2024年3月25日发(作者:)

技术能力现状评估

安全扫描

利用扫描工具,检查网络设备、应用服务器,主机系统和防火墙等关键设备

和系统的弱点,从而识别能被入侵者用来非法进入网络、系统的漏洞。形成网络、

各类系统的扫描评估报告,提交检测到的漏洞信息详细描述和相应解决方案。

扫描内容至少包括:

Ø 是否能够获得目标系统的指纹信息;

Ø 系统开放的端口号;

Ø 系统中存在的安全漏洞;

Ø 是否存在弱口令;

Ø 是否存在其它可被利用高危漏洞

1、客户配合工作

漏洞扫描需要客户配合的事项如下:

1) 提供被评估资产的列表,至少标明IP 地址和双机热备的主机

2) 与易聆科公司协商确认漏洞扫描实施时间

3) 提供漏洞扫描工作环境,包括可容纳实施漏洞扫描工作人员的办公位,用于

实施扫描的工作用机,并提供网络接口

4) 根据双方协商结果,确定配合漏洞扫描的人员

5) 进行漏洞扫描之前对重要数据进行备份

2、漏洞扫描软件介绍

安全扫描主要有两种工具(可选其中一种工具进行安全扫描):

1) 商业工具:

主要采用启明星辰公司的天境漏洞扫描系统,天境漏洞扫系统是专业扫描工具,

不需要客户方提供任何软硬件环境,只需为扫描设备分配一个可ping通目标主

机的IP地址,天境漏洞扫描器的特点是速率快、精度准确,尤其在进行大面积

主机扫描时特别有效。

2) 软件工具:

软件工具采用世界著名系统弱点扫描与分析软件NESSUS,该软件提供完整的主

机漏洞扫描服务, 并随时更新其漏洞数据库; 可同时在本机或远端上摇控, 进

行系统的漏洞分析扫描,用软件工具进行安全扫描需客户方提供一台主机设备用

于安装扫描环境。

3、漏洞扫描实施安排

1) 漏洞扫描范围确认

根据客户网络实际情况和客户提供的资产列表,结合客户的业户情况,双方协商

确定扫描实施的IP 范围。扫描前的对网络情况的统计,确定需要扫描的IP地

址段以及网络带宽情况。

2) 漏洞扫描日程安排

因为进行内网漏洞扫描时对系统及整个网络环境的影响较大,结合实际情况,需

要在网络及服务器较空闲的时间进行,安全扫描实施非业务繁忙时间段进行。

4、漏洞扫描交付物

《信息系统漏洞扫描方案》

《信息系统漏洞扫描结果及分析报告》

渗透测试

渗透测试是指安全工程师尽可能地模拟黑客使用的漏洞技术与攻击手段,

对目标网络、系统、主机及应用的安全性进行深入的探测,发现系统最脆弱的

环节的过程,渗透测试能够直接地让管理人员知道自己的网络所面临的问题。

渗透测试首选必须事前将实施方法、实施时间、实施人员、实施工具等具

体的实施方法提交给被测试方,并得到被测试方的相应书面委托和授权,做到

被测试方对渗透测试的所有细节和风险的知晓,所有过程都在客户的控制下进

行,以避免渗透测试操作对客户业务的正常运行造成负面影响。

本次项目的渗透测试主要针对广东移动惠州分公司公司的互联网应用系

统,包括官方网站、SSLVPN业务、互联网代理业务,使用户清晰了解目前网络

的脆弱性,可能造成的影响,以便采取必要的防范措施。

渗透测试流程

渗透测试服务流程如下:

1、确定实施方案

确定渗透测试内容,如:目标主机IP、域名等。

确定渗透测试时间段(一般在非业务时间段进行)

2、系统备份

目标系统备份

3、渗透测试实施

渗透测试实施主要使用黑客工具结合手工进行入侵渗透测方式进行,测试手

段包含系统服务探测,缓冲区溢出、弱口令穷举、SQL注入、XSS跨站脚本攻击

等,对目标系统进行入侵渗透。

4、编写渗透测试报告

渗透测试报告主要是展示测试工程师在渗透测试中获得系统的弱点信息及弱

点分析,将入侵渗透的思路及风险分析建议展示给客户。

渗透测试实施流程图如下:

客户配合工作

由于渗透测试采用的黑盒手段为主的方式,不需要客户给予更多资源配合,

渗透将模拟外部黑客的攻击手段和方式,对广东移动惠州分公司对外的网站等进

行测试评估,确保其健康程度和后期加固的主要方式

技术手段介绍

基础信息收集

•ping目标网络得到IP地址等信息

•tcptraceroute和teaceroute的结果

•whois结果

•netcraft获取目标可能存在的域名、Web及服务器信息

•curl获取目标web基本信息

•nmap对网站进行端口扫描并判断操作系统类型

•google、yahoo、baidu等搜索引擎获取目标信息

•ip866或者其它网站获取目标信息

•利用hping3(需编译,Linux,应该有Win版)等工具进行防火墙规则探测

•人工分析所有收集结果,将有用的信息结进行整理,归类

常规交叉扫描

•Nessus结合X-Scan等扫描工具进行漏洞交叉扫描

•采用AppScan、WebInspect 7.7、JSky和WVS对Web类型的目标进行交叉扫描

•采用如AppDetectiv之类的商用软件对数据库进行扫描分析

•人工分析所有扫描结果,将有用的信息结进行整理,归类

Web和数据库应用分析

•用Ethereal、CommView、Cain抓包协助分析

•用Webscan、fuzzer、啊D、Pangolin等进行SQL注入和XSS漏洞初步分析

•手工检测SQL注入和XSS漏洞及其所有漏洞

•采用类似OScanner的工具对数据库进行分析

•其它特定的信息分析

•人工分析所有结果,将有用的信息结进行整理,归类

系统应用分析

•检查OWASP TOP10中描述的各种问题

•检查应用系统构架、防止用户绕过系统直接修改数据库

•检查身份认证模块,防止非法用户绕过身份认证

•检查数据库接口模块,防止用户获取系统权限

•检查文件接口模块,防止用户获取系统文件

•检查其它安全威胁

渗透测试交付物

《信息系统渗透测试实施方案》

《信息系统渗透测试报告及整改建议》

《信息系统渗透测试二次评估报告》