文档介绍:信息系统渗透测试实施方案
信息系统渗透测试实施方案
1 / 15
信息系统渗透测试实施方案
广东省XXXX厅重要信息系统
浸透测试方案
信息系统渗透测试实施方案
信息系统渗透测试实施方案
....................................
错误!不决义书签。
4.
浸透测试实行及报表输出...................................
错误!不决义书签。
.
实质操作过程.....................................
错误!不决义书签。
预攻击阶段的发现.............................
错误!不决义书签。
攻击阶段的操作...............................
错误!不决义书签。
后攻击阶段可能造成的影响.....................
错误!不决义书签。
.
浸透测试报告.....................................
错误!不决义书签。
5.
结束语
...................................................
错误!不决义书签。
信息系统渗透测试实施方案
信息系统渗透测试实施方案
5 / 15
信息系统渗透测试实施方案
概括
. 浸透测试概括
浸透测试(Penetration Test)是指安全工程师尽可能完好摸拟黑客使用的破绽发现技
术和攻击手段,对目标网络 /系统/主机/应用的安全性做深入的探测,发现系统最柔弱的环
节的过程,浸透测试能够直观的让管理人员知道自己网络面对的问题。
浸透测试是一种专业的安全服务,近似于军队里的“实战演****或许“沙盘推演” ,通
过实战和推演,让用户清楚认识当前网络的柔弱性、 可能造成的影响, 以便采纳必需的防备
举措。
. 为客户带来的利润
从浸透测试中,客户能够获取的利润起码有:
辅助用户发现组织中的安全最短板,辅助公司有效的认识当前降低风险的初始任务;
2) 一份文档齐备有效的浸透测试报告有助于组织 IT 管理者以事例说明当前安全现
状,进而加强信息安全认知程度,甚至提高组织在安全方面的估算;
信息安所有是一个整体工程,浸透测试有助于组织中的所有成员意识到自己岗位相同可能提高或降低风险,有助于内部安全的提高;
自然,浸透测试其实不可以保证发现目标网络中所有的短处,所以我们不宜片面重申它的
重要性。
波及的技术
我们简单介绍浸透测试的各个阶段可能会用到的一些工具。
信息系统渗透测试实施方案
信息系统渗透测试实施方案
6 / 15
信息系统渗透测试实施方案
攻 攻 后攻
目的:
目的:
目的:
采集信息行
一
行攻得系
除去印迹,期持一
步攻决议
的必定限
定的限
内容:
内容:
内容:
得域名及
IP散布
得程限
除日记
得拓扑及
OS等
入程系
修明的破绽
得端口和服
提高当地限
植入后木
得用系状况
一步展限
一步浸透展
追踪新破绽布
行性操作
入潜藏状
. 预攻击阶段
基本网信息取
Ping目网获取 IP地点和ttl 等信息
Tcptraceroute 等traceroute 的果
Whois果
Netcraft 取目可能存在的域名、 web及服器信息
Curl得目 web基本信息
Nmap网站行端口描并判断操作系型
Google、yahoo、百度等搜寻引擎取目信息
采纳FWtester、hping3等工具行防火探
⋯⋯
常破绽描和采纳商用件行
合使用xscan与Nessu等商用或免描工个行破绽描采纳Solarwind网等行
采纳nikto、webinspect等件web常破绽行描采纳如AppDetective之的商用件数据行描剖析⋯⋯
信息系统渗透测试实施方案
信息系统渗透测试实施方案
7 / 15
信息系统渗透测试实施方案
Web和数据用行剖析
采纳Webproxy、SPIKEProxy、webscarab、ParosProxy、Absinthe等工具行剖析
Ehtereal行抓包助剖析
webscan、fuzzer行SQL注入和XSS破绽初步剖析手工SQL注入和XSS破绽
采纳似OScanner工具数据行剖析
⋯⋯
用剖析的注意事
用系架构、防备用系直接改正数