*��、 服務總體目標
*. 目標:對甲方指定的擬態防御軟件進行全面的安全評估與滲透測試,旨在深度驗證擬態防御軟件“欺騙-變換-裁決”核心機制的有效性���,以協助提升其最終安全防護能力���。
*��、 服務內容與交付物要求
針對甲方部署內生安全防御系統的靶機進行整體滲透測試�����,用以驗證相關系統安全性及防御能力��,交付物為滲透測試報告���,滲透測試工作中的主要執行過程需求如下:
*. 信息搜集階段:在黑盒情況下采用常規滲透測試手段�����,在內生安全防護開啟前及開啟后,分別對靶機進行信息搜集���,獲取包括但不限于端口信息����、服務信息�����、系統信息���、外圍網絡信息等滲透前置信息���。分別記錄獲取的信息,并在報告中體現信息搜集階段所用時長對比及搜集到的信息結果對比。
*. 立足點滲透階段:在黑盒情況下采用常規滲透測試手段���,在內生安全防護開啟前及開啟后���,分別對甲方指定測試目標進行初步滲透(從信息搜集到獲得交互式*****�����,權限不限)��,分別統計滲透時間���,評估內生安全擬態偽裝部分是否可延緩滲透時長�。報告中需包含滲透測試時間統計數據 、利用的漏洞詳情及測試過程描述與截圖。
*. 權限提升階段:使用甲方提供的****權限�,在內生安全開啟后的靶機內部繼續進行信息搜集�,并只利用這些信息進行提權嘗試����,記錄過程�。如果在過程中可判斷這些信息為偽造信息�����,則需提供明確判斷依據。
*. 綜合防御能力測試:乙方需根據***** *** **、*** *** **等權威清單,部署覆蓋棧溢出�、堆溢出、格式化字符串����、整數溢出����、釋放后重用、雙重釋放等至少*種類型的*個*進制漏洞靶標。測試手段應包含但不限于靜態分析、動態模糊測試�、符號執行等主流技術�����。成功觸發漏洞的需在滲透測試報告中提供漏洞利用***及過程�����、結果截圖,不能成功觸發漏洞的需提供過程��、結果截圖。
*��、 項目管理與保密要求
*. 駐場與溝通:鑒于項目敏感性,服務方核心人員需在甲方指定場所進行測試工作���,遵守甲方安全管理規定�����。雙方建立定期溝通機制。
*. 保密條款:服務方須簽署嚴格的保密協議���,對所有項目信息�、技術細節及測試結果承擔永久保密責任。
*��、 驗收標準
*. 交付物完整性:按約定提交全部交付物���。
*.報告須采用行業公認模板,至少包含執行摘要��、測試過程詳述(含截圖)、漏洞詳情(附**** *.*/*.*評分標準定級)����、復現步驟(***)��、修復建議。所提建議應關聯具體漏洞,并區分短期處置與長期加固方案�。
**. 過程合規性:測試活動在授權范圍內進行����,未對非目標系統及網絡造成不當影響��。
發布公告
