- 概述.... 3
1.1 背景.... 3 - 安全滲透測(cè)試流程(黑盒)細(xì)則說(shuō)明.... 4
2.1 部門(mén)角色協(xié)同配合職責(zé)說(shuō)明.... 5
2.1.1 安全滲透測(cè)試人員.... 5
2.1.2 產(chǎn)品線測(cè)試負(fù)責(zé)人.... 5
2.1.3 產(chǎn)品線產(chǎn)品負(fù)責(zé)人.... 6
2.1.4 產(chǎn)品線研發(fā)負(fù)責(zé)人.... 6
2.2 其他角色職責(zé)解釋說(shuō)明.... 6
1. 概述
滲透測(cè)試的目的在于模擬惡意黑客的攻擊方法對(duì)網(wǎng)站進(jìn)行全面檢測(cè)和評(píng)估,以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的安全漏洞价淌,然后輸出滲透測(cè)試報(bào)告,并提交給產(chǎn)品線負(fù)責(zé)人。產(chǎn)品線負(fù)責(zé)人根據(jù)滲透人員提供的滲透測(cè)試報(bào)告沮脖,可以清晰知曉系統(tǒng)中存在的安全隱患和問(wèn)題。為了使安全缺陷問(wèn)題能夠得到更高效的響應(yīng)處理機(jī)制腐泻,讓產(chǎn)品線各部門(mén)能夠更高效默契的協(xié)同工作窄做,所以制定整理關(guān)于安全滲透測(cè)試流程(黑盒)的說(shuō)明,供產(chǎn)品線各部門(mén)執(zhí)行使用往踢。
1.1 背景
安全滲透測(cè)試可以幫助企業(yè)的安全防護(hù)從被動(dòng)轉(zhuǎn)換成主動(dòng)腾誉,為企業(yè)安全問(wèn)題防患于未然,避免了由安全風(fēng)險(xiǎn)帶來(lái)的巨大損失。當(dāng)存在下面這些風(fēng)險(xiǎn)時(shí)利职,安全滲透測(cè)試顯得尤為必要:
1趣效、企業(yè)及網(wǎng)站存在機(jī)密資料外泄、用戶資料外泄的擔(dān)憂猪贪;
2跷敬、開(kāi)發(fā)完畢的新系統(tǒng)平臺(tái)需要上線;
3热押、開(kāi)發(fā)過(guò)程中系統(tǒng)需要進(jìn)行局部安全測(cè)試西傀;
4、業(yè)務(wù)系統(tǒng)存在交易業(yè)務(wù)邏輯問(wèn)題(如金融類(lèi)系統(tǒng))桶癣;
所以為了提升XX安全機(jī)制的成熟度拥褂,提前部署好安全防御措施,保證系統(tǒng)的每個(gè)環(huán)節(jié)在未來(lái)都能經(jīng)得起惡意黑客的挑戰(zhàn)牙寞,減少不必要的經(jīng)濟(jì)損失饺鹃,提高用戶體驗(yàn)度,鞏固并增加用戶對(duì)XX平臺(tái)的信任和支持碎税。故而從流程上制定一些標(biāo)準(zhǔn)尤慰,以及各部門(mén)協(xié)同配合的輸入輸出點(diǎn)進(jìn)行分解說(shuō)明馏锡,制定此規(guī)范以作為統(tǒng)一標(biāo)準(zhǔn)雷蹂。
適用范圍
? 本文檔適用于質(zhì)量保障中心/測(cè)試/產(chǎn)品/研發(fā)以及相關(guān)干系人參考;
2. 安全滲透測(cè)試流程(黑盒)細(xì)則說(shuō)明
2.1 部門(mén)角色協(xié)同配合職責(zé)說(shuō)明
2.1.1 安全滲透測(cè)試人員
根據(jù)實(shí)際需要向產(chǎn)品線測(cè)試負(fù)責(zé)人提交產(chǎn)品線安全滲透測(cè)試立項(xiàng)申請(qǐng)杯道;
當(dāng)立項(xiàng)申請(qǐng)通過(guò)后匪煌,進(jìn)入產(chǎn)品信息收集階段,安全滲透測(cè)試人員需要盡量多的收集關(guān)于目標(biāo)web應(yīng)用的各種信息党巾,比如:腳本語(yǔ)言的類(lèi)型萎庭、服務(wù)器的類(lèi)型、目錄的結(jié)構(gòu)齿拂、使用的開(kāi)源軟件驳规、數(shù)據(jù)庫(kù)類(lèi)型、所有鏈接頁(yè)面署海、用到的框架等吗购;
根據(jù)收集到的信息確定滲透測(cè)試范圍(如:IP、域名砸狞、內(nèi)外網(wǎng)捻勉、整站或部分模塊)、測(cè)試規(guī)則(比如能夠滲透到什么程度刀森,是發(fā)現(xiàn)漏洞為止還是繼續(xù)利用漏洞產(chǎn)生破壞性后果踱启、滲透測(cè)試時(shí)間上的限制、能否上傳、能否提權(quán)等)埠偿、測(cè)試需求(web應(yīng)用的漏洞(如新上線產(chǎn)品/程序)透罢、業(yè)務(wù)邏輯漏洞(針對(duì)業(yè)務(wù)邏輯上的安全漏洞)、人員權(quán)限管理漏洞(針對(duì)人員胚想、權(quán)限等))琐凭,確定測(cè)試方案后準(zhǔn)備相應(yīng)的測(cè)試工具;
使用自動(dòng)化漏洞掃描工具對(duì)滲透測(cè)試目標(biāo)進(jìn)行初步掃描(如:AppScan(IBM出品的一款商業(yè)用途的自動(dòng)化安全掃描工具浊服,主要針對(duì)web應(yīng)用方向统屈,目前安全團(tuán)隊(duì)使用的是2015年舊版破解版)、AWVS(由全球著名的安全漏洞廠商Acunetix出品的一款商業(yè)用途的自動(dòng)化安全掃描工具牙躺,主要針對(duì)web應(yīng)用方向愁憔,目前安全團(tuán)隊(duì)使用的是2015年舊版破解版)、owasp-zap(一款開(kāi)源免費(fèi)的自動(dòng)化漏洞掃描工具)等)孽拷;
由于自動(dòng)化漏洞掃描工具存在一定的誤報(bào)情況吨掌,所以需要對(duì)自動(dòng)化漏洞掃描工具提供的掃描結(jié)果進(jìn)行手工驗(yàn)證,以保證漏洞點(diǎn)的真實(shí)性脓恕、有效性膜宋。
由于自動(dòng)化漏洞掃描工具存在一定的漏報(bào)情況,所以需要對(duì)頁(yè)面中有可能存在OWASP Top 10(十大安全漏洞)的點(diǎn)進(jìn)行手工檢測(cè)炼幔,盡可能多的發(fā)現(xiàn)漏洞秋茫,以保證漏洞點(diǎn)的全面性;
對(duì)網(wǎng)站中可能存在的薄弱點(diǎn)進(jìn)行漏洞挖掘乃秀,如邏輯漏洞(如暴力枚舉肛著、支付漏洞、越權(quán)跺讯、業(yè)務(wù)邏輯漏洞等)枢贿、組合漏洞及所有有可能給公司帶來(lái)?yè)p失的漏洞;
根據(jù)以上的分析驗(yàn)證結(jié)果刀脏,編寫(xiě)安全滲透測(cè)試報(bào)告局荚,并提出對(duì)應(yīng)的安全建議。
參加由測(cè)試負(fù)責(zé)人組織的安全滲透測(cè)試報(bào)告會(huì)愈污,向測(cè)試負(fù)責(zé)人耀态、產(chǎn)品負(fù)責(zé)人、研發(fā)負(fù)責(zé)人解釋并參與討論安全缺陷钙畔;
驗(yàn)證安全漏洞是否已經(jīng)被修復(fù)茫陆,如果已被修復(fù)則通知測(cè)試負(fù)責(zé)人發(fā)送安全滲透測(cè)試流程結(jié)束通告;
2.1.2 產(chǎn)品線測(cè)試負(fù)責(zé)人
當(dāng)產(chǎn)品線測(cè)試負(fù)責(zé)人接收到安全滲透測(cè)試立項(xiàng)申請(qǐng)時(shí)擎析,應(yīng)幫助安全滲透測(cè)試人員協(xié)調(diào)簿盅,搭建安全滲透測(cè)試環(huán)境挥下。預(yù)估安全滲透測(cè)試環(huán)境可用時(shí)間,并保障在安全滲透測(cè)試階段測(cè)試環(huán)境的正常使用(如導(dǎo)入測(cè)試數(shù)據(jù)桨醋、測(cè)試環(huán)境恢復(fù)棚瘟、保障測(cè)試環(huán)境網(wǎng)絡(luò)通暢等)。如果沒(méi)有安全滲透測(cè)試環(huán)境可用喜最,應(yīng)及時(shí)告知安全滲透測(cè)試人員立項(xiàng)不通過(guò)偎蘸,并預(yù)估測(cè)試環(huán)境可用時(shí)間;
當(dāng)產(chǎn)品線測(cè)試負(fù)責(zé)人接收到由安全滲透測(cè)試人員發(fā)出的安全滲透測(cè)試報(bào)告時(shí)瞬内,應(yīng)組織產(chǎn)品線安全滲透測(cè)試報(bào)告會(huì)議迷雪,通知產(chǎn)品負(fù)責(zé)人及研發(fā)負(fù)責(zé)人參加會(huì)議;
產(chǎn)品線測(cè)試負(fù)責(zé)人應(yīng)跟蹤并推動(dòng)研發(fā)測(cè)修復(fù)安全缺陷虫蝶,并主動(dòng)與安全滲透測(cè)試人員溝通安全缺陷復(fù)測(cè)結(jié)果章咧,當(dāng)安全缺陷全部被修復(fù)時(shí),應(yīng)以郵件形式通知所有有關(guān)人員安全滲透測(cè)試流程結(jié)束能真;
2.1.3 產(chǎn)品線產(chǎn)品負(fù)責(zé)人
- 參加產(chǎn)品線安全滲透測(cè)試報(bào)告會(huì)議赁严,參與安全缺陷討論,并以產(chǎn)品體驗(yàn)粉铐、用戶體驗(yàn)的角度提出安全缺陷修復(fù)建議疼约,同時(shí)應(yīng)積極主動(dòng)的協(xié)助測(cè)試負(fù)責(zé)人推動(dòng)安全缺陷修正工作;
2.1.4 產(chǎn)品線研發(fā)負(fù)責(zé)人
- 參加產(chǎn)品線安全滲透測(cè)試報(bào)告會(huì)議蝙泼,參與安全缺陷討論程剥,并以修復(fù)難度、開(kāi)發(fā)成本的角度提出安全缺陷修復(fù)建議踱承, 同時(shí)應(yīng)積極主動(dòng)的進(jìn)行安全缺陷修正工作倡缠;
2.2 其他角色職責(zé)解釋說(shuō)明
產(chǎn)品線測(cè)試人員哨免、研發(fā)人員需積極主動(dòng)的配合安全滲透測(cè)試工作茎活;
相關(guān)研發(fā)人員對(duì)安全缺陷進(jìn)行修復(fù),修改相應(yīng)的代碼琢唾。
產(chǎn)品線測(cè)試人員對(duì)缺陷涉及的功能進(jìn)行回歸測(cè)試载荔,以保證研發(fā)人員修改后,不會(huì)對(duì)產(chǎn)品功能產(chǎn)生影響采桃。
