返回
xx网站应用渗透测试项目技术方案v.

xx网站应用渗透测试项目技术方案v.

ID:15450136

大小:460.50 KB

页数:32页

时间:2018-08-03

xx网站应用渗透测试项目技术方案v._第1页
xx网站应用渗透测试项目技术方案v._第2页
xx网站应用渗透测试项目技术方案v._第3页
xx网站应用渗透测试项目技术方案v._第4页
xx网站应用渗透测试项目技术方案v._第5页
资源描述:

《xx网站应用渗透测试项目技术方案v.》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、xx网站渗透测试项目技术方案密级:商业秘密文档编号:XX渗透测试项目技术方案xx信息技术(北京)股份有限公司2012年10月共32页第32页xx网站渗透测试项目技术方案目录1项目概要41.1项目背景41.2项目目标41.3项目交付41.4项目原则52测试过程62.1客户书面授权62.2制定实施方案62.3风险规避72.4信息收集分析72.5渗透测试82.6取得权限、提升权限82.7评估报告92.7.1渗透测试报告92.7.2整改加固建议93网络层渗透测试103.1门户网站WEB渗透测试103.1.1渗透测试范围103.1.2渗透测试方法103.2系统渗透测试163.2.

2、1渗透测试范围163.2.2渗透测试方法163.3渗透测试风险规避措施194项目实施方案224.1项目实施范围224.2项目实施阶段224.3项目实施计划234.4保密控制244.4.1保密承诺244.4.2场地环境项目期间内的风险保密管理规定244.4.3文档材料的风险管理办法24共32页第32页xx网站渗透测试项目技术方案4.4.4离场及项目结束的风险管理办法254.4.5例外情况254.5项目沟通254.5.1日常沟通、记录和备忘录254.5.2报告254.5.3会议264.6质量管理284.6.1项目执行人员的质量职责284.6.2质量保证过程294.7项目人员

3、305XX的优势315.1工程经验315.2技术积累315.3人才优势316项目报价32共32页第32页xx网站渗透测试项目技术方案1项目概要1.1项目背景Web应用是网络应用和业务的集成,为所有用户提供方便的信息共享和应用共享。Web业务平台已经在电子商务、企业信息化中得到广泛的应用,企业都纷纷将应用架设在Web平台上,为客户提供更为方便、快捷的服务支持。伴随着这种趋势,入侵者也将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。根据Gartner的调查,信息安全攻击有75%都是发生在Web应用层而非网络层面上。同时,数据也显示,三分之二的Web站点

4、都相当脆弱和易受攻击。为保障xx网站系统对外服务的安全,xx公司将根据具体需求,采用成熟、规范的测试方法和工具对xx的网站应用进行渗透测试评估,以及时发现存在的问题,提出恰当的改进建议,为xx网站应用安全提供保障。1.2项目目标针对本次项目,xx主要通过渗透测试的方式,发现和总结xx网站应用中可能面临的各类安全风险,并提出针对性的安全改进建议。1.3项目交付通过本次网站应用渗透测试项目,xx将为xx交付以下成果:n《网站应用安全渗透测试报告》系列报告本报告详细记录本次渗透测试的过程、方法、测试结果及结果分析等内容。n《网站应用安全扫描检测报告》系列报告本报告主要依据工具

5、扫描的结果对网站系统存在的安全问题予以描述并提出解决建议。共32页第32页xx网站渗透测试项目技术方案1.1项目原则xx在项目实施全过程将遵循以下项目原则:规范性原则:在项目实施过程中,xx的工作团队采用规范、统一的标准化工作流程和工作方式;项目文档化遵循xx的文档规范,文档的设计将依照国际、国内及行业内部的相关成熟标准和最佳实践。可控性原则:项目实施过程中所采用的工具、方法和过程要经xx的认可,确保项目进度的推进,保证本次项目的可控性。最小影响原则:项目实施应尽可能小地影响系统和网络的正常运行,不能对现有网络的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网

6、络拥塞、服务中断等)。保密原则:对服务过程中的过程数据和结果数据严格保密,未经授权不泄露给任何单位和个人,不利用此数据进行任何侵害xx的行为。共32页第32页xx网站渗透测试项目技术方案1测试过程1.1客户书面授权合法性即客户书面授权委托,并同意实施方案是进行渗透测试的必要条件。渗透测试首先必须将实施方法、实施时间、实施人员等具体的实施方案提交给客户,并得到客户的相应书面委托和授权。本次书面授权应该做到xx对渗透测试所有细节和风险都知晓,所有过程都在xx的控制下进行。这也是专业渗透测试服务与黑客攻击的本质不同。1.2制定实施方案实施方案应当由我方与xx相关技术人员进行沟

7、通协商。调查了解客户对测试的基本接受情况。内容包括但不限于如下:l目标系统介绍、重点保护对象及特性。l是否允许数据破坏?l是否允许阻断业务正常运行?l测试之前是否应当知会相关部门接口人?l接入方式?外网和内网?l测试是发现问题就算成功,还是尽可能的发现多的问题?l渗透过程是否需要考虑社会工程?在对客户具体情况充分了解的前提下,制定相应的测试流程,安全评估步骤如下:共32页第32页xx网站渗透测试项目技术方案1.1风险规避Ø渗透时间和策略为减轻渗透测试对网络和主机的影响,渗透测试时间应尽量安排在业务量不大的时段或晚上。为了防止渗透测试造成网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。