• 安全集成方案
  • 当前位置 : 首页 > 安全集成方案
  • 信息安全体检实施方案
  • 添加时间:2016-10-04 / 浏览:6773
  • 1 概述

    1.1 安全体检简介

    众所周知,信息安全具有动态性、相对性等特征,任何网络任何系统都可能存在安全隐患,所有的安全事件大部分都是由于这些安全隐患被攻击者利用而导致的,因此对于组织单位来说,如何提前发现和防范这些安全隐患成为能否减少安全事件的最关键因素。

    金马电子安全体检服务可以帮助组织单位发现自身的业务安全威胁和隐患,并根据发现的信息安全威胁和隐患,为客户提供专业的信息安全解决方案。

    金马电子安全体检服务有别于传统的信息安全服务,首先由下一代防火墙旁路部署进行实时的攻击行为与漏洞关联分析,再通过专业的安全工程师进行深度的漏洞扫描和定向渗透,最终形成综合分析报告,为组织单位提供更加全面、专业的安全体检服务。

    1.2 实施目标

    本次旁路攻击流量分析主要针对数据中心区域、内网办公区域进行安全流量分析。


    序号

    扫描对象

    访问方式

    1

    Web服务器

    http://web.xx.com

    2

    BBS服务器

    http://bbs.xx.com

    3

    邮件服务器

    http://mail.xx.com

    核心业务定向渗透对象

    序号

    定向渗透对象

    访问方式

    1

    OA办公自动化系统

    http://10.X.X.X:8080

    2

    ERP服务器

    http://10.X.X.X/ERP

    3

    供应链系统

    http://10.X.X.X/Login.jspx

    1.3 安全体检原则

    n  标准性原则:安全体检实施依据金马电子安全体检流程进行。

    n  规范性原则:安全体检的过程以及过程中涉及到的文档具有很好的规范性,以便于项目的跟踪和控制。

    n  可控性原则:在安全体检项目实施过程中,按照标准的项目管理方法(SSE-CMM/IATF)对人员、组织、项目进行风险控制管理,以保证安全体检在实施过程中的可控性。

    n  最小影响原则:本次安全体检遵循先预约确认、发送授权后方进行安全体检等工作。

    n  保密性原则:本项目已与XX公司签订相关的保密协议,以承诺对XX公司内部信息的保密。

    2 安全体检实施流程

    2.1 实施方案制定、客户授权许可

    合法性即客户授权委托,并同意实施方案是进行安全体检的必要条件。安全体检首先必须将实施方法、实施时间、实施人员、实施工具等具体的实施方案提交给客户,并得到客户的相应委托和授权。

    应该做到客户对安全体检细节和风险的知晓,所有过程在可控的情况下展开。

    2.2 信息搜集分析

    信息搜集是每一步安全体检的前提,通过信息搜集可以有针对性的制定模拟检查计划,提高安全体检测试的成功率,同时可以有效的降低攻击测试队系统正常运行造成的不利影响。

    信息搜集的方法包括PING sweepDNS sweep、操作系统指纹识别、应用判别、账号扫描、配置核查等。信息收集常用以下工具:

    序号

    漏扫名称

    扫描领域

    备注

    1

    安全漏扫

    端口、弱口令、WEB安全

    商业版

    2

    Netsparker

    Web应用弱点扫描器

    自由软件

    3

    Nessus

    综合漏扫扫描器

    自由软件

    4

    Metasploit

    漏洞综合利用框架

    自由软件

    5

    Web Vulnerability Scanner

    Web应用弱点扫描器

    自由软件

    2.3 漏洞寻找与确认分析

    通过初步的信息收集分析,存在以下可能性,一种是目标系统存在重大的安全弱点,测试可以直接控制目标系统;另一种是目标系统没有远程重大安全弱点,需要不断的信息收集分析、权限提升形成了安全体检的整个过程。

    2.4 报告输出阶段

    安全体检之后,测试者将会提供一份安全体检测试报告。报告将会十分详细的说明安全体检过程中得到的数据和信息,并且将会详细的记录安全体检的相关操作。

    3 安全体检涉及的技术【部分】

    3.1 信息搜集阶段

    3.1.1 域名信息搜集

    通过whois信息来收集域名的相关信息,为渗透测试提供信息资料

    使用工具:http://whois.chinaz.com/

    3.2 漏洞寻找阶段

    3.2.1 检查SQL注入漏洞

    注入点一般分布在GPC三个头部,其它HTTP头部也可能产生注入漏洞,例如X-Forwarded-For,如果服务器那边使用此头部记录客户端IP并代入数据库查询,那么就有可能产生SQL注入漏洞

    如下图wireshark用抓取的隐藏参数提交:

    对于HTTP头部的注入检测,需要使用burpsuite增加攻击特征来检测HTTP头部是否可注入,例如在referer字段后面增加单引号“”来检测

    3.2.2 检查XSS跨站脚本漏洞

    XSS漏洞一般分为3类:

    1、 反射型

    2、 存储型

    3、 Dom

    其中反射型和dom型很接近,需要让网站管理员相信你发给他的链接,然后获取管理员的cookie信息

    存储型只要管理员看了包含xss代码的文章就会自动发送cookie信息给xss平台

    因此在寻找xss漏洞的时候,需要做以下确认:

    1、 确认用户输入的内容会出现在网页代码中(DOM类型除外)

    2、 触发xss必要的关键字、特殊字符等没有被过滤,比如scriptalerteval<>/\#&’”

    3、 系统的过滤机制能否绕过

    3.2.3 检查网站信息泄露

    Wwwscan工具如下图所示:

    可以根据网站的开发脚本类型选择对应的扫描类型

    Edit对应web编辑器如fckeditor

    Dir对应目录扫描

    Rar对应rar压缩文件

    Txt对应txt说明文件

    Db对应数据库路径

    4 风险规避措施

    4.1 安全体检时间与策略

    4.1.1 时间选择

    安全体检旁路部署部分对业务使用无影响,可正常工作时间处理,如需要安全扫描或渗透测试,将尽量安排在业务量不大的时段或晚上。

    4.1.2 攻击策略集选择

    为防止安全扫描或渗透测试造成的网络和业务中断,在具体体检测试过程中不使用含有拒绝服务的测试策略。

    4.1.3 保守策略选择

    对于不能接受任何风险的主机系统,如银行票据系统、网银系统,电力调度可以选择以下操作:

    1)、完整复制一份待测试系统程序,系统等;

    2)、对已复制系统二次部署,并对副本程序进行测试。

  • 电话咨询
    商务咨询
    技术咨询
    咨询邮箱