渗透测试方案.docx

四川品胜安全性渗透测试
测
试
成都国信安信息产业基地有限公司
二尸五年十二月
目录
目录 1
引言
项目概述 2
测试概述 2
测试简介 2
22 测试依据 2
测试思路 3
工作思路 3
管理和技术要求 3
人员及设备计划 4
人员分配 4
测试设备 4
测试范围 5
测试内容 8
测试方法 10
渗透测试原理 10
渗透测试的流程 10
渗透测试的风险规避 11
渗透测试的收益 12
渗透测试工具介绍 12
我公司渗透测试优势 14
专业化团队优势 14
深入化的测试需求分析 14
规范化的渗透测试流程 14
全面化的渗透测试内容 14
16
合的020
后期服务.
引言
项目概述
四川品胜品牌管理有限公司，是广东品胜电子股份有限公司的全资子公司。
依托遍布全国的5000家加盟专卖店，四川品牌管理有限公司打造了线上线下结
购物平台一一 “品胜
?当日达立了 “线上线下同价”、“千城当日
达”、“向日葵随身服务”三大服务体系，为消费者带来便捷的 020购物体验。
20RR年，品胜在成都温江科技工业园建立起国内首座终端客户体验馆，以
人性化的互动设计让消费者亲身感受移动电源、 数码配件与生活的智能互联，为
追求高品质产品性能的用户带来便捷、现代化的操作体验。
伴随业务的发展，原有的网站、系统、 APP^都进行了不同程度的功能更
新和系统投产，同时，系统安全要求越来越高，可能受到的恶意攻击包括：信息 篡改与更
放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、 “黑客”入
侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、 APT攻击等。这些攻击完
全能造成信息系统瘫痪、里要信息流失。
测试概述
测试简介
本次测试内容为渗透测试。
渗透测试：是为了证明网络防御按照预期计划正常运行而提供的一种机制
22测试依据
探GB/-20RR〈〈软件工程软件产品质虽要与评价 (SQuaRB^业
现货(COTS欺件产品的质虽要求和测试细则》
探GB/T16260-20RR《软件工程产品质虽》
探GB/T18336-20RR〈〈信息技术安全技术信息技术安全性评估准则》
探GB/T20274-20RR〈〈信息系统安全保障评估框架》
探客户提出的测试需求
.测试思路
工作思路
本次系统测试包括功能测试、性能测试、安全测试以及文档测试，本次测试 工作将系
统测试对象进行控制点划分， 依据项目建设要求和相关标准、规范进行 项目系统测试，
并加强系统各阶段测试和实施过程控制，完善项目目标控制手段。
管理和技术要求
1、 管理要求
为了保证本项目系统综合测试的顺利进行， 将对项目实施事前评审和测试过 程监督
测试管理工作，合理分配项目人员负责相应的测试工作。
2、 技术要求
为了保证本项目系统测试的顺利进行，在本次测试过程中将采取如下技术要
求：
探 渗透测试：验证系统设计的安全性是否满足客户需求。
24人员及设备计划

本次测试组织机构和人员分配如下
项目管理组：杨方秀
现场测试组：屈绯颖、土洪斌、
项目文档组：龚正
质虽控制组：杨方秀、屈绯颖
测试设备
序号
设备或仪器名称
功能描述
数量
产地
备注
1.
TestMa nager
测试管理
1
旧M
2.
ClearQuest
缺陷跟踪
1
旧M
3.
Rsca n
用于安全测试的***
工具
1
4.
测试机
测试机
2
国产
检测分类 检测范围
SQLM 入
RS龄站脚本
网页***
缓冲区溢出
文件上传漏洞
源代码泄露
目录浏览、遍历漏洞
数据库泄露
We痢站 弱口令
越权访问
会话验证绕过
管理地址泄露
舆论信息检测
中间件漏洞
支付安全验证
其他（如：写入控制，防止批量添加数据，是否使用验证
码等）
SQLS 入
缓冲区溢出
SOA®务端 文件上传漏洞
目录浏览、遍历漏洞 弱口令