猎户攻防实验室猎户攻防实验室 安全视点安全视点 标准与课题标准与课题
大型金融机构渗透测试案例

一、项目背景


随着互联网金融和电子渠道业务的快速发展,与外部信息系统间的互联互通和信息交换愈加频繁,在满足业务需求的同时,安全问题也愈加突出。为保障业务信息安全并在关键时刻能够及时应对安全事件,该银行启动了本次信息安全服务项目。


二、需求分析


1、对黑客行为进行溯源,还原攻击过程。

2、对资产进行安全评估,包含但不限于远程渗透测试、现场渗透测试。

3、对安全事件进行安全应急,包括病毒木马分析、网页防篡改、防DDoS攻击、防重放攻击、大型漏洞批量排查等。

4、对分子公司进行安全培训。


三、解决方案


1、测试流程


大型金融机构渗透测试案例-图1.png


2、测试内容


1)预警监控:攻击溯源、入侵监控。

2)漏洞挖掘:WEB漏洞【注入漏洞(SQL注入、XXE、XPATH注入等)、跨站脚本编制XSS、文件上传漏洞、文件包含漏洞、 跨站请求伪造CSRF、代码执行漏洞、命令执行漏洞】、逻辑漏洞【业务数据篡改、业务一致性校验、登录体系、权限校验、越权访问(水平、垂直)、 未授权访问、重放攻击、验证码安全......】。

3)综合测试:APT攻击测试(社会工程、 从外网进入内网)、安全评估(资产评估、风险评估、评估报告)。

 

四、实施效果

 

江南天安猎户攻防实验室对该银行展开安保工作一年多,获得甲方高度认可并给予高度赞扬(表扬信及通告),主要成果有:


1、捕获攻击近百起,成功溯源漏洞点以及攻击过程。

2、挖掘众多高危漏洞,并及时修复。

3、提高该银行整体安防水平及员工安全意识。

Copyright @ 2005-2013, 北京江南天安科技有限公司1, All Rights Reserved  京公网安备11010802028740号 京ICP备08012318号  技术支持博乐虎科技