渗透测试方案

渗透测试方案

ID:21097611

大小:178.50 KB

页数:17页

时间:2018-10-19

渗透测试方案_第1页
渗透测试方案_第2页
渗透测试方案_第3页
渗透测试方案_第4页
渗透测试方案_第5页
资源描述:

《渗透测试方案》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、WORD文档下载可编辑四川品胜安全性渗透测试测试方案成都国信安信息产业基地有限公司二〇一五年十二月专业技术资料分享WORD文档下载可编辑目录目录11.引言21.1.项目概述22.测试概述22.1.测试简介22.2.测试依据22.3.测试思路32.3.1.工作思路32.3.2.管理和技术要求32.4.人员及设备计划42.4.1.人员分配42.4.2.测试设备43.测试范围54.测试内容85.测试方法105.1.渗透测试原理105.2.渗透测试的流程105.3.渗透测试的风险规避115.4.渗透测试的收益125.5.渗透测试工具介绍126.我公司渗透测试优势14

2、6.1.专业化团队优势146.2.深入化的测试需求分析146.3.规范化的渗透测试流程146.4.全面化的渗透测试内容147.后期服务16专业技术资料分享WORD文档下载可编辑1.引言1.1.项目概述四川品胜品牌管理有限公司,是广东品胜电子股份有限公司的全资子公司。依托遍布全国的5000家加盟专卖店,四川品牌管理有限公司打造了线上线下结合的O2O购物平台——“品胜•当日达”,建立了“线上线下同价”、“千城当日达”、“向日葵随身服务”三大服务体系,为消费者带来便捷的O2O购物体验。2011年,品胜在成都温江科技工业园建立起国内首座终端客户体验馆,以人性化的互动

3、设计让消费者亲身感受移动电源、数码配件与生活的智能互联,为追求高品质产品性能的用户带来便捷、现代化的操作体验。伴随业务的发展,原有的网站、系统、APP等都进行了不同程度的功能更新和系统投产,同时,系统安全要求越来越高,可能受到的恶意攻击包括:信息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、APT攻击等。这些攻击完全能造成信息系统瘫痪、重要信息流失。2.测试概述2.1.测试简介本次测试内容为渗透测试。渗透测试:是为了证明网络防御按照预期计划正常运行而提供的一种机制。2.2.测试依据※GB/

4、T25000.51-2010《软件工程软件产品质量要与评价(SQuaRE)商业现货(COTS)软件产品的质量要求和测试细则》※GB/T16260-2006《软件工程产品质量》专业技术资料分享WORD文档下载可编辑※GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》※GB/T20274-2006《信息系统安全保障评估框架》※客户提出的测试需求1.1.测试思路1.1.1.工作思路本次系统测试包括功能测试、性能测试、安全测试以及文档测试,本次测试工作将系统测试对象进行控制点划分,依据项目建设要求和相关标准、规范进行项目系统测试,并加强系统各阶段

5、测试和实施过程控制,完善项目目标控制手段。1.1.2.管理和技术要求1、管理要求为了保证本项目系统综合测试的顺利进行,将对项目实施事前评审和测试过程监督测试管理工作,合理分配项目人员负责相应的测试工作。2、技术要求为了保证本项目系统测试的顺利进行,在本次测试过程中将采取如下技术要求:※渗透测试:验证系统设计的安全性是否满足客户需求。专业技术资料分享WORD文档下载可编辑1.1.人员及设备计划1.1.1.人员分配本次测试组织机构和人员分配如下:项目管理组:杨方秀现场测试组:屈绯颖、王洪斌、项目文档组:龚正质量控制组:杨方秀、屈绯颖1.1.2.测试设备序号设备或

6、仪器名称功能描述数量产地备注1.TestManager测试管理1IBM2.ClearQuest缺陷跟踪1IBM3.xscan用于安全测试的漏洞扫描工具14.测试机测试机2国产专业技术资料分享WORD文档下载可编辑1.测试范围检测分类检测范围Web网站SQL注入XSS跨站脚本网页挂马缓冲区溢出文件上传漏洞源代码泄露目录浏览、遍历漏洞数据库泄露弱口令越权访问会话验证绕过管理地址泄露舆论信息检测中间件漏洞支付安全验证其他(如:写入控制,防止批量添加数据,是否使用验证码等)SOA服务端SQL注入专业技术资料分享WORD文档下载可编辑缓冲区溢出文件上传漏洞目录浏览、遍

7、历漏洞弱口令越权访问会话验证绕过中间件漏洞其他(如:写入控制,防止批量添加数据,是否使用验证码等)APP源生客户端组件安全检测代码安全检测内存安全检测数据安全检测业务安全检测应用管理检测服务器身份鉴别自主访问控制强制访问控制可信路径安全审计剩余信息保护入侵防范专业技术资料分享WORD文档下载可编辑恶意代码防范资源控制数据库数据安全专业技术资料分享WORD文档下载可编辑1.测试内容检测项目检测子类类型扫描测试渗透测试当日达前端SSO单点登录网站WEB√√后端SSO单点登录网站WEB√√当日达商城4期前台网站WEB√√当日达商城3期后台WEB√√当日达商城4期后

8、台WEB√√砸金蛋活动WEB√砸金蛋后台WEB√一元

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。