文档介绍：四川品胜安全性渗透测试
测
试
方
案
成都国信安信息产业基地有限公司
二〇一五年十二月
目录
目录 1
1. 引言 2
. 项目概述 2
2. 测试概述 2
. 测试简介 2
. 测试依据 2
. 测试思路 3
. 工作思路 3
. 管理和技术要求 3
. 人员及设备计划 4
. 人员分配 4
. 测试设备 4
3. 测试范围 5
4. 测试内容 8
5. 测试方法 10
. 渗透测试原理 10
. 渗透测试的流程 10
. 渗透测试的风险规避 11
. 渗透测试的收益 12
. 渗透测试工具介绍 12
6. 我公司渗透测试优势 14
. 专业化团队优势 14
. 深入化的测试需求分析 14
. 规范化的渗透测试流程 14
. 全面化的渗透测试内容 14
7. 后期服务 16
引言
项目概述
四川品胜品牌管理有限公司,是广东品胜电子股份有限公司的全资子公司。依托遍布全国的5000家加盟专卖店,四川品牌管理有限公司打造了线上线下结合的O2O购物平台——“品胜•当日达”,建立了“线上线下同价”、“千城当日达”、“向日葵随身服务”三大服务体系,为消费者带来便捷的O2O购物体验。
2011年,品胜在成都温江科技工业园建立起国内首座终端客户体验馆,以人性化的互动设计让消费者亲身感受移动电源、数码配件与生活的智能互联,为追求高品质产品性能的用户带来便捷、现代化的操作体验。
伴随业务的发展,原有的网站、系统、APP等都进行了不同程度的功能更新和系统投产,同时,系统安全要求越来越高,可能受到的恶意攻击包括:信息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、APT攻击等。这些攻击完全能造成信息系统瘫痪、重要信息流失。
测试概述
测试简介
本次测试内容为渗透测试。
渗透测试:是为了证明网络防御按照预期计划正常运行而提供的一种机制。
测试依据
GB/T -2010《软件工程软件产品质量要与评价(SQuaRE) 商业现货(COTS)软件产品的质量要求和测试细则》
GB/T 16260-2006《软件工程产品质量》
GB/T 18336-2001《信息技术安全技术信息技术安全性评估准则》
GB/T 20274-2006《信息系统安全保障评估框架》
客户提出的测试需求
测试思路
工作思路
本次系统测试包括功能测试、性能测试、安全测试以及文档测试,本次测试工作将系统测试对象进行控制点划分,依据项目建设要求和相关标准、规范进行项目系统测试,并加强系统各阶段测试和实施过程控制,完善项目目标控制手段。
管理和技术要求
管理要求
为了保证本项目系统综合测试的顺利进行,将对项目实施事前评审和测试过程监督测试管理工作,合理分配项目人员负责相应的测试工作。
技术要求
为了保证本项目系统测试的顺利进行,在本次测试过程中将采取如下技术要求:
渗透测试:验证系统设计的安全性是否满足客户需求。
人员及设备计划
人员分配
本次测试组织机构和人员分配如下:
项目管理组:杨方秀
现场测试组:屈绯颖、王洪斌、
项目文档组:龚正
质量控制组:杨方秀、屈绯颖
测试设备
序号
设备或仪器名称
功能描述
数量
产地
备注
TestManager
测试管理
1
IBM
ClearQuest
缺陷跟踪
1
IBM
xscan
用于安全测试的***工具
1
测试机
测试机
2
国产
测试范围
检测分类
检测范围
Web网站
SQL注入
XSS跨站脚本
网页***
缓冲区溢出
文件上传漏洞
源代码泄露
目录浏览、遍历漏洞
数据库泄露
弱口令
越权访问
会话验证绕过
管理地址泄露
舆论信息检测
中间件漏洞
支付安全验证
其他(如:写入控制,防止批量添加数据,是否使用验证码等)
SOA服务端
SQL注入
缓冲区溢出
文件上传漏洞
目录浏览、遍历漏洞
弱口令
越权访问
会话验证绕过
中间件漏洞
其他(如:写入控制,防止批量添加数据,是否使用验证码等)
APP源生客户端
组件安全检测
代码安全检测
内存安全检测
数据安全检测
业务安全检测
应用管理检测
服务器
身份鉴别
自主访问控制
强制访问控制
可信路径
安全审计
剩余信息保护
入侵防范
恶意代码防范
资源控制
数据库数据安全
测试内容
检测项目
检测子类
类型
扫描测试