某市教育系统网络安全服务方案
2020年
目录
1项目背景介绍 ............................................................................................................... - 3 -2面临问题分析 ............................................................................................................... - 3 -
2.1Web系统面临的安全问题............................................................................ - 4 -
2.2检测手段单一的问题 .................................................................................... - 4 -
2.3人员技能、数量严重不对等的问题 ............................................................ - 5 -
2.4如何满足合规要求的问题 ............................................................................ - 5 -3安全需求分析 ............................................................................................................... - 5 -
3.1安全监管与合规要求 .................................................................................... - 5 -
3.2安全持续检测要求 ........................................................................................ - 8 -
3.3下校合规检查需求 ........................................................................................ - 9 -
3.4网络安全意识培训需求 ................................................................................ - 9 -4方案总体设计 ............................................................................................................... - 9 -
4.1方案思路与依据 ............................................................................................ - 9 -
4.2方案主要服务内容 ...................................................................................... - 10 -5安全服务方案 ............................................................................................................. - 12 -
5.1漏洞扫描服务 .............................................................................................. - 12 -
5.2渗透测试服务 .............................................................................................. - 16 -
5.3日常下校检查服务 ...................................................................................... - 22 -
5.4网络安全意识而培训 .................................................................................. - 22 -
5.5网站日常安全监控服务 .............................................................................. - 23 -
5.6技术支持服务 .............................................................................................. - 23 -6方案技术优势 ............................................................................................................. - 24 -
6.1领先的平台架构 .......................................................................................... - 24 -
6.2国家级数据支撑 .......................................................................................... - 27 -
6.3专业团队化支撑 .......................................................................................... - 27 -7项目预期效果 ............................................................................................................. - 29 -8安全服务报价 ............................................................................................................. - 29 -9服务质量保障 ............................................................................................................. - 30 -
9.1项目范围管理 .............................................................................................. - 30 -
9.2项目沟通管理 .............................................................................................. - 32 -
9.3项目进度管理 .............................................................................................. - 34 -
9.4项目风险管理 .............................................................................................. - 38 -
9.5项目质量管理 .............................................................................................. - 42 -
9.6项目会议管理 .............................................................................................. - 46 -
9.7项目文档管理 .............................................................................................. - 47 -
9.8安全保密管理 .............................................................................................. - 49 -
1项目背景介绍
为进一步加强某市教育局信息安全管理工作,根据国家、省、市、区关于信息安全的相关要求,拟通过公开招投标的方式引进安全服务商,对市教育局、各区教育局、教育直属单位、直属中小学的信息系统定期开展全面的安全检查工作,及时掌握教育信息系统安全状况,认真查找隐患,整改安全漏洞,完善安全措施,提高应急处置能力。
随着各教育信息系统所运行业务的重要性逐渐增加,以及其公众性质使其越来越成为攻击和威胁的主要目标,特别是所面临的WEB应用安全问题越来越复杂。一方面某市教育局管理者无法及时掌握教育信息系统安全状况成为后续采取安全措施的一大盲区;另一方面安全威胁的飞速增长,尤其混合威胁的风险,如网页篡改、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、WEB应用安全漏洞利用等。
近年来,国家信息安全漏洞共享平台(CNVD)所收录的安全漏洞数量持续走高。涉及教育行业的高危漏洞事件持续增多,修复进度未跟上步伐。教育信息系统的漏洞修复率也远远低于国际平均水平,修复事件过长、修复程度较低给了攻击者大量的可乘之机,部分通报漏洞未及时修补,为相关系统带来严重安全隐患。
为及时发现教育信息系统的安全问题,消除安全隐患,某市教育局需要专业的第三方专业化的安全服务,及时掌握教育信息系统安全状况,主动发现系统中存在的安全隐患,督促整改,提高应急处置能力。
2面临问题分析
WEB应用的发展,使WEB系统发挥了越来越重要的作用,大部分教育信息系统提供WEB服务。与此同时,越来越多的WEB系统也因为存在安全隐患而频繁遭受到各种攻击,导致业务中断无法提供服务、管理员访问权限被获取、信息泄露
或被非法篡改,最终会给更多访问者造成伤害,带来严重损失。甚至被敌对国家、反动势力利用,发布反动言论、干涉国家、破坏关键基础设施,危害国家政治、经济、文化安全。据统计,信息安全攻击中将近80%都发生在WEB应用层而非网络层上,因此,WEB系统的安全性已经提升到一个空前的高度。
随着WEB应用技术的深入普及,WEB应用程序漏洞发掘和攻击速度越来越块,基于WEB漏洞的攻击更容易被利用,已经成为黑客首选。据统计,现在对教育信息系统成功的攻击中,超过7成都是基于WEB应用层,而非网络层。前不久OWASP (Open Web Application Security Project)机构发布了最新的《OWASP Top 10 Application Security Risks》,注入攻击(Injection)、跨站脚本攻击(Cross Site Scripting)仍旧排名前两位,是目前存在最为普遍、利用最为广泛、造成危害最为严重的WEB安全威胁。
2.1W eb系统面临的安全问题
WEB系统安全形势堪忧,究其原因,主要是因为存在以下几个方面的问题:
1)Web系统规模庞大,管理分散,资产不清;
2)设计阶段只关注应用,未关注代码安全,缺少有效的脆弱性检测;
3)教育信息系统因DDOS攻击等行为造成页面无法访问,造成业务中断;
4)WEB系统防御措施滞后,系统遭入侵,数据泄密,页面被篡改;
5)黑客入侵后,缺少有效的发现机制,受到持续的危害;
6)发现安全问题不能彻底解决,人员技术能力不足。
2.2检测手段单一的问题
目前各教育信息系统已经建立了防护体系,具备一定的安全防护能力,但在检测手段上普遍依赖于一、两款扫描工具或服务厂商,对检测结果或服务成果缺少行之有效的验证方法。同时,面对频发的最新漏洞和攻击手段,缺少持续性的检测机制,无法持续性评估教育信息系统的安全性。
2.3人员技能、数量严重不对等的问题
对教育信息系统的一次攻击,可能由一群分工专业、严密协调的黑客进行,面对这样的情况,各教育单位的网络安全人员也显得孤掌难鸣,技能不足。进而导致事件发现和响应处置延误,从而造成攻击损失。需注重安全团队能力建设,并采用第三方专业的安全服务。
2.4如何满足合规要求的问题
近年来,从国家层面先后多次发文,针对教育信息系统安全相关的监管、防护、通报、预警等等提出细化要求。从各部门发文来看,从过去的"防护"为核心向两个方向转移,一个方向是向前,强调风险管理和威胁预警,尽量降低教育信息系统被攻击的可能性。一个方向是向后,及强调对于攻击事件的及时发现和快速响应能力,尽量降低攻击造成的影响。主要内容包括:
加强教育信息系统安全监测、测评和检查,查找教育信息系统安全隐患并及时整改。
涉及重点合规要求如下各个文档所述:
●《网络安全法》
●中网办发文[2014]1号文
●公信安“2562”号文要求
●《2016年教育信息化工作要点》
●《2017年教育信息化工作要求》
3安全需求分析
3.1安全监管与合规要求
随着校方信息化建设越来越完善,教育信息系统部署在不同区域,一直以来都无法完成统一的监管。没有安全大数据支持下的传统监管方式无法实现多维度
的监测,只能在教育信息系统本地部署设备,通过设备单一的监测教育信息系统的漏洞状况,对于教育信息系统的整体安全状况无法把控,一旦涉及到多厂商、多产品的部署,统一管理的难度又加大不少,一直也没有更好的办法解决。随着安全大数据、云计算的发展,通过云端监测可以实现跨区域教育信息系统统一安全监测和管理。
2016年、2017年的教育信息化工作要点都明确提出了对于教育信息系统的监管要求。
3.1.1网络安全法要求
第三章第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
这条将等级保护制度提升到法律层面,而等级保护制度需要保护的系统基于Web的居多。
第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的与性能,并保证安全技术措施同步规划、同步建设、同步使用。
为了保障教育信息系统系统的安全,在系统的规划阶段就要开始介入,也就是说从编码规范、源代码审计开始。
第四十条:网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
而这类的保护在WEB系统上来说,就需要有相应的安全防护措施。
第五十二条:负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
这条主要是各行业,包括教育行业需要建立监测预警、应急处置等措施或机制,而这离不开对教育信息系统群的统一监测、统一管理。
3.1.22016年教育信息化工作要点
教育部办公厅印发的《2016年教育信息化工作要点》,该通知对教育信息系统安全管理作出如下要求:
1、加强教育行业信息系统(教育信息系统)安全防护。
落实《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》(以下简称《工作通知》)基本完成教育行业信息系统(教育信息系统)的定级备案和第三级及以上信息系统(教育信息系统)的测评整改。
《工作通知》主要有如下要求:
入侵防范:应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后面攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
恶意代码防护:应在网络边界处对恶意代码进行检测和清除;应维护恶意代码库的升级和检测系统的更新。
资源控制:部署应用安全管理系统进行资源监控;部署应用安全管理系统进行资源监控、检测报警;三级要求通过安全加固,对重要服务器进行监控,包括监视服务器的CPU、硬盘等资源的使用情况,对服务器相关阀值进行检测告警。:
2、提升教育行业信息技术安全保障能力。
里面主要包含要建立健全的信息技术安全通报机制和加强对信息系统(教育信息系统)的监测和预警能力。
3.1.32017年教育信息化工作要点
教育部办公厅印发的《2017年教育信息化工作要点》,该通知对教育信息系统安全管理作出如下要求:
1、堵塞信息系统(教育信息系统)安全漏洞,提高信息系统(教育信息系统)的安全防护能力。
●要求提升教育信息系统的漏洞发现与防范能力。
2、进一步加强信息系统(教育信息系统)安全监测,加强与网络安全职能部门、专业机构、高校组织和学校的合作,形成安全威胁信息共享机制,通过实时通报、限期整改、跟踪核查,确保安全威胁修复。
●为了加强教育信息系统安全监测需要与各方面加强合作,形成一个教育
行业的安全生态圈,形成安全威胁信息共享机制。
3.2安全持续检测要求
学校在监测设备发现问题后,由于缺少整体的安全闭环处理通报机制,无法做到快速同步到人,也缺少问题修复人员与教育信息系统管理者之间的沟通桥梁,尤其在运维过程中,脱节的安全管理使得问题发现越来慢,安全加固越来越困难。校方需要一套基于事前感知/预警、事中监测/防御、事后响应/处置的教育信息系统安全闭环处理机制。
支撑WEB系统的业务结构可以简要概况为网络层、系统层、中间件层以应用层四个部分。各层级内均有特定的安全威胁,其根源为软件漏洞。因此整体漏洞很难控制,需要更加多样的手段发现隐藏的漏洞,另一方面,现有系统的补丁管理缺乏有效的检测及修补手段,使得漏洞空窗期不断增加,危害系统安全。除此之外,软件漏洞还可能发生在运维和上线阶段,配置不当引起的安全问题同样需要引起重视。
3.2.1周期的安全检测
利用漏洞扫描器对校方基础环境进行两次漏洞扫描,扫描范围包括:业务应用、主机、数据库等,扫描完成后出具漏洞扫描报告及分析。并按需提供不定期安全扫描。
3.2.2漏洞发现和管理
现有的漏洞检测和发现,一般有两种方式:一种方式是通过传统扫描器,知悉一级域名之后通过爬虫的方式对整个教育信息系统进行检查。另一种传统的漏洞检测方式为渗透测试服务,该服务主要依托于专业的安全服务公司,以人工检查的方式进行。主要测试方法包括:信息收集、端口扫描、远程益处、口令猜测、本地溢出、校方端攻击、中间人攻击、web脚本渗透、B/S或C/S应用程序测试等,使用工具和漏洞均为厂商自主知识产权安全工具。
3.3下校合规检查需求
除了针对线上业务系统的安全检查工作外,需配合教育局到下级学校进行检查,通过等保检查工具箱等检查配套工具,检查各学校等保要求的落实情况,督促各校方定级备案、整改,满足包括等保在内的法律法规要求。
3.4网络安全意识培训需求
组织并针对各学校单位负责人进行网络安全意识培训,通过网络安全意识培训加强各学校单位负责人的网络安全防范意识与技术能力,加强网络安全人才培养。
4方案总体设计
4.1方案思路与依据
4.1.1方案思路
针对各教育信息系统,单纯的商业安全保护难以面对国家级的攻击对抗,防护模式将由商业级安全防护转变为国家级安全防护。新的信息安全理论由被动安全走向主动安全,由局部监测走向全网实时监测,并加快走向“基于攻击环境下的主动防御”综合体系模式,而在商业模式上则体现为平台与服务厂商聚合化。
本次安全服务主要依托中国电子国家级企业平台——在线安全服务平台、权威的国家级数据来源及第三方商业化威胁情报数据、整合业界最先进的专业安全
产品、凭借经验丰富的专家团队与成熟的服务管理体系,提供最全面的检测结果。公司通过多个层面协同联动配合,采用云计算、大数据等技术,利用集约化手段,通过提供线上安全服务的模式,在远程、零部署的基础上,聚合业内最强安全检测能力。并结合线下检查等方式定期开展全面的安全检查工作,及时掌握教育信息系统安全状况,认真查找隐患,整改安全漏洞,完善安全措施,提高应急处置能力。
4.1.2设计依据
该项目所遵循和参考的法律法规及技术标准、规范,如下:
●《中华人民共和国网络安全法》
●《“十三五”国家信息化规划》
●《国家网络空间安全战略》
●《国家网络安全事件应急预案》
●《关键信息基础设施安全保护条例(征求意见稿)》
●《信息安全技术_网络安全等级保护基本要求》(GBT 22239-2019)
●《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)
●《信息安全技术网络安全等级保护安全设计技术要求》(GBT
25070-2019)
●BS 7799(ISO/IEC 17799)
●SSE-CMM
●ISO/IEC 15408(GB/T18336)
●ISO/IEC 13335
4.2方案主要服务内容
4.2.1解决漏洞与隐患发现问题
对于教育信息系统而言,只有教育信息系统保护技术或管理资产的流程存在“漏洞”,“威胁”才能够得以实施,因此“漏洞”就成了态势感知教育信息系统威胁中的重点。对于教育信息系统系统而言,“漏洞”似乎永远都是存在的。对漏洞的检测和管理不仅要考虑到系统运行过程中,更要防患于未然,在系统上线前的阶段,就应当全面的度量系统存在的安全隐患,源码存在的缺陷、系统存
在的漏洞等等。通过多样化的检测手段,提供相应的整改建议方案,周期性的对系统中存在的漏洞进行监测,及时进行漏洞的修复,将风险降低到最小,实现更为主动的安全防御。
通过周期的安全漏洞扫描服务,利用聚合漏洞平台,采用多款商业化扫
描工具对校方基础环境进行两次漏洞扫描,扫描范围包括:服务器操作
系统、中间件、数据库软件、网络设备、安全设备,扫描完成后出具漏
洞扫描报告及分析。
通过渗透测试服务,对教育信息系统进行全方位的漏洞检测,主动发现
系统存在的安全隐患,并提供详实的修复方案,进行通报预警工作。解
决用户对教育信息系统检测手段单一、误报多的问题,目前安全检查工
作,普遍依赖一、两款扫描工具或服务厂商,对检测结果或服务成果缺
少行之有效的验证方法。
4.2.2解决漏洞生命周期管理问题
需要对系统的安全状态进行主动检测,一旦发现安全事件,及时通报预警,避免影响进一步扩大,并能对漏洞的修复进行复测,确保有效解决安全隐患。
主动对告警进行人工审核,将判断存在安全风险的告警通过手机APP、
邮件、短信或电话的方式通知校方。
对漏洞的修复进度进行跟踪,在用户确认修复后,对修复效果进行验证,确保每个漏洞被彻底修复,并进行周期性的检测,应对新漏洞的出现,
解决漏洞生命周期的管理问题。
4.2.3落实等保合规检查
除了针对线上业务系统的安全漏洞检查以及渗透测试工作外,按照教育局指定要求,配合教育局到下级学校进行检查,通过等保检查工具箱等检查配套工具,检查各学校等保要求的落实情况,督促各校方定级备案、整改,满足包括等保在内的法律法规要求。
4.2.4落实网络安全意识培训
组织并针对各学校单位负责人进行网络安全意识培训,通过网络安全意识培训加强各学校单位负责人的网络安全防范意识与技术能力,加强网络安全人才培养。提升用户在信息安全实践当中“人”这个决定因素的关键作用,为有效的信息安全提供保障。
5安全服务方案
5.1漏洞扫描服务
5.1.1服务介绍
针对目前已有的业务应用、主机、数据库等进行安全扫描,并对扫描结果进行人工验证,提供定期扫描服务(总数约200个系统,其中包括扫描、验证、复测等),并提供不低于50次的不定期扫描服务,扫描完成后出具漏洞扫描报告及分析。
漏洞检测服务能够远程检测ASP、PHP、JSP等各种脚本页面和SQL Server、Mysql、Oracle等类型数据库的SQL注入、跨站攻击、Web服务器配置缺陷等安全问题。通过自动化验证、人工验证,帮助用户主动发现教育信息系统存在的安全漏洞以及安全隐患,并提出解决建议、出具检测报告。
漏洞检测服务聚合业界主流的知名远程在线扫描引擎、漏洞分析引擎、漏洞验证引擎,结合Web应用安全专家人工分析技术协助用户实现从漏洞检测、风险发现、漏洞验证、安全预警到安全整改后的复测的安全闭环管理。
该服务通过统一的平台资源调度,确保服务对象经过多维度的全面检测,避免单一扫描器的漏报与误报,同时对扫描结果进行风险归一、漏洞归一、等级归一,确保服务输出结果的完整性与一致性。并可通过服务对象及服务类别,自动分配服务所需的服务资源,确保各阶段服务高效运行
5.1.2服务内容
5.1.2.1自动化扫描
该服务平台可根据扫描对象,统一调度与分配扫描器资源,对服务对象进行自动化扫描。扫描范围全面支持WASC分类的25种应用漏洞的自动化扫描,及OWASP的10大应用程序安全风险。其中OWASP TOP 10如下图所示:备注:其中不足的日志记录和监控,可通过用户访谈及代码审计服务发现。
常用扫描策略如下:
代码安全
如:SQL盲注、Cookie注入、源代码泄露、XSS、目录遍历等
信息安全
如:WEB应用程序错误、教育信息系统路径泄露、PHPINFO、弱口令、编辑器等
配置安全
如:敏感文件、敏感目录、目录浏览、应用后台弱口令、允许TRACE方法等
服务器安全
如:系统漏洞、服务端口、弱口令、开放服务、应用版本漏洞等
5.1.2.2自动化验证
漏洞库自动合并
根据扫描结果,平台可以自动根据漏洞位置、漏洞关键词、威胁级别等信息,自动对各类扫描器的漏洞库的内容进行自动合并;
漏洞库的归并规则参考由中国信息安全测评中心发布的网络安全风险分类分级(《信息安全技术安全漏洞等级划分指南》GB/T 30279-2013标准)规范建立漏洞分类,满足合规性要求。
漏洞自动排重
当漏洞被验证有效或无效后,其他扫描器的报告的相同漏洞会被自动识别和合并;
漏洞自动验证
提供对相关漏洞进行可控环境下的自动化验证测试,通用漏洞包括SQL 注入漏洞自动验证、XSS跨站漏洞自动验证、弱口令的自动验证等;应用漏洞包括Coreimpact调用、Msfpro调用、Pocsuite调用。
例:能对SQL注入点进行深入的渗透测试,包括:用户名获取、表数据获取、执行指定SQL语句、文件读取及文件上传等测试内容。
5.1.2.3人工验证
人工验证作为自动测试的一种补充,是安全检测过程中必不可少的一个重要部分。人工验证分析阶段的工作是在扫描报告的基础上进一步分析漏洞,排除扫描结果中存在的误报,挖掘漏洞可能导致的其它后果及影响。通过分析和挖掘检查是否可以做漏洞利用,或是真正的越权取得信息,抑或是可以进一步利用从而取得控制权。
主要的验证方式如下:
1)针对文件上传类漏洞:校方端JS检测、服务器MIME类型检测、服务器目
录路径检测、服务器文件扩展名检测、服务器文件内容检测。
2)CSS漏洞:输入简单的这些实体字符(例如:<>()"),然后查看前台
的源代码是否做转义,如果没有那么自己可以输入任何的脚本都是有可能执行的。
3)SQL注入:发送至少10个不同的数据包探测后台数据库的类型,获取当
前数据库属性,例如连接的数据库名称,用户等。获取整个数据字典开始注入/审核/渗透。
5.1.2.4漏洞生命期管理
对校方标记为已修复的漏洞提供漏洞的复测验证服务,确保修复结果的有效性。平台自动结合漏洞的生成、验证、复查等多个环节,结合不同工具不同时间段的多次扫描数据,构建出一个漏洞从发现到修复的完整的生命周期,为相关工作的质量考核提供准确依据。
5.1.3服务过程
市教育局界面分工
1)明确服务范围并取得提供扫描服务所需的授权;
2)可在授权范围内创建扫描、监测任务,包括服务对象、服务内容、扫描
周期、检测深度等;
3)通过自服务系统了解教育信息系统安全态势;
4)使用过程无需安装软件,使用浏览器可实现全部日常管理;
网际界面分工
1)负责根据用户需求,设计服务方案;
2)负责平台的运营维护,确保平台的安全性、可用性;
3)负责跟踪用户创建的扫描任务进度,当出现异常情况及时响应与处置;
4)负责后台漏洞规则库的更新与维护;
5)负责安全漏洞(高危)的验证分析,过滤平台误报;
6)负责对校方标记已修复的漏洞进行复测,确保漏洞修复的有效性。
5.1.4服务交付
定期提供《漏洞扫描服务报告》,总数约200个系统,每年2次;
不定期提供《漏洞扫描服务报告》,不低于50次。
5.2渗透测试服务
5.2.1服务介绍
提供对市教育局本级单位相关信息系统(约10个业务系统)一年2次的渗透测试服务,针对目前已有的业务应用、WEB应用等进行黑盒人工渗透。
渗透测试,它是一种从攻击者的角度来对信息系统的安全程度进行安全评估的手段,在对现有信息系统不造成任何损害的前提下,模拟入侵者对指定系统进行攻击测试。渗透测试通常能以非常明显,直观的结果来反映出系统的安全现状。该手段也越来越受到国际/国内信息安全业界的认可和重视。为了解主机、教育
信息系统的安全现状,在许可和控制的范围内,将对主机、教育信息系统进行渗透测试。本次测试将作为安全评估的一个重要组成部分。
5.2.2服务内容
渗透测试(Penetration Testing)是安全评估服务体系中的一个重要组成部分。渗透测试操作人员在校方知情和授权的情况下,站在黑客的角度以入侵者的思维方式,使用黑客会使用的各种方法对网络、系统、应用等层面进行全面深入的渗透入侵,尝试发现系统安全的最薄弱环节。渗透测试的过程如同网络真实入侵事件的演练。通过专业的渗透测试服务,可以使得信息系统的管理人员了解入侵者可能利用的途径,直观的了解系统真实的安全强度。
即使经过了安全防御部署,信息系统仍然有存在安全漏洞的可能。渗透测试通过富有经验的测试人员使用安全漏洞扫描、专业的渗透测试工具集等自动和手工的方法对信息系统尝试进行渗透可以发现信息系统可能存在的弱点,可以让校方的信息系统在遭受到真实的入侵之前发现系统安全的最薄弱的环节并得到完整的报告和解决方案。
测试内容至少包括:信息收集类(互联网可收集到的敏感信息等),配置管理类(HTTP方法测试、应用管理界面测试、信息泄露等),认证类(用户枚举、密码猜解、密码重置测试等),会话类(cookie测试、会话固定测试等),授权类(URL越权、路径遍历、业务逻辑、文件下载测试等)、数据验证类(SQL 注入、跨站脚本、代码注入、URL跳转、文件上传测试等)、系统应用漏洞(溢出、0day漏洞等)。
5.2.3服务过程
渗透测试流程图:
5.2.3.1端口扫描、信息收集
对所要测试的服务器进行全端口扫描了解其开放的服务,对服务进行分析发现潜在的安全漏洞,对整体网络进行分析发现网络设计上存在的安全漏洞,对系统所暴漏的可用信息进行分析。分析、辨别网络结构查找入侵点。
1.针对web服务器信息收集
?收集web服务器的网络结构信息
?收集web服务器开放端口
?查看是否存在系统弱口令
?查看web目录结构
?对web所使用的脚本进行扫描
?对web服务器所使用的服务版本进行辨别
2.针对数据库服务器信息收集
?收集数据库服务器的网络结构信息
?收集数据库服务器开放端口
?查看是否存在系统弱口令
?收集数据库服务器web服务是否存在设置问题
?查看是否存在其他不必要的服务
5.2.3.2信息收集结果分析
分析扫描结果,对一些敏感信息进行整合,对网络拓扑情况进行分析,对所开放的服务进行排查,发现服务存在的安全漏洞,分析网络结构对可利用主机进行渗透,进一步提升权限,以达到控制网络目的。
1.针对web服务器的分析方式
?分析网络结构上是否设计不合理,可以利用跳板对web服务器进行攻
击。
?分析服务的版本,查找服务可能存在的漏洞。
?对web服务器存在的管理端口进行分析,查看是否有存在弱口令的可能
性。
?分析web目录结构是否合理,是否存在漏洞。
?对web脚本进行分析查看是否存在sql injection漏洞。
2.针对数据库服务器的分析方式
?分析网络结构上是否设计不合理,可以利用跳板对数据库服务器进行攻
击。
?分析服务的版本,查找服务可能存在的漏洞。
?对行情服务器存在的管理端口进行分析,查看是否有存在弱口令的可能
性。
?对数据库服务器一些可能的错误设置进行分析。
5.2.3.3模拟测试攻击
综合以上的信息收集和分析结果后,对所测试的服务器开始进行模拟攻击,以下是针对各服务器的攻击测试方式。
1.针对Web服务器攻击测试: