20XX渗透测试方案讲解.docx

四川品胜安全性渗透测试测试方案成都国信安信息产业基地有限公司 年十二月五一0二成都国信安信息产业基地有限公司 测试概述22 .. 测试依据22. ... 工作思路 3管理和技术要求 3 .. 4测试设备 4 .. 渗透测试的流程 1我公司渗透测试优势 .6. 41 .41 .全面化的渗透测试内容 ,是广东品胜电子股份有限公司的全资子公司。 依托遍布全国的5000家加盟专卖店,四川品牌管理有限公司打造了线上线下结合的02O购物平台一一’品胜?当日达”,建立了“线上线下同价”、“千城当日达”、“向日葵随身服务”三大服务体系,为消费者带来便捷的 020购物体验。2011年,品胜在成都温江科技工业园建立起国内首座终端客户体验馆,以人性化的互动设计让消费者亲身感受移动电源、数码配件与生活的智能互联,为追求高品质产品性能的用户带来便捷、现代化的操作体验。伴随业务的发展,原有的网站、系统、APP等都进行了不同程度的功能更新和系统投产,同时,系统安全要求越来越高,可能受到的恶意攻击包括:信息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、 APT攻击等。这些攻击完全能造成信息系统瘫痪、重要信息流失。测试概述测试简介本次测试内容为渗透测试。渗透测试:是为了证明网络防御按照预期计划正常运行而提供的一种机制。测试依据探GB/-2010《软件工程软件产品质量要与评价(SQuaRE)商业现货(COTS软件产品的质量要求和测试细则》探GB/T16260-2006《软件工程产品质量》页16共页2第成都国信安信息产业基地有限公司探GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》探GB/T20274-2006《信息系统安全保障评估框架》探客户提出的测试需求测试思路工作思路本次系统测试包括功能测试、性能测试、安全测试以及文档测试,本次测试工作将系统测试对象进行控制点划分,依据项目建设要求和相关标准、规范进行项目系统测试,并加强系统各阶段测试和实施过程控制,完善项目目标控制手段。管理和技术要求1、 管理要求为了保证本项目系统综合测试的顺利进行,将对项目实施事前评审和测试过程监督测试管理工作,合理分配项目人员负责相应的测试工作。2、 技术要求为了保证本项目系统测试的顺利进行,在本次测试过程中将采取如下技术要求:探渗透测试:验证系统设计的安全性是否满足客户需求。:项目管理组:杨方秀现场测试组:屈绯颖、王洪斌、项目文档组:龚正质量控制组:杨方秀、*** xscan3. ***缓冲区溢岀文件上传漏洞源代码泄露目录浏览、遍历漏洞数据库泄露Web网站弱口令越权访问会话验证绕过管理地址泄露舆论信息检测中间件漏洞支付安全验证是否使用验证,防止批量添加数据,其他(如:写入控制码等)SQLSOA服务端注入页16共页5第成都国信安信息产业基地有限公司缓冲区溢岀源生客户端APP文件上传漏洞目录浏览、遍历漏洞弱口令越权访问会话验证绕过中间件漏洞是否使用验证,写入控制,防止批量添加数据其他(如:码等)组件安全检测代码安全检测内存安全检测数据安全检测业务安全检测应用管理检测身份鉴别自主访问控制强制访问控制服务器可信路径安全审计剩余信息保护入侵防范页16共页6第成都国信安信息产业基地有限公司恶意代码防范资源控制数据库数据安全页16共页7第成都国信安信息产业基地有限公司测试内容检测项目检测子类当日达前端SSO单点登录网站SSO单点登录网站后端当日达商城4期前台网站当日达商城3期后台4期后台当日达商城砸金蛋活动 砸金蛋后台一元云购 月月抢神器滴滴贴膜PC快递查询(端) 快递查询(移动端) 中国人民不断电APP千城通千机团+APP网站进销存系统进销存IMSI