湖北武汉深信服渗透测试服务

1、渗透测试背景

1.1渗透测试背景

1.1.1 国内安全态势

随着互联网、云计算、大数据、人工智能等技术的不断普及及发展，企业业务系统越来越多向互联网开放，各行各业对于网络的依赖逐步加深。在互联网时代的影响下，网络安全问题日趋严峻。，对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响，信息化和经济全球化相互促进，互联网已经融入社会生活方方面面，深刻改变了人们的生产和生活方式，我国正处在这个大潮之中，受到的影响越来越深。互联网快速发展也是一柄“双刃剑”，在助推经济增长的同时，信息泄露和安全事件也持续增加。

2017年，从NSA 方程式组织网络攻击武器的大规模泄露，到频繁曝光的各类操作系统漏洞、Web应用漏洞;从上半年勒索病毒借助网络武器的大爆发，到下半年各类挖矿攻击的大规模盛行;从日益增长的各种供应链攻击，到各类有针对性的 APT 组织的不断活动。种种爆炸性的网络安全事件让我们深切感受到攻击者的手段更加武器化，利益驱使下的网络攻击呈现产业化、组织化，网络攻击面正在不断扩大。

随着网络安全威胁形势的不断变化，以及网络安全监管逐步加强，安全问题正从过去的固守区域静态防御演化为跨时空动态持续对抗,用户的安全需求从基本合规逐步转向真正的安全防护需求。一方面是安全防御技术不断创新，大数据安全、威胁情报、机器学习、云安全被越来越多的应用于政企用户的安全防护体系中，新的技术、新的知识对于企业现有的安全管理人员来说是一种挑战；另一方面，在面对越来越多的高级威胁、重大安全事件中，组织自身缺少专业的安全人才来更及时、有效的应对。

纵观近几年国内外网络与信息安全态势，可以轻易发现网络安全事件发生频率整体呈上升趋势。勒索病毒、挖矿病毒、CPU的熔断/幽灵、可延续几年的APT攻击、暗网传播的大量0day漏洞、以及跟每个人息息相关的个人信息泄露等威胁让BAT、网易、小米、摩拜、拼多多等大型互联网公司纷纷中招，这些安全事件时时刻刻提醒我们要加强网络与信息安全工作。同时，国家2017年6月1日出台的《中华人民共和国网络安全法》中从法律层面明确网络运营者的相关职责，

1.1.2  组织渗透测试背景

随着近几年来网络信息技术在渗透测试单位内部的逐步深入和应用，带动了产业化的快速发展。伴随着渗透测试单位信息化进程的建设，信息系统中的许多不安全因素越来越暴露出来，且已经（或正在）威胁着渗透测试单位的许多工作的正常开展，可能给渗透测试单位造成巨大的经济损失。

因此，为运行中的渗透测试等系统进行一次全面的安全风险评估就显得很有必要了。通过这次评估，可以全面了解当前渗透测试X等信息系统的安全状况，分析系统所面临的各种风险，目前防护水平如何，以及可能已经潜伏到渗透测试单位内部网络环境的威胁，根据评估结果发现系统存在的安全风险，对影响严重的风险提出相应的控制措施。

1.2 渗透测试目标

1.2.1了解安全现状

通过本次信息安全风险评估活动，进一步摸清组织信息系统的安全现状。

通过对信息资产的识别，明确组织当前最需要保护什么以及保护对象的优先级序列；

通过威胁识别以威胁视图的形式，明确了组织信息系统面临的信息安全威胁；

通过脆弱性识别可以了解当前信息系统漏洞的统计和分布情况；

通过对现有的安全控制措施的识别与确认，可以清晰地描述出当前的安全体系以及尚缺的安全控制措施。

1.2.2  辅助管理层决策

在风险评估识别阶段完成后，风险的主要构成要素均已被识别。经过对信息安全风险的描述、量化和展现，可以使组织信息系统的相关管理者从组织战略及业务的高度，增强信息安全意识，提高信息安全防范水平，制定风险控制计划，消除安全隐患。

1.2.3 满足合规检查

为进一步加强“网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改”等重要指示精神，推进《中华人民共和国网络安全法》实施，针对用户重要业务应用，提供专业高效的安全评估服务，提前发现潜在漏洞，及时处置安全问题，规避监管部门的安全通报，满足监管要求的合规性检查。

1.3渗透测试收益

1）能够更加有效进行资产管理，明确保护对象的优先序列；

2）能够对已经入侵的潜伏威胁进行深度识别分析，能够降低现有的安全隐患导致的安全事件发生几率；

3）了解安全现状及已有安全控制措施的防护效果；

4）根据安全风险评估结果，深信服给出符合用户实际情况的加固建议及后期建设方案，进行更有针对性的安全建设，为后续的安全工作提供方向及依据；

5）倡导适度安全，遵循风险管理原则判断风险可接受程度，避免因刻意追求绝对安全而造成过度投资的现象；

6）提供客观公正的评估报告，辅助领导决策后期安全建设工作；

7）倡导效率与安全的平衡，工作效率与安全要求往往呈对立趋势，通过风险评估工作判断工作效率与安全要求的平衡点，既保证了工作效率不会大幅受限，又尽可能满足了安全要求。

2 渗透测试服务

2.1服务定义

渗透测试是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全作深入的探测，发现系统最脆弱的环节，能够直观的让管理人员知道自己业务及网络所面临的问题。

2.2  测试方法

渗透测试完全模拟黑客的入侵思路与技术手段，黑客的攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样的道理。以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。

针对各应用系统的渗透测试方法包括以下方法但不局限于以下方法：

测试方法	描述
信息收集	信息收集是渗透攻击的前提，通过信息收集可以有针对性地制定模拟攻击测试计划，提高模拟攻击的成功率，同时可以有效的降低攻击测试对系统正常运行造成的不利影响。 信息收集的方法包括端口扫描、操作系统指纹判别、应用判别、账号扫描、配置判别等。
端口扫描	通过对目标地址的TCP/UDP端口扫描，确定其所开放的服务的数量和类型，这是所有渗透测试的基础。通过端口扫描，可以基本确定一个系统的基本信息，结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点，为进行深层次的渗透提供依据。
口令猜测	本阶段将对暴露在公网的所有登陆口进行口令猜解的测试，找出各个系统可能存在的弱口令或易被猜解的口令。猜解成功后将继续对系统进行渗透测试，挖掘嵌套在登录口背后的漏洞、寻找新的突破口以及可能泄漏的敏感信息，并评估相应的危害性。猜解的对象包括：WEB登录口、FTP端口、数据库端口、远程管理端口等。
远程溢出	这是当前出现的频率最高、威胁最严重，同时又是最容易实现的一种渗透方法，一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。 对于在防火墙内的系统存在同样的风险，只要对跨接防火墙内外的一台主机攻击成功，那么通过这台主机对防火墙内的主机进行攻击就易如反掌。
本地溢出	本地溢出是指在拥有了一个普通用户的账号之后，通过一段特殊的指令代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户的密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。 多年的实践证明，在经过前期的口令猜测阶段获取的普通账号登录系统之后，对系统实施本地溢出攻击，就能获取不进行主动安全防御的系统的控制管理权限。
脚本测试	脚本测试专门针对Web服务器进行。根据最新的技术统计，脚本安全弱点为当前Web系统尤其存在动态内容的Web系统存在的主要比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限，重则将有可能取得系统的控制权限。因此对于含有动态页面的Web系统，脚本测试将是必不可少的一个环节。
权限获取	通过初步信息收集分析，存在两种可能性，一种是目标系统存在重大的安全弱点，测试可以直接控制目标系统；另一种是目标系统没有远程重大的安全弱点，但是可以获得普通用户权限，这时可以通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机资料信息，寻求本地权限提升的机会。这样不停的进行信息收集分析、权限提升的结果形成了整个的渗透测试过程。

 

2.3  服务方式

深信服的渗透测试服务根据测试的位置不同可以分为现场测试和远程测试；根据测试的方法不同分为黑盒测试和白盒测试两类；根据服务的周期不同分为单次服务和年度服务两种类型。

2.3.1 现场测试和远程测试

现场测试是指经过用户授权后，测试人员到达用户工作现场，根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。这种测试的好处就在于免去了测试人员从外部绕过防火墙、入侵保护等安全设备的工作。一般用于检测内部威胁源和路径。

远程测试与现场测试相反，测试人员无需到达客户现场，直接从互联网访问用户的某个接入到互联网的系统并进行测试即可。这种测试往往是应用于那些关注门户站点的用户，主要用于检测外部威胁源和路径。

2.3.2 黑盒测试和白盒测试

黑盒测试是指测试人员对除目标系统的IP或域名以外的信息一无所知的情况下对系统发起的测试工作，这种方式可以较好的模拟黑客行为，了解外部恶意用户可能对系统带来的威胁。

白盒测试则是指测试人员通过用户授权获取了部分信息的情况下进行的测试，如：目标系统的帐号、配置甚至源代码。这种情况用户模拟并检测内部的恶意用户可能为系统带来的威胁。

2.3.3 单次服务和年度服务

单次服务是指深信服一次性为客户的被测系统提供渗透测试服务，服务完成后提交测试报告并指导客户进行问题修复。单次服务仅能够就目前可能存在的各种安全问题展开测试，对于一些将来可能会暴露出来的安全问题无能为力。

2.4  服务工具

本渗透测试使用的测试工具，部分如下表所示：

工具类型	测试工具名称
信息收集工具	搜索引擎：Google、百度、Bing等 DNS工具：Nslookup、DIG、DNSmap等 信息探索工具：matigoo 在线网络数据库：APNIC、Ripe、Sucuri、Netcraft等
扫描工具	Nmap等
口令猜测工具	Hydra
溢出测试工具	MetaSploit工具集
脚本测试工具	Burpsuite、JbroFuzz等
其他安全测试工具	1、钩子工具，有RING3钩子、RING0钩子； 2、内存读取测试工具； 3、屏幕截图和屏幕录像工具； 4、wireshark等网络嗅探工具。

 

2.5 服务范围

Ø 操作系统漏洞

Ø 数据库系统漏洞

Ø Web服务漏洞

Ø 中间件漏洞

Ø Ftp服务漏洞

Ø 远程控制漏洞

Ø 网络边界漏洞

Ø  信任机制漏洞

Ø 恶意代码传播漏洞

2.6 服务流程

2.7  测试内容

本渗透测试渗透测试包括但不限于以下内容：

 

 

2.8 交付材料

完成后交付以下资料：《渗透测试报告》、《渗透测试复测报告》。

2.9  服务收益

通过实施渗透测试服务，可对客户的信息化系统起到如下推进作用：

明确安全隐患

渗透测试是一个从空间到面再到点的过程，测试人员模拟黑客的入侵，从外部整体切入最终落至某个威胁点并加以利用，最终对整个网络产生威胁，以此明确整体系统中的安全隐患点。

提高安全意识

任何的隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果，因此渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷，从而降低整体风险。

提高安全技能

在测试人员与用户的交互过程中，可提升用户的技能。另外，通过专业的渗透测试报告，也能为用户提供当前流行安全问题的解决思路。

3 漏洞扫描服务

3.1 服务定义

安全漏洞扫描服务，针对系统、设备、应用的脆弱性进行自动化检测，帮助企业或者组织来侦测、扫描和改善其信息系统面临的风险隐患；侦测某个特定设备的系统配置、系统结构和属性；执行安全评估和漏洞检测。

3.2  服务依据

 

u《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）

u《中华人民共和国计算机信息系统安全保护条列》

u   GB/T 20270-2006 信息安全技术 《网络基础安全技术要求》

uGB/T 20271-2006 信息安全技术 《信息系统通用安全技术要求》

u GB/T 20272-2006 信息安全技术 《操作系统安全技术要求》

uGB/T 20273-2006 信息安全技术 《数据库管理系统安全技术要求》

uGB/T 20278-2006 信息安全技术 《网络脆弱性扫描产品技术要求》

u  GB/T 20280-2006 信息安全技术 《网络脆弱性扫描产品测试评价方法》

uGB/T 21028-2007 信息安全技术 《服务器安全技术要求》

u GB/T 21050-2007 信息安全技术 《网络交换机安全技术要求》

u  GB/Z 20985-2007 信息安全技术 《补丁与脆弱性管理指南》

u GB/T 20984-2007 信息安全技术 《信息安全风险评估规范》

u《Common Vulnerabilities & Exposures公共漏洞和暴露》

3.3  服务范围

安全漏洞扫描服务可以为客户提供包括网络设备、操作系统、数据库、常见应用服务器以及WEB应用等范围的扫描。

漏洞扫描的详细服务范围如下：

u操作系统

Windows、发行版Linux、AIX、UNIX通用、Solaris、FreeBSD、HP-UX、BSD等主流操作系统。

u 数据库

Oracle、MySQL、MSSQL、Sybase、DB2、Informix等主流数据库。

u常见应用服务

Apache、IIS、Tomcat、Weblogic等主流应用服务，常见FTP、EMAIL、DNS、TELENT、POP3、SNMP、SMTP、Proxy、RPC服务等。

u Web应用程序

ASP、PHP、JSP、.NET、Perl、Python、Shell等语言编写的WEB应用程序。

u 网络设备

常见的路由器、交换机等设备。

3.4服务内容

安全漏洞扫描会对信息系统内的网络设备、操作系统、应用软件、中间件和服务等进行安全漏洞识别，详细内容如下：

3.4.1  网络层漏洞识别

u版本漏洞，包括但不限于IOS存在的漏洞，涉及包括所有在线网络设备及安全设备。

u开放服务，包括但不限于路由器开放的Web管理界面、其他管理方式等。

u空弱口令，例如空/弱telnet口令、snmp口令等。

u 网络资源的访问控制：检测到无线访问点。

u 域名系统：ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞，Microsoft Windows DNS拒绝服务攻击。

u 路由器：Cisco IOS Web配置接口安全认证可被绕过，Nortel交换机/路由器缺省口令漏洞，华为网络设备没有设置口令。

3.4.2 操作系统层漏洞识别

u操作系统（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系统补丁、漏洞、病毒等各类异常缺陷。

u 空/弱口令系统帐户检测。

u例如：身份认证：通过telnet进行口令猜测。

u 访问控制：注册表 HKEY_LOCAL_MACHINE 普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录。

u 系统漏洞：System V系统Login远程缓冲区溢出漏洞，Microsoft Windows Locator服务远程缓冲区溢出漏洞。

u  安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统。

3.4.3 应用层漏洞识别

u 应用程序（包括但不限于数据库Oracle、DB2、MS SQL，Web服务，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失补丁或版本漏洞检测。

u空弱口令应用帐户检测。

u数据库软件：Oracle tnslsnr没有设置口令，Microsoft SQL Server 2000 Resolution服务多个安全漏洞。

u Web服务器：Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞，Microsoft IIS 5.0 .printer ISAPI远程缓冲区溢出，Sun ONE/iPlanet Web服务程序分块编码传输漏洞。

u电子邮件系统：Sendmail头处理远程溢出漏洞，Microsoft Windows 2000 SMTP服务认证错误漏洞。

u 防火墙及应用网管系统：Axent Raptor防火墙拒绝服务漏洞。

u其它网络服务系统：Wingate POP3 USER命令远程溢出漏洞，Linux系统LPRng远程格式化串漏洞。

3.5 服务方式

3.5.1  本地扫描和互联网扫描

本地扫描是指经过用户授权后，扫描人员达到用户工作现场，根据用户的扫描目标直接接入到用户的办公网络或业务网络中。这种扫描的好处就在于免去了扫描人员从外部绕过防火墙、入侵保护等安全设备的工作。一般用于检测内部服务器地址的威胁源或路径。

互联网扫描与本地扫描相反，扫描人员无需到达客户下场，直接从互联网访问用户的某个接入到互联网的系统并进行扫描即可。这种扫描往往是应用于那些关注互联网开放服务的用户，主要用于检测互联网开放服务的威胁源或路径。

3.5.2   单次服务和年度服务

安全漏洞扫描服务包括一次性服务和年度服务两种形式，服务地点可以选择客户现场和远程两种方式，客户可以根据需要选择适合自己的服务方式。

单次服务：适合漏洞出现不太频繁的系统。在客户提供扫描目标后，由扫描人员一次性扫描后，针对扫描结果进行输出，完成扫描后向客户提交报告，并指导客户进行漏洞的修补。单次服务能够发现扫描时间点之前的所有安全问题，有效帮助客户确认系统当前面临的安全风险。

年度服务：适合漏洞出现较为频繁的系统。服务期限以年为单位，服务年度内帮助客户进行有限次数（每月/双月/季度/半年）的漏洞扫描工作，每次扫描均会提供详细的扫描报告，并指导客户进行漏洞修补。

3.6服务流程

整个安全漏洞扫描服务的流程分为三个阶段：准备阶段、扫描过程和报告汇报。通过这三个阶段结合安全漏洞扫描内容和实际客户系统情况，完成安全漏洞扫描服务。

准备阶段：前期技术交流包括相关安全扫描技术、扫描原理、扫描方式及扫描条件进行交流和说明；同时商谈安全漏洞扫描服务的范围，主要是哪些主机，网络设备，应用系统等；并结合实际业务情况需求，确定扫描范围，扫描实施的时间，设备接入点，IP地址的预留，配合人员及其他相关的整体漏扫方案。

扫描过程：依据前期准备阶段的漏扫方案，进行漏洞扫描、漏洞分析和漏洞测试，扫描过程主要是进行范围内的漏洞信息数据收集，为下一步的报告撰写提供依据和数据来源。漏洞扫描，主要采用漏洞扫描工具进行范围内的安全扫描。漏洞分析，主要是对扫描结果进行分析，安全工程师会结合扫描结果和实际客户系统状况，进行安全分析。漏洞验证，对部分需要人工确定和安全分析的漏洞，进行手工测试，以确定其准确性和风险性。

报告与汇报：这个阶段主要对现场进行扫描后的数据进行安全分析，安全工程师对漏洞扫描工具输出的报告，漏洞分析结果及漏洞测试具体情况进行综合梳理，分析，总结。最后给出符合客户信息系统实际情况的安全需求的安全建议。

3.7服务注意事项及措施

漏洞扫描是一项风险比较高的测试活动，扫描不当可能导致被扫描目标发生服务性能下降、影响其可用性。漏洞扫描还会尝试部分漏洞或者配置的脆弱性验证，可能会与原有的管理发生冲突，这些可以在扫描方案确定前进行沟通和交流，以此降低风险。扫描实施的时间选择，最好是避免业务高峰期和重要时期内。

深信服会通过以下手段降低服务过程中的各种风险。

u 专业设备

服务中采用深信服的漏洞扫描工具进行扫描。深信服的漏洞扫描工具已获得销售许可证，用户群体包括运营商、金融、政府、中小企业等各行各业。凭借深信服强大的技术实力，产品一直深受客户好评，普遍反映产品工作稳定可靠，漏洞检测准确、不影响系统的正常运行。

u解决方案验证

在将具体的漏洞解决方案提交给客户前，扫描人员会进行漏洞误报的验证，确保漏洞的真实性。

u数据加密

客户提供的任何信息以及扫描人员测试所获得的数据均属于客户的机密数据，深信服有义务保护好这些数据，不将其泄露给第三方个人或组织。为了保证客户信息的安全性，所有扫描人员获得的客户数据（包括客户联系方式、被测目标的相关信息，如应用、漏洞列表等）均采用加密方式存储，并且仅在渗透测试范围内扩散；所有与客户之间的数据交互（电话除外）均采用SSL加密传输，包括电子邮件、直接U盘拷贝等。

u 管理监控

为了确保扫描人员严格执行客户相关信息的保密工作，公司安排了专门的人员实时负责监督和纠正扫描人员工作中可能出现的危害的客户信息安全的行为。

u操作记录

扫描人员会对服务过程中的每一个关键环节进行详细的记录，包括什么时候收到客户信息、什么时候进行了哪些工作等等，以便出现意外后进行追查。

在服务过程中，扫描人员若需要对被测系统进行任何操作，均会在操作之前以电话（或邮件）等形式通知客户，在取得客户同意后开始工作。

3.8服务工具

漏洞扫描工具

3.9交付资料

安全工程师在实施安全漏洞扫描服务过程中，严格按照深信服安全服务的流程，在现场进行安全扫描方案实施漏洞扫描后，会在两个工作日（需根据扫描对象的数量进行实际调整）内出示一份漏洞扫描报告。报告名称如下：

u《系统安全漏洞扫描报告》

u《IP地址段安全漏洞扫描报告》

报告中，会对此次扫描服务范围内的安全状况进行一个整体概述，对主机系统，网络设备，开放服务和漏洞情况进行一个统计。还包括弱口令，每个主机的安全扫描报告。以上内容会通过表格，饼状图，柱状图直观地表现漏洞情况和安全情况。

评估人员将会根据漏洞扫描的结果针对每个漏洞进行详细描述，描述内容至少包括了漏洞厂商、威胁目标、危险级别、危害描述、检测依据以及深信服提供的详细解决方案等。

除此之外，评估人员还将结合检测目标的具体应用提出深层次的安全建议，为管理人员的后期维护提供参考。

3.10 服务收益

明确漏洞修补目标

漏洞扫描报告中明确了漏洞的修补建议，客户不再需要耗费大量的时间去分析哪些漏洞需要怎么处理，既减少了漏洞分析过程所耗费的时间，也可以将主要的精力放在漏洞的修补上面。而且漏洞扫描报告中已经提供了关于每个漏洞确实可行的修补方案，客户一般只需要按照建议修补即可。

提高安全意识

周期性的漏洞扫描可以及时为客户提供近期系统中存在的安全漏洞，解决了因管理人员忙于其它事务没时间进行漏洞扫描而带来的安全管理缺失。

4  基线核查服务

4.1服务定义

随着行业信息化建设的不断深入，生产、业务支撑系统的网络结构越来越复杂，由此带来的各种应用和服务器的数量及种类也日益增多，一旦发生维护人员误操作，或者采用一成不变的初始系统设置，就可能会带来安全隐患，影响系统的可靠运行。

基线核查服务就是针对漏洞扫描工具不能有效发现的方面（网络设备的安全策略弱点和部分主机的安全配置错误等）进行安全辅助的一种有效评估手段。除已知、未知的漏洞外，安全配置的弱点或配置上的缺陷也同样会被攻击者利用，因此，有必要对组织范围内的系统和设备进行基线核查。

4.2 服务依据

uGB/T 20270-2006 信息安全技术 《网络基础安全技术要求》

uGB/T 20271-2006 信息安全技术 《信息系统通用安全技术要求》

uGB/T 20272-2006 信息安全技术 《操作系统安全技术要求》

uGB/T 20273-2006 信息安全技术 《数据库管理系统安全技术要求》

uGB/T 21028-2007 信息安全技术 《服务器安全技术要求》

uGB/T 21050-2007 信息安全技术 《网络交换机安全技术要求》

u GB/Z 20985-2007 信息安全技术 《补丁与脆弱性管理指南》

uGB/T 20984-2007 信息安全技术 《信息安全风险评估规范》

uGB/T 18336:2001信息技术 安全技术 信息技术安全性评估准则

4.3 服务范围

基线核查服务范围包括各种网络设备、安全设备、主机操作系统、数据库、常见中间件及网络服务应用等。详细如下表所示：

表 1.1        安全配置服务实施范围

4.4 服务内容

基线核查的服务内容主要集中在设备的账号管理、口令管理、认证授权、日志配置、进程服务、外部端口等几个方面，覆盖了与安全问题相关的各个层面。

基线核查服务的针对不同系统的具体检查内容如下：

4.4.1网络设备基线核查内容

网络设备基线核查包含但不限于以下内容：

uOS安全

u帐号和口令管理

u认证和授权策略

u网络与服务

u访问控制策略

u通讯协议、路由协议

u日志审核策略

u  加密管理

u设备其他安全配置

4.4.2主机操作系统检查内容

主机操作系统基线核查包含但不限于以下内容：

u系统漏洞补丁管理

u帐号和口令管理

u认证、授权策略

u网络与服务、进程和启动

u文件系统权限

u访问控制

u通讯协议

u日志审核功能

u剩余信息保护

u其他安全配置

4.4.3数据库检查内容

数据库基线核查包含但不限于以下内容：

u漏洞补丁管理

u 帐号和口令管理

u认证、授权策略

u访问控制

u通讯协议

u日志审核功能

u 其他安全配置

4.4.4中间件及常见网络服务检查内容

中间件及常见网络服务基线核查包含但不限于以下内容：

u 漏洞补丁管理

u帐号和口令管理

u认证、授权策略

u通讯协议

u日志审核功能

u其他安全配置

4.5服务方式

4.5.1人工检查

人工检查的内容主要包括登录信息收集、配置安全分析和形成检查报告。其中配置安全分析是比较重要的环节，分析结果直接影响报告的准确性、权威性。

4.5.2自动化检查

自动化检查是借助深信服的基线核查系统来自动化完成部分工作。自动化工具主要自动化完成目标设备登录、设备配置检查和配置信息记录工作，此部分工作借助自动化工具是为了消除手工误操作的隐患，提高检查效率和精确度。

4.6 服务流程

l收集被检查系统相关的登录信息，并将登录凭证录入到自动化检查工具中；

l自动化检查工具进行被检查系统登录；

l自动化检查工具使用内置的检查规则，对被监测系统进行配置检查；

l自动化检查工作将检查收集到结果进行格式化保存，并与预定义的判断依据进行对比分析；

l将自动化工具对比分析结果进行统计分析；

l 形成基线核查报告。

4.7服务注意事项及措施

4.7.1  风险规避方法

为保证基线核查工作的顺利完成，应采取以下手段规避可预见的风险。

1. 减少安全配置核查系统并行任务；

2. 选择业务闲时执行安全配置核查系统任务；

3. 敏感信息加密保存。

4.7.2异常处置方法

业务出现异常时，立即停止自动化检查工作。按照原始配置记录文件恢复配置，并进行相关测试确保业务的正常运行。

异常处理流程：

1、停止检查工具运行，查看设备是否恢复正常；若恢复，调查故障原因；

2、如果没有恢复，重启设备；若恢复，调查故障原因；

3、如果没有恢复，更换备份设备并检查网络是否恢复正常，调查故障原因；

4、形成故障分析报告。

4.8 服务工具

基线核查系统

4.9 交付资料

安全工程师在实施基线核查服务过程中，严格按照深信服安全服务的流程，现场工作结束后，一般会在三个工作日内完成基线核查报告（视被检查设备数量而定），报告名称如下：

《XX基线核查报告》

基线核查报告会包括工作基本任务描述、工作相关人员、时间、地点、范围、内容等多方面内容，并对被检查信息安全配置进行客观的评价，对存在安全隐患或配置缺失的部分给出有针对性的安全修补建议。

4.10 服务收益

通过现场人工实施，辅之以安全基线工具，对客户的网络设备、主机、数据库、中间件等常见应用的安全策略配置进行科学、全面、认真的检查，输出专业的检查报告。

5 代码审计服务

5.1  服务定义

源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷，从而让开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷。

5.2 服务依据

u OWASP TOP 10

u CWE/SANS TOP 25

u  深信服源代码审计最佳实践

u  深信服安全服务工作规范、源代码审计实施规范

5.3服务范围

深信服源代码审计服务的范围包括使用ASP、ASP.NET（VB/C#）、JSP（JAVA）、PHP等主流语言开发的B/S应用系统、使用C++、JAVA、C#、VB等主流语言开发的C/S应用系统，以及使用XML语言编写的文件、SQL语言和数据库存储过程等。

5.4服务分类

5.4.1   整体源代码审计和功能点人工源代码审计

整体源代码审计是指源代码审计服务人员对被审计系统的所有源代码进行整体的安全审计，代码覆盖率为100%，整体源代码审计采用源代码扫描和人工分析确认相结合的方式进行分析，发现源代码存在的安全漏洞。但整体源代码审计属于白盒静态分析，仅能发现代码编写存在的安全漏洞，无法发现业务功能存在的缺陷。

功能点人工源代码审计是对某个或某几个重要的功能点的源代码进行人工源代码审计，发现功能点存在的代码安全问题。功能点人工源代码审计需要收集系统的设计文档、系统开发说明书等技术资料，以便源代码审计服务人员能够更好的了解系统业务功能。由于人工源代码审计工作量极大，所以需要分析并选择重要的功能点，有针对性的进行人工源代码审计。

5.4.2  单次服务和年度服务

单次服务是指深信服一次性为客户的被审计系统提供源代码审计服务，服务完成后提交源代码审计报告并指导客户进行问题修复。单次服务仅能够发现目前源代码中可能存在的各种安全问题，对于系统后续开发产生的安全问题无能为力。

年度服务是指深信服以一定的时长（可以是半年、年等）为单位向客户提供有限次数（每月/双月/季度/半年）的源代码审计服务，每次源代码审计均会提供详细的源代码审计报告。年度服务能够持续跟进系统的安全情况，在服务期限内最大限度保证系统的安全。

5.5   服务流程

深信服源代码审计服务主要分为四个阶段，包括源代码审计前期准备阶段、源代码审计阶段实施、复查阶段实施以及成果汇报阶段：

u  前期准备阶段

在实施源代码审计工作前，技术人员会和客户对源代码审计服务相关的技术细节进行详细沟通。由此确认源代码审计的方案，方案内容主要包括确认的源代码审计范围、最终对象、审计方式、审计要求和时间等内容。

u   源代码审计阶段实施

在源代码审计实施过程中，深信服源代码审计服务人员首先使用源代码审计的扫描工具对源代码进行扫描，完成初步的信息收集，然后由人工的方式对源代码扫描结果进行人工的分析和确认。

根据收集的各类信息对客户要求的重要功能点进行人工源代码审计。

结合自动化源代码扫描和人工源代码审计两方的结果，源代码审计服务人员需整理源代码审计服务的输出结果并编制源代码审计报告，最终提交客户和对报告内容进行沟通。

u复测阶段实施

经过第一次源代码审计报告提交和沟通后，等待客户针对源代码审计发现的问题整改或加固。经整改或加固后，源代码审计服务人员进行回归检查，即二次检查。检查结束后提交给客户复查报告和对复查结果进行沟通。

u 成果汇报阶段

根据一次源代码审计和二次复查结果，整理源代码审计服务输出成果，最后汇报渗透测试领导。

5.6 服务注意事项

为避免风险的产生，源代码审计工作通常不会在生产或测试服务器上进行。客户需要提供源代码或存储源代码的计算机载体。源代码审计服务人员会将一些源代码审计工具安装在存储源代码的计算机载体中，在完成源代码审计后卸载这些工具，以保护客户资产。

在源代码审计过程中，确定源代码审计服务人员和客户方配合人员的联系方式，便于及时沟通并解决服务过程中的各类问题。

5.7  源代码审计方法论

5.7.1 代码检查技术

代码检查是源代码审计工作中最常使用的一种技术手段。代码检查可以由人工进行，也可以借助代码检查工具自动进行。在实际应用中，通常采用“自动分析+人工验证”的方式进行。

代码检查的目的在于发现代码本身存在的问题，如代码对标准的遵循、可读性，代码的逻辑表达的正确性，代码结构的合理性等方面。通过分析，可以发现各种违背程序编写标准的问题，主要包括以下几类。

5.7.1.1 源代码设计

源代码设计问题通常来源于程序设计之初，例如代码编写工具的使用等。在这方面的审计主要是分析代码的系统性和约束范围，主要从下面的几个方面进行：

u不安全的域

u不安全的方法

u不安全的类修饰符

u 未使用的外部引用

u 未使用的代码

5.7.1.2 错误处理不当

这类问题的检查主要是通过分析源代码了解程序在管理错误、异常、日志记录以及敏感信息等方面是否存在缺陷。如果程序处理这类问题不当，最可能的问题是将敏感信息泄露给攻击者，从而可能导致危害性后果。这类问题主要体现在以下几个方面：

u程序异常处理

u返回值用法

u空指针

u 日志记录

5.7.1.3直接对象引用

直接对象引用意指在引用对象时没有进行必要的校验，从而可能导致被攻击者利用。通过代码检查，审计人员可以分析出程序是否存在直接对象引用以及相应的对象引用是否安全。直接独享引用问题主要有以下几类：

u直接引用数据库中的数据

u直接引用文件系统

u直接引用内存空间

5.7.1.4资源滥用

资源滥用是指程序对文件系统对象、CPU、内存、网络带宽等资源的不恰当使用。资源使用不当可能导致程序效率降低，遭受拒绝服务攻击的影响。代码检查中，审计人员将会根据编码规范分析代码中对各种资源的引用方法进行分析，发现其中可能导致资源过度占用方面的问题。资源占用方面的问题主要有以下几类：

u不安全的文件创建、修改和删除

u竞争冲突

u 内存泄露

u不安全的过程创建

5.7.1.5API滥用

API滥用是指由系统或程序开发框架提供的API被恶意使用，导致出现无法预知的安全问题。检查过程中，审计人员将会针对此类问题来对源代码进行分析以发现此类问题。API滥用主要有下面几种类型：

u  不安全的数据库调用

u  不安全的随机数创建

u 不恰当的内存管理调用

u不全的字符串操作

u 危险的系统方法调用

u对于Web应用来说不安全的HTTP会话句柄也是API滥用的一种。

5.8 应用代码关注要素

5.8.1跨站脚本漏洞

漏洞：对用户的输入没有采用有效的安全控制手段就将用户输入插入到返回页面中。

影响：攻击者可以利用存在XSS漏洞的Web网站攻击浏览相关网页的用户，窃取用户会话中诸如用户名和口令（可能包含在Cookie里）等敏感信息、通过插入恶意代码对用户执行挂马攻击、XSS漏洞还可能被攻击者用于网页篡改。

5.8.2 跨站请求伪装漏洞

漏洞：提交表单中没有用户特有的标识。

影响：攻击者可利用跨站请求伪装 (CSRF) 漏洞假冒另一用户发出未经授权的请求，即恶意用户盗用其他用户的身份使用特定资源。

5.8.3SQL注入漏洞

漏洞：对访问数据库的SQL语句没有进行任何过滤，可能导致SQL注入。

影响：如果SQL注入成功，攻击者可以获取网站数据库的信息，可以修改删除数据库，还可能获取执行命令的权限，进而完全控制服务器。

5.8.4 命令执行漏洞

漏洞：系统中使用了一些调用操作系统函数的命令，在调用过程中，如果命令的来源不可信，系统可能执行恶意命令。

影响：攻击者有可能把要执行的命令替换成恶意命令，如删除系统文件。

5.8.5日志伪造漏洞

漏洞：将未经验证的用户输入写入日志。

影响：攻击者可以利用该漏洞伪造日志条目或将恶意内容注入日志。

5.8.6参数篡改

漏洞：一些重要参数可能会被篡改。

影响：攻击者能够通过篡改重要参数或方法对系统进行攻击。

5.8.7 密码明文存储

漏洞：配置文件中存储明文密码。

影响：在配置文件中存储明文密码可能会危及系统安全，攻击者可以轻易获取到系统密码。

5.8.8配置文件缺陷

漏洞：配置文件内容存在缺陷，例如未设置统一的错误响应页面。

影响：攻击者能够利用配置文件的缺陷对系统进行攻击。

5.8.9 路径操作错误

漏洞：用户输入没有有效的安全控制手段就直接对文件进行操作。

影响：攻击者可以控制路径参数，访问或修改其他受保护的文件。

5.8.10 资源管理

漏洞：使用完资源后没有关闭，或者可能关闭不成功。

影响：攻击者有可能通过耗尽资源池的方式发起拒绝服务攻击，导致服务器性能降低，甚至宕机。

5.8.11不安全的Ajax调用

漏洞：系统存在不安全的Ajax调用。

影响：攻击者能够利用该漏洞绕过验证程序或直接编写脚本调用Ajax方法实现越权操作。

5.8.12 系统信息泄露

漏洞：异常捕获泄露系统信息。

影响：攻击者可以从泄露的信息中找到有用信息，发起有针对性的攻击。

5.8.13 调试程序残留

漏洞：代码包含调试程序，如：主函数。

影响：调试程序会在应用程序中建立一些意想不到的入口点被攻击者利用。

5.9服务工具

本章节列出部分常见的源代码审计工具，但并不能完整包括真实环境下的全部审计工具。

5.9.1 信息收集工具

TextCrawler

5.9.2 静态分析工具

RSM

Fortify SCA

SSW Code Auditor

FindBugs

CAT.NET

FxCop

MSScasi

PMD

5.9.3  源码提取工具

Reflector

Java Decompiler

5.10  交付资料

在审计工作完成后两个工作日内，深信服审计人员将出示一份报告，报告名称如下：

《源代码审计报告》

在报告中，审计人员将会根据审计结果针对源代码中的每个安全弱点进行详细描述，描述内容至少包括安全弱点所在的代码页名、代码行数、问题代码片段以及弱点可能导致的安全问题等。

除此之外，审计人员还将针对各种具体的安全弱点提供解决方案和相关的安全建议，为管理/开发人员的维护和问题修补工作提供参考。

5.11  服务收益

明确安全隐患点，可以从整套源代码切入最终明确至某个威胁点并加以验证。

提高安全意识，有效督促管理人员杜绝任何一处小的缺陷，从而降低整体风险。

提升开发人员安全技能，通过审计报告，以及安全人员与开发人员的沟通，开发人员更好的完善代码安全开发规范。

6 APP检测服务

6.1 服务定义

移动APP安全测试是一个具有高度针对性的技术评估服务，它的重点在于通过对网络通讯、服务器端、客户端、数据和业务逻辑等多个层面进行细致的梳理、测试和分析，发现移动APP面临的安全风险。

移动APP安全评估主要针对APP客户端漏洞和对应的APP服务端进行安全测试。其中客户端的安全测试包括移动APP自身出现的漏洞和移动APP所调用的系统组件漏洞。服务端的安全测试包括传输安全测试和服务端应用安全测试。

6.2  服务依据

lOWASP_Code_Review_Guide

lOWASP_Testing_Guide

l OWASP_Top_10_2010

lOWASPMobileSecurityProject

lSANS:CWE/SANSTOP25MostDangerousSoftwareErrors

l信息安全风险评估规范(GB/T20984-2007)

l 信息安全管理实用规则(GB/T19716-2005)(ISO/IEC17799:2000)

 信息系统安全风险评估实施指南

l信息安全技术-信息系统安全等级保护级别要求-移动互联网要求标准

l电子银行安全评估指引

l银行业金融机构信息科技外包风险管理指引

l网上银行信息系统通用安全规范

l 中国金融移动支付标准

6.3服务范围

本项工作是对组织指定的Android、IOS，在取得组织授权的前提下，对网络通讯、服务器端、客户端、数据和业务逻辑等多个层面进行细致的梳理、测试和分析，发现移动APP面临的安全风险。

6.4服务内容

6.4.1Android评估

1）组件安全

l Activity越权检测

针对Activity进行静态分析并构造畸形数据进行攻击测试，检测是否存在会导致敏感信息泄露或包含敏感操作的导出组件。

lActivity拒绝服务检测

针对Activity进行静态分析并构造畸形数据进行攻击测试，检测是否存在会导致拒绝服务的导出组件。

l Activity劫持保护检测

使用劫持工具对AP进行劫持，检测移动应用是否包含劫持风险。

l Service越权检测

针对Service进行静态分析，并构造畸形数据进行动态攻击测试。检测是否存在会导致敏感信息泄露或包含敏感操作的导出组件。

l Service拒绝服务检测

针对Service进行静态分析，并构造畸形数据进行动态攻击测试。检测是否存在会导致拒绝服务的导出组件。

l Receiver越权检测

针对BroadcastReceiver进行静态分析，并构造畸形数据进行动态攻击测试。检测是否存在会导致敏感信息泄露或包含敏感操作的导出组件。

l Receiver拒绝服务检测

对BroadcastReceiver进行静态分析，并构造畸形数据进行动态攻击测试。检测是否存在会导致拒绝服务的导出组件。

l ProviderSQL注入检测

对ProviderSQL的实现进行静态分析，对数据库进行核查。检测是否存在字符串拼接以及采用原始查询语句等高风险行为。

lProvider目录遍历检测

对ContentProvider的实现进行静态分析，对实现的函数进行核查。检测是否对传入参数进行合法性验证，避免出现目录遍历漏洞。

l WebView代码执行检测

对WebView组件进行安全检查，检测是否使用了addJavascriptInterface高风险API。

lWebView未移除接口检测

检测APP中的WebView组件是否移除包含高风险的系统内部接口。

2）客户端程序安全

l 反编译保护

使用工具对APP进行反编译和回编译，检测APP是否能够利用工具进行二次打包。

l 安装包签名检测

对安装包的签名进行审查，检测试APP是否使用正式签名，并且签名是否能够体现出唯一组织。

l 应用完整性校验检测

通过对APP进行重签名和资源替换，检测APP是否包含签名验证以及完整性校验等。

l 程序数据任意备份

检测程序配置，检测APP是否允许备份任意数据。

l  程序可被任意调试

检测程序配置，检测APP是否允许任意调试。

3）       敏感信息安全        

l SQLite加密检测

检测SQLite数据库文件是否进行加密存储。

l SQLite敏感信息存储检测

检测SQLite数据库中是否存在明文保存的敏感信息。

l  SharedPreference加密检测

检测SharedPreferences文件是否进行加密存储。

l SharedPreference敏感信息存储检测

检测SharedPreferences文件中是否存在明文保存的敏感信息。

lLog敏感信息检测

检测日志中是否输出敏感信息。

l 本地数据文件

检测应用安装数据目录是否包含敏感信息。

4） 网络通信安全

l  网络通信加密

用抓包工具，对通信数据进行抓包。测试应用程序与服务器之间是否采用加密通信协议。

l 关键参数加密

检测应用是否对敏感信息数据包进行预加密。并对加密算法进行简单的攻击测试。

l 网络切换检测

手机连接陌生网络，容易遭受钓鱼攻击。模拟网络切换，验证客户端是否会对网络切换进行提示。

l 开放端口检测

检测应用是否在开启没有身份认证的全局监听端口。

5） 进程安全

l ROOT环境检测

AndroidRoot之后存在Hook，注入等风险。检测APP是否对Root环境进行检测并提示Root风险。

l   Ptrace注入检测

对App进行注入攻击，注入自定义so库，尝试执行任意代码。检测APP是否对注入进行防护。