1、1 Web安全測試技術方案1.1 測試的目標 更好的發現當前系統存在的可能的安全隱患，避免發生危害性的安全事件 更好的為今后系統建設提供指導和有價值的意見及建議1.2 測試的范圍本期測試服務范圍包含如下各個系統：Web系統：1.3 測試的內容1.3.1 WEB 用針對網站及WEB系統的安全測試，我們將進行以下方面的測試：Web 服務器安全漏洞Web 服務器錯誤配置SQL 注入XSS （跨站腳本）CRLF 注入目錄遍歷文件包含輸入驗證認證邏輯錯誤Google Hacking 密碼保護區域猜測 字典攻擊 特定的錯誤頁面檢測 脆弱權限的目錄 危險的 HTTP 方法（如： PUT、 DELETE）1.

2、4 測試的流程方案制定部分：獲取到客戶的書面授權許可后，才進行安全測試的實施。并且將實施范圍、方法、時間、人員等具體 的方案與客戶進行交流，并得到客戶的認同。在測試實施之前，讓客戶對安全測試過程和風險知曉，使隨后的正式測試流程都在客戶的控制下。信息收集部分： 這包括：操作系統類型指紋收集；網絡拓撲結構分析；端口掃描和目標系統提供的服務識別等。采用商業和開源的檢測工具（ AWVS burpsuite、Nmap等）進行收集。測試實施部分：在規避防火墻、入侵檢測、防毒軟件等安全產品監控的條件下進行：操作系統可檢測到的漏洞測試、 應用系統檢測到的漏洞測試（如：Web應用），此階段如果成功的話，可能獲得

3、普通權限。安全測試人員可能用到的測試手段有：掃描分析、溢出測試、口令爆破、社會工程學、客戶端攻擊、 中間人攻擊等，用于測試人員順利完成工程。在獲取到普通權限后，嘗試由普通權限提升為管理員權限， 獲得對系統的完全控制權。此過程將循環進行，直到測試完成。最后由安全測試人員清除中間數據。分析報告輸出： 安全測試人員根據測試的過程結果編寫直觀的安全測試服務報告。內容包括：具體的操作步驟描述； 響應分析以及最后的安全修復建議。下圖是更為詳細的步驟拆分示意圖：1.5 測試的手段根據安全測試的實際需求， 采取自動化測試與人工檢測與審核相結合的方式， 大大的減少了自動化測 試過程中的誤報問題。1.5.1 常用

4、工具列表自動化掃描工具： AWV、S OWASP ZA、PBurpsuite 等端口掃描、服務檢測： Nmap THC-Amap等 密碼、口令破解： Johntheripper 、 HASHCA、T Cain 等 漏洞利用工具： MetasploitFramework 等 應用缺陷分析工具： Burpsuite 、 Sqlmap 等1.6 測試的風險規避在安全測試過程中， 雖然我們會盡量避免做影響正常業務運行的操作， 也會實施風險規避的計策， 但 是由于測試過程變化多端，安全測試服務仍然有可能對網絡、系統運行造成一定不同程度的影響，嚴重的 后果是可能造成服務停止，甚至是宕機。比如滲透人員實施系

5、統權限提升操作時，突遇系統停電，再次重 啟時可能會出現系統無法啟動的故障等。因此，我們會在安全測試前與客戶詳細討論滲透方案，并采取如下多條策略來規避安全測試帶來的風 險：1.6.1 需要客戶規避的風險 備份策略為防范安全測試過程中的異常問題，測試的目標系統需要事先做一個完整的數據備份，以便在問題發 生后能及時恢復工作。對銀行轉帳、電信計費、電力調度等不可接受可能風險的系統的測試，可以采取對目標副本進行滲透 的方式加以實施。這樣就需要完整的復制目標系統的環境：硬件平臺、操作系統、應用服務、程序軟件、 業務訪問等；然后對該副本再進行安全測試。 應急策略測試過程中，如果目標系統出現無響應、中