Time: 2020-02-18  网络安全等级保护资讯网

万方安全Web应用安全检测服务方案(上篇)

  文章描述:本文叙述了Web应用系统的安全检测服务方案,一方面描述了Web应用系统检测技术依据,另一方面描述了服务方在Web应用系统进行安全检查的服务方法。由于文章太长,本文分成上下篇。

  关键词:万方安全 Web应用系统 安全检测

  1. Web应用安全检测服务简述

  万方科技为委托单位提供面向开放公网访问的各类应用系统进行无损型应用安全测试,探寻系统可能存在的风险点,最大限度地降低Web应用服务系统被黑客入侵的可能性。

  为进一步提高在日常工作中深入开展应用安全检测工作的能力,万方安全工程师深入了解黑客入侵的思路和方法,具备漏洞挖掘能力。通过模拟黑客入侵的思路与手法,在安全应急响应或常规安全运维的情景下,通过主机、设备、应用的日志记录来发现黑客的行踪、入侵方式和攻击手段,实现快速反应及在常规安全运维工作中加强安全防范,降低应用系统风险到安全、可控的范围。

  2. 应用安全检测服务概念

  Web应用安全测试是模拟类似黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现潜藏在应用系统架构、代码、逻辑等环节的风险。通过收集目标系统的详尽信息、探测系统拓扑内的网络设备、扫描服务器系统主机漏洞、扫描应用平台及数据库系统的安全性及通过常规性应用系统程序的应用安全测试等手段来完成对整个web系统的安全性渗透检测。该应用安全测试是一个完整、系统的测试过程,涵盖了网络层面、主机层面、数据层面以及应用服务层面的安全性测试。

  3. 应用安全检测服务目标

  应用安全测试是以各种安全扫描器为辅助手段,对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击,目的是侵入系统并获取系统信息并将入侵的过程和细节总结编写成测试报告,由此确定存在的安全威胁,并能及时提醒安全管理员完善安全策略,降低安全风险。

  人工模拟入侵和工具扫描是相辅相承的互相补充。工具扫描具有很好的效率和速度,会存在一定的误报率,难以发现高层次、复杂的安全问题;人工模拟入侵对测试者的专业技能有较高要求,测试结果真实、客观,可以发现逻辑性更强、更深层次的风险点。

  4. 应用安全检测参考标准


等级保护资讯网

等级保护资讯网



  5. 应用安全检测服务特色

  应用安全测试与黑客的攻击入侵远离相近,利用目标网络的安全弱点发掘系统的隐藏风险点。测试工程师模拟入侵者的入侵攻击方法,以人工渗透为主,辅助以攻击工具的使用,保证整个测试测试过程都在控制和调整的范围之内,同时确保对网络没有造成破坏性的损害。

  由于采用可控制的、非破坏性质的应用安全测试方式,因此不会对被评估的客户信息系统造成严重的影响。在测试结束后,客户信息系统将基本保持一致。

  6. 应用安全检测开展前提

  万方科技将根据委托单位提出的专项要求,共同组织起网络应用安全测试小组,针对委托单位的目标应用系统进行应用安全测试。应用安全测试必须符合如下要求:

  1) 应用安全测试必须保证网络稳定的前提下进行,所有的应用安全测试的发起方必须是委托单位该项目的接口人,应用安全测试必须有委托单位安全负责人全程参与,并且万方科技将及时、分阶段汇报应用安全测试进展及阶段性成果;

  2) 在应用安全测试实施前,必须提供应用安全测试详细的测试方案,并且所有的测试方案必须满足测试范围可控、测试过程可控、测试结果可控的要求:

  (1) 测试范围可控指的是:应用安全测试必须有明确的边界,测试范围不得超过该边界,并且有明确测试的影响范围,不会产生连带性风险;

  (2) 测试过程可控指的是:应用安全测试的整个过程必须在测试方案的控制范围内,应能收发自如的控制测试的开展,测试的中断不应影响委托单位网络的业务连续性;

  (3) 测试结果可控指的是:应用安全测试完成后,必须可以清除测试中注入的任何代码、程序、程序等,必须可以清除所有的测试影响;

  3) 万方科技在整个应用安全测试期间,将严格规范操作,保证所有的操作进行时必须有委托单位安全负责人员参与,并且每一步的操作都需要严格记录,应保留所有日志文件以备审计;

  4) 所有的应用安全测试文档及结果,双方都必须严格保密,特别是任何的测试过程中的违规操作、随意注入代码程序、泄露测试资料;

  技术要求:

  1) 测评范围应包括但不限于如下方面:

  (1) 应用系统的安全检测与应用安全测试;

  (2) 主机操作系统的安全检测与应用安全测试;

  (3) 数据库系统的安全检测与应用安全测试;

  (4) 中间件及第三方组件的安全检测与应用安全测试;

  (5) 网络设备的安全检测与应用安全测试;

  (6) 关联终端设备的安全检测与应用安全测试。

  2) 测试内容至少包括如下:

  (1) 信息收集与目标发现:收集被测系统以及与被测系统相关联的软硬件信息,形成被测目标;

  (2) 基础系统检测:对相关基础软硬件设备进行安全检测,获取目标范围内主机、网络、终端、数据库、中间件、应用等对象的相关信息,包括但不限于端口信息、配置信息、网络拓扑、主机、操作系统、数据的类型、版本等,对收集的信息进行归类分析,为进行深层次的渗透提供依据;

  (3) 口令猜测:对指定系统的认证模块进行口令猜测,使用多种手段猜测口令;

  (4) 溢出攻击:对发现的潜在问题点进行漏洞利用,检验是否可以使用工具等手段实现溢出攻击;

  (5) 权限提升:在拥有了一个普通用户的账号之后,使用一些特殊的技术手段,检验是否能够获得管理员权限或提高普通用户权限;

  (6) 脚本测试:利用注入式等一些特殊操作,绕过应用系统自身的限制,检查出应用系统代码的漏洞环节。包括以下环节:

  · 检查系统架构:检验用户是否能够绕过系统直接修改数据库;

  · 检查身份认证模块:检验非法用户是否能够绕过身份认证;

  · 检查数据库接口模块:检验用户是否能够获取系统权限;

  · 检查文件接口模块:检验用户是否能够获取系统文件;

  · 检查其他安全威胁,包括但不限于SQL、XSS、XPATH、LDAP、SMTP头、命令、路径注入等攻击。

  (7) 检查是否可能存在潜在的社会工程学攻击方法及路径。

  (8) 敏感信息测试:利用工具获取系统敏感信息,包括以下环节:

  · 获取应用系统的源代码、应用软件版本系统等敏感信息;

  · 通过抓包等方式,截取敏感信息,如密码,验证码等;

  · 通过中间人攻击等方式,测试会话劫持问题;

  · 流量嗅探,探测网络拓扑,获取敏感结构信息;

  (9) 往年发现的重点、共性问题复查,包括应用系统、中间件、主机、数据库等的空/弱口令,SNMP默认团体口令,注册表远程SMB访问,Web目录遍历,MS12-20远程代码执行,Struts2漏洞,DedeCMS漏洞,OpenSSL漏洞等;

  7. 应用安全检测授权

 等级保护资讯网

18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。