一、 服务总体目标
*. 目标:对甲方指定的拟态防御软件进行全面的安全评估与渗透测试,旨在深度验证拟态防御软件“欺骗*变换*裁决”核心机制的有效性,以协助提升其最终安全防护能力。
二、 服务内容与交付物要求
针对甲方部署内生安全防御系统的靶机进行整体渗透测试,用以验证相关系统安全性及防御能力,交付物为渗透测试报告,渗透测试工作中的主要执行过程需求如下:
*. 信息搜集阶段:在黑盒情况下采用常规渗透测试手段,在内生安全防护开启前及开启后,分别对靶机进行信息搜集,获取包括但不限于端口信息、服务信息、系统信息、外围网络信息等渗透前置信息。分别记录获取的信息,并在报告中体现信息搜集阶段所用时长对比及搜集到的信息结果对比。
*. 立足点渗透阶段:在黑盒情况下采用常规渗透测试手段,在内生安全防护开启前及开启后,分别对甲方指定测试目标进行初步渗透(从信息搜集到获得交互式*****,权限不限),分别统计渗透时间,评估内生安全拟态伪装部分是否可延缓渗透时长。报告中需包含渗透测试时间统计数据 、利用的漏洞详情及测试过程描述与截图。
*. 权限提升阶段:使用甲方提供的****权限,在内生安全开启后的靶机内部继续进行信息搜集,并只利用这些信息进行提权尝试,记录过程。如果在过程中可判断这些信息为伪造信息,则需提供明确判断依据。
*. 综合防御能力测试:乙方需根据***** *** **、*** *** **等权威清单,部署覆盖栈溢出、堆溢出、格式化字符串、整数溢出、释放后重用、双重释放等至少六种类型的*个二进制漏洞靶标。测试手段应包含但不限于静态分析、动态模糊测试、符号执行等主流技术。成功触发漏洞的需在渗透测试报告中提供漏洞利用***及过程、结果截图,不能成功触发漏洞的需提供过程、结果截图。
三、 项目管理与保密要求
*. 驻场与沟通:鉴于项目敏感性,服务方核心人员需在甲方指定场所进行测试工作,遵守甲方安全管理规定。双方建立定期沟通机制。
*. 保密条款:服务方须签署严格的保密协议,对所有项目信息、技术细节及测试结果承担永久保密责任。
四、 验收标准
*. 交付物完整性:按约定提交全部交付物。
*.报告须采用行业公认模板,至少包含执行摘要、测试过程详述(含截图)、漏洞详情(附**** *.*/*.*评分标准定级)、复现步骤(***)、修复建议。所提建议应关联具体漏洞,并区分短期处置与长期加固方案。
**. 过程合规性:测试活动在授权范围内进行,未对非目标系统及网络造成不当影响。
