如有XX网站安全测试方案

精品学习资料---收集网络如有侵权请联系网站删除

XX检测计划

作者

版本

时间

精品学习资料---收集网络如有侵权请联系网站删除

精品学习资料---收集网络如有侵权请联系

网站删除

目录

一、检测背景. . . . . . . . .错误未指定书签。

二、检测目标. . . . . . . . .错误未指定书签。

三、检测方案. . . . . . . . .错误未指定书签。

1.方 案 概 况错误未指定书签。

2.配 合 要 求错误未指定书签。

3.检 测 流 程错误未指定书签。

4.检 测 对 象错误未指定书签。

5.检 测 周 期错误未指定书签。

四、风险声明. . . . . . . . .错误未指定书签。精品学习资料---收集网络如有侵权请联系

网站删除

精品学习资料---收集网络如有侵权请联系

网站删除

1.操作系统和常见应用漏洞扫描错误未指定书签。

2.WEB 应 用 漏 洞 扫 描错误未指定书签。

精品学习资料---收集网络如有侵权请联系

网站删除

精品学习资料---收集网络如有侵权请联系网站删除

精品学习资料---收集网络如有侵权请联系网站删除

精品学习资料---收集网络如有侵权请联系网站删除

一、 检测背景

二、 检测目标

三、 检测方案

1 .方案概况

2.配合要求

人员配合要求

提供的资料文档

提供的现场环境和条件

精品学习资料---收集网络如有侵权请联系网站删除

精品学习资料---收集网络如有侵权请联系

网站删除

3.检测流程

信息收集此阶段中渗透检测小组进行必要的信息收集通过现场访谈确定检测时间、检测方式、检测地点、注意事项等。通过互联网搜集获取IP地址、 DNS域名、应用系统、软硬件环境等。初步完成分析网络拓扑、操作系统、数据库版本等相关环境的目标。

渗透检测此阶段中渗透检测小组根据信息收集阶段分析的信息从互联网模拟黑客攻击方式对外部网络、系统进行渗透检测。此阶段如果发现问题进行收集证据简单利用漏洞获取非敏感信息证明漏洞可用如果未发现问题则渗透检测结束。

本次测试将大量使用自动化检测设备进行测试主要针对网站安全性网站敏感字网页暗链进行检测。

输出报告此阶段中渗透检测小组根据检测的结果编写直观的渗透检测服务报告。

4.检测对象

对XX进行安全检测和渗透检测的范围

精品学习资料---收集网络如有侵权请联系

网站删除

精品学习资料---收集网络如有侵权请联系

5.检测周期

精品学习资料---收集网络如有侵权请联系网站删除

精品学习资料---收集网络如有侵权请联系

网站删除

四、 风险声明

1 .操作系统和常见应用漏洞扫描

在使用扫描器对目标系统扫描的过程中可能会出现以下的风险 占用带宽风险不高。

进程、系统崩溃。由于目标系统的多样性及脆弱性或是目标系统上某些特殊服务本身存在的缺陷对扫描器发送的探测包或者渗透测试工具发出的测试数据不能正常响应可能会出现系统崩溃或程序进程的崩溃。

登录界面锁死。扫描器可以对某些常用应用程序系统登录、FTPTelnet SNMPSSHWEBLOGIC的登录口令进行弱口令猜测验证如果目标系统对登录失败次数进行了限制尝试登录次数超过限定次数系统可能会锁死登录界面。

风险规避方法

根据目标系统的网络、应用状况调整扫描测试时间段采取避峰扫描

对扫描器扫描策略进行配置适当调整扫描器的并发任务数和扫描的强度可使减少扫描器工作时占用的带宽降低对目标系统影响

根据目标系统及目标系统上运行的应用程序通过与测评委托方相关人员协商定制针对本系统测试的扫描插件、端口等配置尽量合理设置扫描强度降低目标系统或进程崩溃的风险 如目标系统对登录某些相关程序的尝试次数进行了限制在进行扫描时可屏蔽暴力猜解功能以避免登录界面锁死的情况发生。

精品学习资料---收集网络如有侵权请联系

网站删除

精品学习资料---收集网络如有侵权请联系

网站删除

2.WEB应用漏洞扫描

在使用WEB应用漏洞扫描器对目标系统扫描的过程中可能会存在以下的风险

 占用带宽风险不高。

登录界面锁死。WEB应用漏洞扫描会对登录页面进行弱口令猜测猜测过程可能会造成应用系统某些帐号锁死。

风险规避方法

根据目标系统的网络、应用状况调整扫描测试时间段采取避峰扫描

 如目标系统对登录某些相关程序的尝试次数进行了限制在进行扫描时可屏蔽暴力猜解功能以避免登录界面锁死的情况发生。

精品学习资料---收集网络如有侵权请联系

网站删除