分类
子类
测试基线
测试内容描述
通用
网络设备、安全设备
公开安全漏洞
测试网络设备、安全设备是否存在已经公开的安全漏洞
认证/授权
测试网络设备、安全设备管理界面、端口的安全性,包括但不限于弱口令、默认口令、相同口令
配置缺陷
测试网络设备、安全设备是否开放了非必要端口、存在未声明的功能或访问接口(含远程调试接口)
操作系统
公开安全漏洞
测试操作系统是否存在已经公开的安全漏洞
认证/授权
测试操作系统是否存在认证授权方面的安全问题,包括但不限于弱口令、默认口令、相同口令
配置缺陷
测试操作系统是否开放了非必要端口、开启了网络共享功能且造成敏感信息泄露
业务系统
WEB
公开安全漏洞
根据WEB组件、中间件、第三方应用插件、开发框架、数据库等,测试是否存在已公开安全漏洞
信息泄露
测试利用漏洞是否可获取WEB应用路径、备份文件、管理后台和认证信息等敏感信息,包括但不限于目录扫描,任意文件下载、明文口令传输及报错信息等测试手段
配置缺陷
利用网站返回信息测试是否存在配置缺陷,包括但不限于请求头保护、爬虫协议配置、跨域控制配置等
身份鉴别缺陷
测试验证不同运营者、不同系统、不同区域间的系统互联以及不同业务功能模块互相访问时的安全性,包括缺少对用户的身份鉴别或者是鉴别流程设计存在缺陷,如无需验证、越权问题、口令重置问题等利用漏洞是否可获取或绕过认证访问WEB应用或相关接口,包括但不限于暴力破解,关键参数篡改、参数伪造目录爆破及IP地址伪造等测试手段
逻辑设计缺陷
测试验证业务程序逻辑设计或实现的合理性,如逻辑处理错误、逻辑分支覆盖不全、任意跳转缺陷等测试利用漏洞是否可篡改业务逻辑、业务流程绕过等,包括但不限于关键参数篡改、参数伪造等测试手段
接口调用缺陷
测试验证接口调用安全性,包括数据或者功能接口的访问控制功能有效性,访问控制设计的合理性等,如:数据对象无限制枚举、暴力攻击等
数据验证缺陷
测试验证业务处理中的业务数据完整性、一致性验证的有效性,如数据一致性缺陷、业务数据任意修改等
综合利用/输入验证
利用漏洞是否可获取用户认证信息,获得应用数据库及应用权限等,包括但不限于跨站脚本,注入漏洞,任意文件上传及反序列化漏洞等测试手段
通用
业务系统
APP
公开安全漏洞
测试APP、使用的第三方SDK是否存在已经公开的安全漏洞
应用自身安全
测试APP客户端是否存在安全问题和隐患,包括但不限于是否对APP进行保护(如加固、混淆等)、APP组件安全(包含系统组件、WebView、第三方SDK安全等)、通讯加密安全(服务端证书校验)、数据安全(敏感数据访问控制、敏感信息硬编码、敏感数据本地存储)
业务操作安全
测试客户端在处理敏感信息时的安全性,包括但不限于口令输入保护机制、敏感信息显示
数据通信安全
测试客户端在传输敏感信息时的安全性,包括但不限于传输协议分析、重放攻击
服务端安全
参考通用中的网络设备、操作系统、WEB进行测试
C/S
公开安全漏洞
测试C/S(客户机/服务器架构,下同)应用程序是否存在已经公开的安全漏洞
逆向保护
测试C/S应用程序的逆向保护安全性,包括但不限于程序加壳、混淆源代码泄露、硬编码key/password、获取加解密逻辑、角色判断逻辑、登录绕过、权限绕过等
信息泄露
测试敏感信息保护安全,包括但不限于检测敏感文件、注册表、开发调试日志泄露、客户端安全、运行包内置的敏感数据,以及在内存中的敏感数据等是否存在泄漏风险
通信传输
测试C/S的会话过程中是否存在明文、不安全的TLS传输,包括但不限于消息传递、共享内存、使用COM进程外服务器、借助明文的FTP、TELNET、HTTP、SOCKET、明文SQL语句和弱SSL加密套件及不安全的握手过程等漏洞
业务操作安全
测试业务操作安全性,包括但不限于常规用户名枚举、暴力破解、弱口令、Cookie注入、RFI、XPath注入、目录遍历、SQL注入、CSRF、CSV注入、XSS、SSRF逻辑缺陷、授权认证缺陷、未授权、越权、命令执行、参数污染、业务流程绕过、凭据伪造、验证码漏洞等
软件安全
测试软件安全性,包括但不限于开发软件格式化字符串漏洞、DLL劫持、堆栈溢出、DOS拒绝服务(远程拒绝服务、本地拒绝服务)、任意地址写数据、内置后门等漏洞
社工与其他风险
社会工程学
撞库攻击
通过利用已知的用户和口令信息,尝试登陆被测目标系统,获得目标系统的用户权限
钓鱼攻击
测试相关人员是否具备一定的安全意识,采取包括但不限于邮箱、短信、群聊等方式对目标系统相关人员进行钓鱼攻击
假冒伪造
通过假冒称被测目标系统内部人员或者客户,引诱被测试人员执行相关操作或泄露敏感信息,测试相关人员是否具备一定的安全意识
无线安全测试
无线安全测试
测试验证无线网络安全性,如钓鱼热点、弱口令、弱加密方式、安全机制绕过、无线网络口令撞库攻击等
新技术扩展
云计算安全
云平台账号安全
测试云平台账号是否存在登录信息泄露、账户劫持等漏洞
云容器安全
测试云容器是否存在容器逃逸等漏洞
云对象存储安全
测试云对象的存储安全性,包括但不限于Bucket公开访问、Bucket桶爆破、特定的Bucket策略配置、BucketObject遍历、任意文件上传与覆盖、AccessKeyId,SecretAccessKey泄露、Bucket劫持与子域接管、存储桶的配置可写、修改Bucket策略为Deny使业务瘫痪、修改网站引用的S3资源进行钓鱼、Lambda函数执行命令
新技术扩展
云计算安全
云服务API安全
测试是否存在云服务API相关安全漏洞,包括但不限于配置错误、信息泄露等
移动互联安全
物理接入
测试无线热点物理接入安全性,包括但不限于无线热点的未授权接入、电磁干扰、认证信息破解、自建无线局域网等
移动终端
测试移动终端安全性,包括但不限于是否可以利用移动终端直接攻击内网应用、数据等,移动终端用户身份安全、接入安全、数据保密性以及网络边界完整性,用户信息泄漏、感染病毒木马、算法密钥泄露、核心模块破解、反编译、动态调试、数据篡改、二次打包、业务逻辑缺陷、组件漏洞、数据漏洞、源码漏洞、逻辑漏洞、认证短信(劫持)、自绘键盘(监听破解)等
物联网安全
公开安全漏洞
测试物联网相关设备是否存在已经公开的安全漏洞
终端安全
测试安全设备是否开放了非必要端口、存在未声明的功能或访问接口;测试设备终端嵌入式系统是否存在敏感信息泄露漏洞,包括但不限于用户口令、证书私钥、源码等信息;其他终端安全相关测试。测试终端接入认证机制、终端接口访问控制、终端的抗仿造、防篡改、抗逆向、敏感信息保护的安全能力
数据传输安全
对节点和控制端发起中间人攻击并尝试篡改数据包,测试数据传输是否安全。
测试传输数据包是否存在敏感信息明文传输或使用了不安全加密算法,包括但不限于操作设备指令、用户口令等敏感信息对各类数据不同指令进行采集重放,例如,对信号等数据进行解调并重放信号数据
集权批量控制
测试是否存在集权批量控制相关安全漏洞,包括但不限于通过集中控制后台批量控制大规模终端设备启动或停止,或利用大规模设备发起拒绝服务攻击等
服务及应用安全
测试是否存在WEB接口相关漏洞;测试服务器抗重放攻击机制是否完善
工业控制系统安全
公开安全漏洞
测试工控相关设备是否存在已经公开的安全漏洞
PLC漏洞测试
测试PLC是否存在相关安全漏洞,包括但不限于中间人攻击漏洞、未授权导致的漏洞(如任意修改程序、任意程序覆盖、PLC远程启停等)、功能码滥用缺陷、线圈或寄存器任意读写、计算逻辑漏洞、看门超时漏洞、缓存溢出漏洞等。宜在PLC备品备件上进行测试,避免对在线运行的工控系统造成生产安全影响
工控协议漏洞测试
测试是否存在工控协议相关安全漏洞,包括但不限于工控相关协议敏感信息明文传输问题(如操作设备指令、用户口令等敏感信息),身份认证机制不健全等
组态软件漏洞
测试是否存在组态软件相关安全漏洞,包括但不限于DoS拒绝攻击、缓存溢出漏洞、COM服务组件未授权访问漏洞、SQL数据库注入漏洞等。宜在组态软件的备品备件上进行测试,避免对在线运行的工控系统造成生产安全影响
WEB接口漏洞
参考通用中的WEB测试项进行测试
— 欢迎关注
原文始发于微信公众号(祺印说信安):关基测评渗透测试基线
|
分类 |
子类 |
测试基线 |
测试内容描述 |
|
|
通用 |
网络设备、安全设备 |
公开安全漏洞 |
测试网络设备、安全设备是否存在已经公开的安全漏洞 |
|
|
认证/授权 |
测试网络设备、安全设备管理界面、端口的安全性,包括但不限于弱口令、默认口令、相同口令 |
|||
|
配置缺陷 |
测试网络设备、安全设备是否开放了非必要端口、存在未声明的功能或访问接口(含远程调试接口) |
|||
|
操作系统 |
公开安全漏洞 |
测试操作系统是否存在已经公开的安全漏洞 |
||
|
认证/授权 |
测试操作系统是否存在认证授权方面的安全问题,包括但不限于弱口令、默认口令、相同口令 |
|||
|
配置缺陷 |
测试操作系统是否开放了非必要端口、开启了网络共享功能且造成敏感信息泄露 |
|||
|
业务系统 |
WEB |
公开安全漏洞 |
根据WEB组件、中间件、第三方应用插件、开发框架、数据库等,测试是否存在已公开安全漏洞 |
|
|
信息泄露 |
测试利用漏洞是否可获取WEB应用路径、备份文件、管理后台和认证信息等敏感信息,包括但不限于目录扫描,任意文件下载、明文口令传输及报错信息等测试手段 |
|||
|
配置缺陷 |
利用网站返回信息测试是否存在配置缺陷,包括但不限于请求头保护、爬虫协议配置、跨域控制配置等 |
|||
|
身份鉴别缺陷 |
测试验证不同运营者、不同系统、不同区域间的系统互联以及不同业务功能模块互相访问时的安全性,包括缺少对用户的身份鉴别或者是鉴别流程设计存在缺陷,如无需验证、越权问题、口令重置问题等利用漏洞是否可获取或绕过认证访问WEB应用或相关接口,包括但不限于暴力破解,关键参数篡改、参数伪造目录爆破及IP地址伪造等测试手段 |
|||
|
逻辑设计缺陷 |
测试验证业务程序逻辑设计或实现的合理性,如逻辑处理错误、逻辑分支覆盖不全、任意跳转缺陷等测试利用漏洞是否可篡改业务逻辑、业务流程绕过等,包括但不限于关键参数篡改、参数伪造等测试手段 |
|||
|
接口调用缺陷 |
测试验证接口调用安全性,包括数据或者功能接口的访问控制功能有效性,访问控制设计的合理性等,如:数据对象无限制枚举、暴力攻击等 |
|||
|
数据验证缺陷 |
测试验证业务处理中的业务数据完整性、一致性验证的有效性,如数据一致性缺陷、业务数据任意修改等 |
|||
|
综合利用/输入验证 |
利用漏洞是否可获取用户认证信息,获得应用数据库及应用权限等,包括但不限于跨站脚本,注入漏洞,任意文件上传及反序列化漏洞等测试手段 |
|||
|
通用 |
业务系统 |
APP |
公开安全漏洞 |
测试APP、使用的第三方SDK是否存在已经公开的安全漏洞 |
|
应用自身安全 |
测试APP客户端是否存在安全问题和隐患,包括但不限于是否对APP进行保护(如加固、混淆等)、APP组件安全(包含系统组件、WebView、第三方SDK安全等)、通讯加密安全(服务端证书校验)、数据安全(敏感数据访问控制、敏感信息硬编码、敏感数据本地存储) |
|||
|
业务操作安全 |
测试客户端在处理敏感信息时的安全性,包括但不限于口令输入保护机制、敏感信息显示 |
|||
|
数据通信安全 |
测试客户端在传输敏感信息时的安全性,包括但不限于传输协议分析、重放攻击 |
|||
|
服务端安全 |
参考通用中的网络设备、操作系统、WEB进行测试 |
|||
|
C/S |
公开安全漏洞 |
测试C/S(客户机/服务器架构,下同)应用程序是否存在已经公开的安全漏洞 |
||
|
逆向保护 |
测试C/S应用程序的逆向保护安全性,包括但不限于程序加壳、混淆源代码泄露、硬编码key/password、获取加解密逻辑、角色判断逻辑、登录绕过、权限绕过等 |
|||
|
信息泄露 |
测试敏感信息保护安全,包括但不限于检测敏感文件、注册表、开发调试日志泄露、客户端安全、运行包内置的敏感数据,以及在内存中的敏感数据等是否存在泄漏风险 |
|||
|
通信传输 |
测试C/S的会话过程中是否存在明文、不安全的TLS传输,包括但不限于消息传递、共享内存、使用COM进程外服务器、借助明文的FTP、TELNET、HTTP、SOCKET、明文SQL语句和弱SSL加密套件及不安全的握手过程等漏洞 |
|||
|
业务操作安全 |
测试业务操作安全性,包括但不限于常规用户名枚举、暴力破解、弱口令、Cookie注入、RFI、XPath注入、目录遍历、SQL注入、CSRF、CSV注入、XSS、SSRF逻辑缺陷、授权认证缺陷、未授权、越权、命令执行、参数污染、业务流程绕过、凭据伪造、验证码漏洞等 |
|||
|
软件安全 |
测试软件安全性,包括但不限于开发软件格式化字符串漏洞、DLL劫持、堆栈溢出、DOS拒绝服务(远程拒绝服务、本地拒绝服务)、任意地址写数据、内置后门等漏洞 |
|||
|
社工与其他风险 |
社会工程学 |
撞库攻击 |
通过利用已知的用户和口令信息,尝试登陆被测目标系统,获得目标系统的用户权限 |
|
|
钓鱼攻击 |
测试相关人员是否具备一定的安全意识,采取包括但不限于邮箱、短信、群聊等方式对目标系统相关人员进行钓鱼攻击 |
|||
|
假冒伪造 |
通过假冒称被测目标系统内部人员或者客户,引诱被测试人员执行相关操作或泄露敏感信息,测试相关人员是否具备一定的安全意识 |
|||
|
无线安全测试 |
无线安全测试 |
测试验证无线网络安全性,如钓鱼热点、弱口令、弱加密方式、安全机制绕过、无线网络口令撞库攻击等 |
||
|
新技术扩展 |
云计算安全 |
云平台账号安全 |
测试云平台账号是否存在登录信息泄露、账户劫持等漏洞 |
|
|
云容器安全 |
测试云容器是否存在容器逃逸等漏洞 |
|||
|
云对象存储安全 |
测试云对象的存储安全性,包括但不限于Bucket公开访问、Bucket桶爆破、特定的Bucket策略配置、BucketObject遍历、任意文件上传与覆盖、AccessKeyId,SecretAccessKey泄露、Bucket劫持与子域接管、存储桶的配置可写、修改Bucket策略为Deny使业务瘫痪、修改网站引用的S3资源进行钓鱼、Lambda函数执行命令 |
|||
|
新技术扩展 |
云计算安全 |
云服务API安全 |
测试是否存在云服务API相关安全漏洞,包括但不限于配置错误、信息泄露等 |
|
|
移动互联安全 |
物理接入 |
测试无线热点物理接入安全性,包括但不限于无线热点的未授权接入、电磁干扰、认证信息破解、自建无线局域网等 |
||
|
移动终端 |
测试移动终端安全性,包括但不限于是否可以利用移动终端直接攻击内网应用、数据等,移动终端用户身份安全、接入安全、数据保密性以及网络边界完整性,用户信息泄漏、感染病毒木马、算法密钥泄露、核心模块破解、反编译、动态调试、数据篡改、二次打包、业务逻辑缺陷、组件漏洞、数据漏洞、源码漏洞、逻辑漏洞、认证短信(劫持)、自绘键盘(监听破解)等 |
|||
|
物联网安全 |
公开安全漏洞 |
测试物联网相关设备是否存在已经公开的安全漏洞 |
||
|
终端安全 |
测试安全设备是否开放了非必要端口、存在未声明的功能或访问接口;测试设备终端嵌入式系统是否存在敏感信息泄露漏洞,包括但不限于用户口令、证书私钥、源码等信息;其他终端安全相关测试。测试终端接入认证机制、终端接口访问控制、终端的抗仿造、防篡改、抗逆向、敏感信息保护的安全能力 |
|||
|
数据传输安全 |
对节点和控制端发起中间人攻击并尝试篡改数据包,测试数据传输是否安全。 |
|||
|
测试传输数据包是否存在敏感信息明文传输或使用了不安全加密算法,包括但不限于操作设备指令、用户口令等敏感信息对各类数据不同指令进行采集重放,例如,对信号等数据进行解调并重放信号数据 |
||||
|
集权批量控制 |
测试是否存在集权批量控制相关安全漏洞,包括但不限于通过集中控制后台批量控制大规模终端设备启动或停止,或利用大规模设备发起拒绝服务攻击等 |
|||
|
服务及应用安全 |
测试是否存在WEB接口相关漏洞;测试服务器抗重放攻击机制是否完善 |
|||
|
工业控制系统安全 |
公开安全漏洞 |
测试工控相关设备是否存在已经公开的安全漏洞 |
||
|
PLC漏洞测试 |
测试PLC是否存在相关安全漏洞,包括但不限于中间人攻击漏洞、未授权导致的漏洞(如任意修改程序、任意程序覆盖、PLC远程启停等)、功能码滥用缺陷、线圈或寄存器任意读写、计算逻辑漏洞、看门超时漏洞、缓存溢出漏洞等。宜在PLC备品备件上进行测试,避免对在线运行的工控系统造成生产安全影响 |
|||
|
工控协议漏洞测试 |
测试是否存在工控协议相关安全漏洞,包括但不限于工控相关协议敏感信息明文传输问题(如操作设备指令、用户口令等敏感信息),身份认证机制不健全等 |
|||
|
组态软件漏洞 |
测试是否存在组态软件相关安全漏洞,包括但不限于DoS拒绝攻击、缓存溢出漏洞、COM服务组件未授权访问漏洞、SQL数据库注入漏洞等。宜在组态软件的备品备件上进行测试,避免对在线运行的工控系统造成生产安全影响 |
|||
|
WEB接口漏洞 |
参考通用中的WEB测试项进行测试 |
|||
原文始发于微信公众号(祺印说信安):关基测评渗透测试基线
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论