資源描述:
《滲透檢查教學教案方案方針》由會員上傳分享����,免費在線閱讀��,更多相關內(nèi)容在教育資源-天天文庫��。
1��、#+四川品勝安全性滲透測試測試方案成都國信安信息產(chǎn)業(yè)基地有限公司二〇一五年十二月#+目錄目錄11.引言21.1.項目概述22.測試概述22.1.測試簡介22.2.測試依據(jù)22.3.測試思路32.3.1.工作思路32.3.2.管理和技術要求32.4.人員及設備計劃42.4.1.人員分配42.4.2.測試設備43.測試范圍54.測試內(nèi)容85.測試方法105.1.滲透測試原理105.2.滲透測試的流程105.3.滲透測試的風險規(guī)避115.4.滲透測試的收益125.5.滲透測試工具介紹126.我公司滲透測試優(yōu)勢146.1.
2���、專業(yè)化團隊優(yōu)勢146.2.深入化的測試需求分析146.3.規(guī)范化的滲透測試流程146.4.全面化的滲透測試內(nèi)容147.后期服務16#+1.引言1.1.項目概述四川品勝品牌管理有限公司,是廣東品勝電子股份有限公司的全資子公司��。依托遍布全國的5000家加盟專賣店��,四川品牌管理有限公司打造了線上線下結合的O2O購物平臺——“品勝?當日達”���,建立了“線上線下同價”、“千城當日達”���、“向日葵隨身服務”三大服務體系����,為消費者帶來便捷的O2O購物體驗。2011年��,品勝在成都溫江科技工業(yè)園建立起國內(nèi)首座終端客戶體驗館,以人性化的互
3�����、動設計讓消費者親身感受移動電源����、數(shù)碼配件與生活的智能互聯(lián)��,為追求高品質產(chǎn)品性能的用戶帶來便捷���、現(xiàn)代化的操作體驗�。伴隨業(yè)務的發(fā)展����,原有的網(wǎng)站�����、系統(tǒng)�、APP等都進行了不同程度的功能更新和系統(tǒng)投產(chǎn)��,同時,系統(tǒng)安全要求越來越高���,可能受到的惡意攻擊包括:信息篡改與重放����、信息銷毀�、信息欺詐與抵賴�、非授權訪問、網(wǎng)絡間諜��、“黑客”入侵���、病毒傳播、特洛伊木馬��、蠕蟲程序���、邏輯炸彈、APT攻擊等�。這些攻擊完全能造成信息系統(tǒng)癱瘓、重要信息流失�����。2.測試概述2.1.測試簡介本次測試內(nèi)容為滲透測試�����。滲透測試:是為了證明網(wǎng)絡防御按照預期計劃正常
4�、運行而提供的一種機制�。2.2.測試依據(jù)※GB/T25000.51-2010《軟件工程軟件產(chǎn)品質量要與評價(SQuaRE)商業(yè)現(xiàn)貨(COTS)軟件產(chǎn)品的質量要求和測試細則》※GB/T16260-2006《軟件工程產(chǎn)品質量》#+※GB/T18336-2001《信息技術安全技術信息技術安全性評估準則》※GB/T20274-2006《信息系統(tǒng)安全保障評估框架》※客戶提出的測試需求1.1.測試思路1.1.1.工作思路本次系統(tǒng)測試包括功能測試��、性能測試��、安全測試以及文檔測試����,本次測試工作將系統(tǒng)測試對象進行控制點劃分,依據(jù)項目建
5���、設要求和相關標準、規(guī)范進行項目系統(tǒng)測試����,并加強系統(tǒng)各階段測試和實施過程控制�,完善項目目標控制手段���。1.1.2.管理和技術要求1、管理要求為了保證本項目系統(tǒng)綜合測試的順利進行�,將對項目實施事前評審和測試過程監(jiān)督測試管理工作,合理分配項目人員負責相應的測試工作�。2、技術要求為了保證本項目系統(tǒng)測試的順利進行����,在本次測試過程中將采取如下技術要求:※滲透測試:驗證系統(tǒng)設計的安全性是否滿足客戶需求�����。#+1.1.人員及設備計劃1.1.1.人員分配本次測試組織機構和人員分配如下:項目管理組:楊方秀現(xiàn)場測試組:屈緋穎��、王洪斌�����、項目文
6�、檔組:龔正質量控制組:楊方秀���、屈緋穎1.1.2.測試設備序號設備或儀器名稱功能描述數(shù)量產(chǎn)地備注1.TestManager測試管理1IBM2.ClearQuest缺陷跟蹤1IBM3.xscan用于安全測試的漏洞掃描工具14.測試機測試機2國產(chǎn)#+1.測試范圍檢測分類檢測范圍Web網(wǎng)站SQL注入XSS跨站腳本網(wǎng)頁掛馬緩沖區(qū)溢出文件上傳漏洞源代碼泄露目錄瀏覽���、遍歷漏洞數(shù)據(jù)庫泄露弱口令越權訪問會話驗證繞過管理地址泄露輿論信息檢測中間件漏洞支付安全驗證其他(如:寫入控制,防止批量添加數(shù)據(jù),是否使用驗證碼等)SOA服務端SQL
7、注入#+緩沖區(qū)溢出文件上傳漏洞目錄瀏覽����、遍歷漏洞弱口令越權訪問會話驗證繞過中間件漏洞其他(如:寫入控制,防止批量添加數(shù)據(jù),是否使用驗證碼等)APP源生客戶端組件安全檢測代碼安全檢測內(nèi)存安全檢測數(shù)據(jù)安全檢測業(yè)務安全檢測應用管理檢測服務器身份鑒別自主訪問控制強制訪問控制可信路徑安全審計剩余信息保護入侵防范#+惡意代碼防范資源控制數(shù)據(jù)庫數(shù)據(jù)安全#+1.測試內(nèi)容檢測項目檢測子類類型掃描測試滲透測試當日達前端SSO單點登錄網(wǎng)站W(wǎng)EB√√后端SSO單點登錄網(wǎng)站W(wǎng)EB√√當日達商城4期前臺網(wǎng)站W(wǎng)EB√√當日達商城3期后臺WEB√
8����、√當日達商城4期后臺WEB√√砸金蛋活動WEB√砸金蛋后臺WEB√一元云購WEB√月月?lián)屔衿鱓EB√滴滴貼膜WEB√快遞查詢(PC端)WEB√快遞查詢(移動端)WEB√中國人民不斷電WEB√√千城通APPAPP√千機團網(wǎng)站+APPWEB+APP√√進銷存IMS進銷存系統(tǒng)WEB√√IMS進銷存管理工具WEB√√品勝云路由器固件升級后臺管理WEB√√#+品勝云3
