前提:不对未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,需与相关负责人联系确认是否属于资产范围后,说明时间、范围、工具后进行挖掘。
| 漏洞类型 | 测试要求 | 严禁操作 |
|---|---|---|
| 注入 | 仅需证明可读取数据,漏洞存在 | 严禁读取表内数据 |
| UPDATE、DELETE、INSERT 等注入类型 | 手动测试验证 | 严禁使用自动化工具进行测试。禁止拖库、随意大量增删改他人信息 |
| 越权读取 | 能取到的真实数据不超过5组 | 严禁进行批量读取 |
| 越权增删改 | 帐号可注册的情况下,可用自己的2个帐号验证漏洞效果 | 不涉及线上正常用户的帐号 |
| 垂直越权 高权限 | 获取到该系统的账号密码并验证成功后需进一步安全测试,需咨询系统管理员得到同意后进行测试 | 严禁未被授权允许情况下测试高权限账号。不得添加后门账号/权限 |
| 存储xss | 插入不影响他人的测试payload。推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。 | 严禁弹窗影响正常用户 |
| 盲打类xss | 仅允许外带domain信息 | |
| xss | 测试之后需删除插入数据,对相关方说明插入点 | 严禁遗留测试数据 |
| 文件上传漏洞、RCE | 推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可。如果是上传的webshell,需说明shell文件地址和连接口令。 | 禁止上传恶意文件及木马、下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令 |
| 短信盗刷、邮件盗刷 | 测试成功的数量不超过50个 | 如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。 |
| 具有自动传播和扩散能力漏洞(如社交蠕虫) | 只允许使用和其他账号隔离的小号进行测试 | 不要使用有社交关系的账号,防止蠕虫扩散 |
| 漏洞扫描器 | 禁止对网站后台和部分私密项目 | 禁止可对服务稳定性造成影响的扫描 |
| 社工 | 除特别获准的情况下,严禁与漏洞无关的社工 | |
| 内网 | 除特别获准的情况下,严禁进行内网渗透。 | |
| DDOS、拒绝服务 | 禁止进行可能引起业务异常运行的测试 | |
| 严禁将漏洞进行黑灰产行为等恶意行为。不得非法出售相关商业、个人信息 | ||
| 敏感信息泄露(包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等) | 禁止保存和传播和业务相关的敏感数据 |
引用来源
[TPSA19-22]SRC行业安全测试规范 - 腾讯安全应急响应中心
https://security.tencent.com/announcement/msg/180
法律法规
《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》
技术标准
CCRC-ISV-C01:2018 中国网络安全审查技术与认证中心-《信息安全服务规范》
GB/T 25069 《信息安全技术 术语》
GB/T 20984—2007《信息安全技术 信息安全风险评估规范》
GB/T 31509—2015 《信息安全技术 信息安全风险评估实施指南》附录含安全技术脆弱性核查表
GB/T 36627—2018 信息安全技术 网络安全等级保护测试评估技术指南 含渗透测试风险及规避
JR/T0213—2021金融网络安全Web 应用服务安全测试通用规范 含测试项要求说明
其他
(渗透测试方向)知识体系大纲 http://www.itsec.gov.cn/ryzc/rsqsxz/PTE/201810/P020181009537902920479.pdf
、信息安全测试员国家职业技能标准(含知识要求)http://www.mohrss.gov.cn/SYrlzyhshbzb/zcfg/SYzhengqiuyijian/202106/W020210617509883456941.pdf
OSSTMM测试框架:信息收集和状态评估、网络节点枚举和探测、系统服务和端口扫描验证、应用层测试、漏洞挖掘与验证
OWASP测试框架:SQL注入 跨站脚本(XSS) 、恶意文件执行、不安全的直接对象引用、 跨站请求伪造(CSRF)、 信息泄漏和错误处理不当、认证和会话管理失效、不安全的加密存储、不安全的通讯、URL访问失效
腾讯渗透测试服务内容参考、https://main.qcloudimg.com/raw/document/product/pdf/586_12769_cn.pdf地方性 信息系统渗透测试技术规范意见稿参考(含渗透测试内容、流程、报告模版)http://gxt.ln.gov.cn/wgk_123486/202204/W020220422299499922752.pdf
cve
工具:kali、metasploit、burp、Wireshark、NMAP
语言:Python、Powershell、Golang、Bash、Java
评论区