页 第 12 页需信息。 预防手段要做到预防 SQL Injection， 数据库管理员（MS SQL Server）应做到：1应用系统使用独立的数据库帐号，并且分配最小的库，表以及字段权限2禁止或删除不必要的存储过程3必须使用的存储过程要分配合理的权限4屏蔽数据库错误信息WEB 程序员则应做到：1对用户输入内容进行过滤（ ， “ - # %09 %20）2对用户输入长度进行限制3注意

17、查询语句书写技巧XSS 跨站脚本攻击通过跨站脚本的方式对门户网站系统进行测试。跨站脚本是一种向其他Web 用户浏览页面插入执行代码的方法。网站服务器端应用程序如果接受客户端提交的表单信息而不加验证审核，攻击者很可能在其中插入可执行脚本的代码，例如 JavaScript、VBScript 等，如果客户端提交的内容不经过滤地返回给任意访问该网站的客户端浏览器，其中嵌入的脚本代码就会以该网站服务器的可信级别被客户端浏览器执行。 漏洞成因是因为 WEB 程序没有对用户提交的变量中的 HTML 代码进行过滤或转换。 漏洞形式这里所说的形式，实际上是指 WEB 输入的形式，主要分为两种：1显示输入2隐式输

18、入xx 网站渗透测试项目技术方案 共 33 页 第 13 页其中显示输入明确要求用户输入数据，而隐式输入则本来并不要求用户输入数据，但是用户却可以通过输入数据来进行干涉。显示输入又可以分为两种：1输入完成立刻输出结果2输入完成先存储在文本文件或数据库中，然后再输出结果注意：后者可能会让你的网站面目全非!而隐式输入除了一些正常的情况外，还可以利用服务器或 WEB 程序处理错误信息的方式来实施。 漏洞危害比较典型的危害包括但不限于：1获取其他用户 Cookie 中的敏感数据2屏蔽页面特定信息3伪造页面信息4拒绝服务攻击5突破外网内网不同安全设置6与其它漏洞结合，修改系统设置，查看系统文件，执行系统

19、命令等7其它一般来说，上面的危害还经常伴随着页面变形的情况。而所谓跨站脚本执行漏洞，也就是通过别人的网站达到攻击的效果，也就是说，这种攻击能在一定程度上隐藏身份。 解决方法要避免受到跨站脚本执行漏洞的攻击，需要程序员和用户两方面共同努力，程序员应过滤或转换用户提交数据中的所有 HTML 代码，并限制用户提交数据的长度；而用户方则不要轻易访问别人提供的链接，并禁止浏览器运行 JavaScript 和 ActiveX 代码。xx 网站渗透测试项目技术方案 共 33 页 第 14 页CRLF 注入CRLF 注入攻击并没有像其它类型的攻击那样著名。但是，当对有安全漏洞的应用程序实施 CRLF 注入攻击

20、时，这种攻击对于攻击者同样有效，并且对用户造成极大的破坏。充分检测应用程序在数据执行操作之前，对任何不符合预期的数据类型的字符过滤是否符合要求。XPath 注入XPath 注入攻击是指利用 XPath 解析器的松散输入和容错特性，能够在 URL、表单或其它信息上附带恶意的 XPath 查询代码，以获得权限信息的访问权并更改这些信息。XPath 注入攻击是针对 Web 服务应用新的攻击方法，它允许攻击者在事先不知道 XPath 查询相关知 识的情况下，通过 XPath 查询得到一个 XML 文档的完整内容。COOKIE 操纵浏览器与服务器之间的会话信息通常存储在 Cookie 或隐藏域中，通过修

21、改这些会话参数，来对控制会话进行测试。参数操控一般发生在数据传输之前，因此 SSL 中的加密保护通常并不能解决这个问题。 Cookie 欺骗：修改或伪造 Cookie，达到入侵目的。Google Hacking使用 google 中的一些语法可以提供给我们更多的 WEB 网站信息，通过在搜索引擎中搜索 WEB 网站可能存在的敏感信息，获取有利用价值的攻击线索，并进行渗透测试攻击。xx 网站渗透测试项目技术方案 共 33 页 第 15 页暴力猜解对于采用口令进行用户认证的应用，将使用工具进行口令猜测以获取用户帐号/密码，口令猜测使用字典攻击和蛮力攻击。木马植入对网站进行信息收集，查找是否存在安全

22、漏洞，是否可以利用漏洞上传一个后门程序以取得 WEBSHELL，修改页面植入木马，对所有访问者进行木马攻击。病毒与木马检查根据本次渗透测试范围要求对系统进行木马检查，检查系统是否感染病毒和木马。此次检测如系统存在病毒或木马，我方将和 xx 程师在第一时间进行彻底的查杀和清除，并将检查结果进行汇总分析，形成报告。病毒木马检查主要内容包括： 启动项分析； 隐藏文件、内核检测； 网络异常连接检测； 恶意文件扫描； 注册表分析； 清除恶意文件； 修复系统； 其他项；溢出攻击通过前期资料收集掌握的网站程序及各种支撑中间件进行分析、总结，利用工具与工程经验结合的方式对网站运营支撑的各种应用程序和中间件进行

23、缓xx 网站渗透测试项目技术方案 共 33 页 第 16 页冲区溢出攻击测试，发现存在溢出的程序，充分保障网站安全运行。后门利用工具对信息系统进行彻底扫描，对异常进程、网络异常连接、异常流量、启动项等进行深入分析，查找系统是否存在后门。欺骗实时监控网络情况，对诸如网络钓鱼和其他虚假网站形成实时跟踪机制，及时发现欺骗行为，通过安全上报机制及时报告并协助加强安全防范。通过搜索引擎对疑似钓鱼网站和错误链接进行风险排查，对重点可疑网站进行深度负面分析。一旦发现有假冒站点出现，便立刻向相关管理机构举报，关闭该虚假站点。通过这种方式，大力防范了钓鱼网站对客户的欺骗和攻击，及时抑制了欺骗对客户利益的损害，为

24、客户打造了安全可靠的互联网环境，有效消除了客户疑虑，大大增强了客户信心。3.2 系统渗透测试采用“黑盒”和“白盒”两种方式对 xx 的系统从应用层、网络层和系统层等方面进行渗透。3.2.1 渗透测试范围本次 xx 网站应用渗透测试项目实施范围包括 10 个自建网站及 40 个下属单位网站。3.2.2 渗透测试方法“黑盒”渗透测试在只了解渗透对象的情况下，从互联网和 xx 下各个安全域接入点位置从xx 网站渗透测试项目技术方案 共 33 页 第 17 页“内” “外”两个方向分别对各个系统进行渗透。通常这类测试的最初信息来自于 DNS、Web、Email 及各种公开对外的服务器。“白盒”渗透测试

25、在黑盒渗透测试完毕后，结合 xx 提供的网络拓扑、IP 地址信息、网络设备和主机设备类型、代码片段等信息，重新制定渗透测试方案，有针对性的对网络和主机设备进行渗透测试。这类测试的主要目的是模拟组织内部雇员的越权操作，和预防万一组织重要信息泄露，网络黑客能利用这些信息对组织构成的危害。已知漏洞攻击通过被披露的操作系统及应用软件（或模块）的安全漏洞，利用这些漏洞及相关工具对网站及其应用进行测试。 针对操作系统已知漏洞的攻击。 针对应用软件（包括 Web 服务器和应用服务器等）已知漏洞的攻击。口令猜解对于采用口令进行用户认证的应用，将使用工具进行口令猜测以获取用户帐号/密码，口令猜测使用字典攻击和蛮

26、力攻击。指令注入对网站应用程序的输入数据进行合法性检查，对客户端参数中包含的某些特殊内容进行不适当的处理，进行预判。具体方法主要为： SQL 语句注入 隐蔽命令执行 遍历目录/文件 缓冲区溢出攻击xx 网站渗透测试项目技术方案 共 33 页 第 18 页异常处理当应用程序中的方法调用出现故障时，应用程序进行哪些操作？显示了多少？是否返回友好的错误信息给最终用户？是否把有价值的异常信息传递回调用者？应用程序的故障是否适当。后门利用工具对信息系统进行彻底扫描，对异常进程、网络异常连接、异常流量、启动项等进行深入分析，查找系统是否存在后门。病毒与木马检查根据本次渗透测试范围要求对系统进行木马检查，检

27、查系统是否感染病毒和木马。此次检测如系统存在病毒或木马，我方将和 xx 程师在第一时间进行彻底的查杀和清除，并将检查结果进行汇总分析，形成报告。病毒木马检查主要内容包括： 启动项分析； 隐藏文件、内核检测； 网络异常连接检测； 恶意文件扫描； 注册表分析； 清除恶意文件； 修复系统； 其他项；溢出攻击通过前期资料收集掌握的系统运行的各种应用程序进行分析、总结，利用工具与工程经验结合的方式对各种应用程序进行缓冲区溢出攻击测试，发现存在溢出的程序，充分信息系统安全运行。xx 网站渗透测试项目技术方案 共 33 页 第 19 页审核及日志记录审核和日志记录指应用程序如何记录与安全相关的事件，确保网站

28、系统日志功能已开启，并被管理员经常审核，许多攻击行为在 Web 系统日志中均能找到一些蛛丝马迹，通过对网站系统日志的审计发现一些潜在的或已实施的攻击行为。3.3 渗透测试风险规避措施渗透测试过程的最大的风险在于测试过程中对业务产生影响，为此我们在本项目采取以下措施来减小风险： 在渗透测试中不使用含有拒绝服务的测试策略。 渗透测试时间尽量安排在业务量不大的时段或者晚上。 在渗透测试过程中如果出现被评估系统没有响应的情况，应当立即停止测试工作，与 xx 相关人员一起分析情况，在确定原因后，并待正确恢复系统，采取必要的预防措施（比如调整测试策略等）之后，才可以继续进行。 xx 测试者会与 xx 系统

29、和安全管理人员保持良好沟通。随时协商解决出现的各种难题。渗透测试部分工具介绍该部分简要介绍渗透测试过程中可能使用到的工具，如果渗透测试中使用到别的工具不再另行说明。信息收集工具Nslookup：用于使用 DNS 查询的手段对被测网段主机进行 DNS 查询，并收集相应的主机名、DNS 名。Whois：进行 NIC 查询工具，了解被测网络的相关信息。xx 网站渗透测试项目技术方案 共 33 页 第 20 页Tracert：进行路由查询，了解路由路径。判断网络链路和防火墙的相关情况。网络扫描工具DUMPSec：枚举 Windows 系统信息，包括用户组、注册表、打印和文件共享等信息。Firewalk

30、：该工具用于检测被测网络边界安全设备、包转发设备的访问控制策略及网络路径等。LANguard Network Scanner：可用于对被测网络的端口进行扫描并探测操作系统指纹，通过 NetBIOS 查询获取主机信息。Nmap：功能强大的开放源代码端口扫描工具，可以通过多种扫描方式对目标系统的开放端口和服务进行扫描。Solarwinds：一套网络管理工具集合，包含了大量的网络管理和信息发现工具。SuperScan：一个图形界面的端口扫描工具，可以快速的对开放端口进行扫描并探测主机存活情况，并带有 DNS 查询功能。漏洞检测工具Nessus：是一个免费的网络安全评估软件，功能强大且更新极快。该系统

31、被设计为客户机/服务器模式，服务器端负责进行安全检查，客户端用来配置管理服务器端。可以对网络和主机存在的安全漏洞进行扫描，检查的结果可以使用 HTML、纯文本、XML、LaTeX 等格式保存。SARA：这是一个免费的网络安全评估软件，可以对网络和主机存在的安全漏洞进行扫描。口令破解工具John the Ripper：主要用于破解 UNIX 系统口令，但是该工具也支持多种HASH 加密的口令破解。xx 网站渗透测试项目技术方案 共 33 页 第 21 页L0pht Crack 用于 Windows NT、2000 和 XP 的口令破解。网络嗅探工具Dsniff：可以收集网络中的机密信息，例如口令

32、、电子邮件等，在渗透测试中，该工具还可用于中间人攻击。Ethereal：可以在网络中被动的收集网络中的传输数据，并支持对数据进行细节分析，了解数据报文内容。无线网络测试工具Kismet：无线网络嗅探工具，支持大量无线网卡。Netstumbler：用于检测网络中存在的无线接入点。WEPCrack：可以支持对 WEP 加密进行破解。其他 WEB 及数据库测试工具包括部分公开及私有的 WEB 及数据库测试工具。xx 网站渗透测试项目技术方案 共 33 页 第 22 页4 项目实施方案4.1 项目实施范围本次 xx 网站应用渗透测试项目实施范围包括 10 个自建网站及 40 个下属单位网站。4.2 项

33、目实施阶段本项目实施总体过程主要划分为以下三个阶段:第一阶段：项目准备阶段此阶段的主要工作是召开项目启动会、深入了解网站结构、对测试报告的结构进行讨论整理，与此同时需要在此阶段完成网站测试过程中出现突发情况的应急预案并对应急预案在测试前进行演练；第二阶段：渗透测试阶段此阶段的主要工作是完成渗透测试的操作工作，包括在测试前备份系统信息和关闭不必要的服务、低级漏洞检测、高级漏洞检测和对潜在的安全隐患进行检测；第三阶段：报告编制阶段此阶段的主要工作是对测试过程中产生的数据和资料进行整理并按照项目准备阶段制定的报告结构来编制测试报告、同时对已经发现的安全隐患出具加固方案，在每一个报告提交之前均需与 x

34、x 方面进行充分讨论和沟通；4.3 项目实施计划项目实施阶段 实施工作内容 实施周期（工作日）项目准备阶段1、 调研核实项目范围；2、 确认项目实施方法；3 天xx 网站渗透测试项目技术方案 共 33 页 第 23 页3、 确定项目成果展现方式；4、 召开项目启动会；5、 签订保密协议渗透测试阶段1、 对网站系统进行工具扫描；2、 对网站系统进行渗透测试；30 天报告编制阶段1、 编制渗透测试报告2、 编制应用扫描报告3、 报告交付并讲解15 天4.4 保密控制为保障 xx 的信息保密工作，通过如下控制措施，加强风险保密工作。4.4.1 保密承诺所有参与 xx 项目的 xx 顾问都要签订保密承

35、诺，并交 xx 统一存档。4.4.2 场地环境项目期间内的风险保密管理规定所有进入 xx 工作场地的实施人员，均应遵守双方协定风险保密规定。确保在场地环境内信息的风险传递。4.4.3 文档材料的风险管理办法对需要 xx 提供的文档资料，xx 提交文档调用单给 xx 接口人，在调用单规定期限内，xx 方应当提供要求的文档资料。文档调用单上，明确文档申请人，文档使用人员等涉及此文档的人员。对纸质文档，统一保管在指定的文件柜里。使用完后返还给 xx 提供方，并填写文档调用单的交回部分。对电子文档，传递通过 xx 方接口人指定的 U 盘，保存在文档申请人及xx 网站渗透测试项目技术方案 共 33 页

36、第 24 页使用人员的笔记本上，或指定的计算机上。项目组笔记本电脑的应设风险级别高的口令。4.4.4 离场及项目结束的风险管理办法xx 项目组在项目离场时，笔记本交由 xx 专人清理后方可带出。所有本地提供的纸质文档，在项目结束的事后，都要返给 xx 提供方，并填写文档调用单的交回部分。4.4.5 例外情况遇到未列明的涉及保密方面的例外情况，双方就个案单独洽谈，由项目领导小组签字确认。4.5 项目沟通在本项目中，将采用一些正规的项目沟通程序，保证参与项目的各方能够保持对项目的了解和支持。这些管理和沟通措施将对项目过程的质量和结果的质量具有重要的作用。4.5.1 日常沟通、记录和备忘录鼓励项目参

37、加各方在项目进行过程中随时对相关问题进行沟通。所有重要的、有主题的日常沟通活动都应留下记录或形成备忘录。日常沟通的主要渠道包括： 非正式会议; 电话; 电子邮件; 传真等。xx 网站渗透测试项目技术方案 共 33 页 第 25 页4.5.2 报告各种报告是项目各方互相沟通的最正式的渠道和证据。一些必备的项目报告包括： 项目计划和进展报告； 项目总结报告； 以及在各个阶段输出的项目成果文本等。4.5.3 会议会议是项目管理活动的重要形式，是项目各方进行正式沟通的渠道。4.4.3.1 项目启动会议项目启动会议是项目正式启动和开始的标志，项目启动会议之后，项目正式开始，项目组从此进入了项目状态。此会

38、议的主要工作是宣告项目正式开始，各方的领导阐明对项目的期望和支持，各方就项目组的组织架构和工作计划进行沟通和确认，此会议对项目的后期发展方向非常重要。参加人员： xx 领导和项目组成员 xx 公司相关领导和项目成员。过程描述：项目启动会议的主要包括如下内容： 介绍项目组织架构和成员 xx 相关领导讲话，阐明对项目的期望和支持 xx 公司的相关领导讲话，阐明对项目的重视和支持 沟通并重复确认项目实施计划输出成果：xx 网站应用渗透测试项目启动会议纪要此文件将记录和描述在项目启动会议中参加各方和相关人员的情况，作xx 网站渗透测试项目技术方案 共 33 页 第 26 页为项目启动的和进展的重要证据

39、。4.4.3.2 周例会 Weekly Meeting为确保项目正常进行，项目管理组长每 1 周举行一次项目例会，汇报项目进展状况、出现的问题和本周的工作计划。输入： 项目进展状况信息过程描述：参加人员主要是各方的项目经理，可以根据情况邀请其他项目成员参加。会议可以是正式的面对面会议，也可以是电话会议、网络会议等形式。此例会每周召开一次，主要内容： 项目完成情况汇报，每日主要工作成果汇报； 存在的问题及解决办法分析； 本周的工作计划； 对可能的配置管理和变更控制签署相应的文件。输出成果：xx 网站应用渗透测试项目实施进展该报告将描述本项目在各个阶段进展的具体情况，使得项目的各方对项目的进度有全

40、面的了解，促进各方对项目的支持和投入。4.4.3.3 项目阶段工作会议在每个项目阶段结束时，都会召开一个正式的项目阶段工作会议。该会议对前一个阶段进行总结，对下一个阶段进行计划确认和沟通。输入： 项目进展状况信息过程描述：参加人员主要是各方的项目经理，可以根据情况邀请其他项目成员参加。会议是正式的面对面会议。主要内容：xx 网站渗透测试项目技术方案 共 33 页 第 27 页 项目完成情况汇报； 阶段工作成果评审 存在的问题及解决办法分析 对可能的配置管理和变更控制签署相应的文件 下阶段的工作计划确认和沟通输出成果： xx 网站应用渗透测试项目进展报告 项目阶段工作评审意见； 可能的变更文件。

41、其中，xx 网站应用渗透测试项目进展报告将描述本项目在各个阶段进展的具体情况，使得项目的各方对项目的进度有全面的了解，促进各方对项目的支持和投入。4.4.3.4 项目评审会议在项目的具体工作全部结束后，项目管理组完成内部评审，达成一致，会安排项目的相关各方参加对整个项目的成果和过程的正式评审工作。输入： 最终成果和输出报告。过程描述参加人员主要是各方的项目经理、相关领导、项目组主要成员，xx 邀请的其他专家等，会议是正式的面对面会议。主要内容： 最终成果和输出报告讲解和汇报 项目工作成果评审意见输出xx 网站应用渗透测试项目评审意见该文档描述 xx 的项目评审意见和评价，标志着项目最终评审通过

42、。xx 网站渗透测试项目技术方案 共 33 页 第 28 页4.6 质量管理xx 在项目管理中非常重视项目质量管理、保证，坚决贯彻 ISO-9000 系列质量管理标准。4.6.1 项目执行人员的质量职责项目经理负责贯彻公司质量方针、目标，执行质量体系文件的各项有关规定和要求，确保评估工作始终处于受控状态；积极运用优化技术和可靠性、可维护性、安全性等评估技术，确保评估满足质量要求。4.6.2 质量保证过程 技术操作过程审计为确保安全服务的过程与预先定义的项目方案和技术规范是一致的，在项目实施过程中要求全程审计，通过对操作记录的审查发现实施过程与标准的偏离。 服务结果的质量保证在项目后期，我们根据

43、质量保障要求对服务结果进行评价验收。项目结果的评价的标准参考验收标准。在本项目的项目准备阶段，xx 将和 xx 共同确定服务结果的评价验收过程和详细计划。 项目过程质量保证在服务项目的每个阶段，我们也依据一定流程进行质量保证活动。通过项目过程中的质量保证活动来增进服务结果的质量。主要包括如下内容： 内部反馈过程内部反馈过程是我们进行质量保障的重要制度保证，通过项目组成员提出改进建议并通过项目经理和项目成员的配合下对服务质量和过程质量进行控制。 质量改进过程质量改进过程是为了不断改进质量而提出的可计划和可执行的特定行为，xx 网站渗透测试项目技术方案 共 33 页 第 29 页标明在工程过程中危

44、及服务质量和过程质量的特定方面，并最小化冗余和墨守成规的系统。 改进需求检测最后，xx 通过维持持续的改进需求检测过程来保证质量的持续改进，保证对改进需求的版本控制，跟踪。如：服务改进需求、过程改进需求、审计过程和故障报告。4.7 项目人员xx 设有攻防实验室，实验室人员均为具有多年从业经验和专业资质的安全专家。xx 攻防实验室成员 12 人，通过本次项目需求和渗透测试方向，选择以张宇星为组长的 5 人作为本次项目实施人员。其中张宇星个人能力和项目经验如下：个人能力和特长1 熟悉入侵者和网络攻击技术和技巧。2 熟练掌握常用安全检测工具。3 对主流操作系统和网络应用的漏洞和弱点有深入了解和研究。

45、4 熟悉网络通讯原理。个人特长：精通 WEB 应用安全漏洞，了解各类安全产品的特点，熟悉各种网络安全技术和入侵者攻防技术，有丰富的病毒编制与攻防实战经验。渗透测试经验项目经验 建设银行安全风险评估和加固项目负责：渗透测试。针对网站发现 URL 地址审核不严格，可以直接修改URL 数据，然后重新提交。发现网站注入地址，使用数据库中的存储过程，直接在 URL 地址栏输入可修改和删除数据等。成功发现网站 4 个注入点并注入成功。 教育部安全服务项目负责：渗透测试和应用安全评估。针对内部互联网应用，发现若干编码xx 网站渗透测试项目技术方案 共 33 页 第 30 页问题导致的应用注入点，成功获取应用后台系统权限。 某运营商互联网应用渗透测试负责：彩信平台等业务系统渗透测试，发现业务越权访问和代码问题。