Sonalgaz ACC 阶段性渗透测试方案

Sonalgaz ACC 18 天阶段性渗透测试方案

编制日期：2026-05-17

测试对象：Alpha-Cloud Center（ACC）即时通讯与视频会议系统

测试类型：阶段性渗透测试

计划周期：18 天

计划时间：2026-05-15 至 2026-06-01

交付成果：渗透测试方案、渗透测试报告

1. 为什么需要开展本次渗透测试

ACC 系统已完成主要功能开发，并进入上线前验收阶段。客户 UAT 测试主要验证系统功能是否可用，例如客户端安装、登录、聊天、文件传输、会议预约、会议加入、组织用户管理、角色权限、日志审计等。渗透测试则需要在这些 UAT 功能场景上进一步验证：系统是否满足上线前安全审计要求，以及关键业务流程是否具备必要的访问控制、身份认证、数据保护和审计追踪能力。

对于即时通讯和视频会议类系统，系统上线后会承载用户账号、组织架构、会议邀请、聊天消息、文件资料、后台配置和操作日志等数据。若仅完成功能 UAT，而未对外部攻击面、接口权限、文件访问、会议控制、管理后台和运行环境进行渗透验证，可能导致上线后才暴露安全隐患，增加整改成本和客户验收风险。

因此，本阶段渗透测试的目标不是重新做一轮功能 UAT，而是在已完成的 UAT 场景基础上补充安全审计验证，确认当前测试版本在功能可用之外，也能满足客户对权限边界、数据访问、操作审计和阶段性风险控制的要求。

2. 为什么本阶段调整为 18 天

已提交的 PDF 和 Excel 计划中，本阶段原计划按 21 天 安排。客户反馈周期较长后，本方案在不改变阶段性渗透测试定位的前提下，将计划压缩为 18 天。若仍按原计划 2026-05-15 启动，则 18 天计划结束时间为 2026-06-01。

项目开发工作于 2026-05-09 才真正结束，当前版本已具备开展阶段性渗透测试的基础。本阶段测试目标是尽快围绕现有 UAT 功能和当前部署环境完成一次上线前渗透验证，识别认证、授权、文件、会议、后台管理和运行环境中的高风险问题，为后续整改和架构调整提供依据。

本阶段调整为 18 天 的原因如下：

保留必要覆盖：18 天安排能够在压缩周期的同时，保留必要的人工验证、问题确认和复测窗口。

回应客户周期要求：相比原 21 天计划，18 天可提前完成阶段性报告输出，便于客户安排上线前评审。

突出重点风险：优先验证客户最关心的认证、权限、文件访问、会议控制、管理后台和运行环境风险。

支撑阶段性整改：18 天内可完成范围确认、信息收集、自动化辅助扫描、人工渗透验证、问题确认、整改建议和阶段性复测。

明确结论边界：本阶段报告仅反映当前版本和当前部署形态的渗透测试结果，不替代架构调整后的全量安全测试结论。

3. 测试范围

本阶段仅开展渗透测试，测试范围以 ACC 产品功能和现有 UAT 用例为基础，不纳入源代码测试和开源组件测试。

范围	对应 ACC 功能	重点安全目标
客户端与登录	Windows 客户端安装、服务器配置、SSL、账号登录、网络异常	验证登录入口、防爆破、会话安全、错误提示、SSL 配置是否安全
密码与账号	密码策略、管理员重置密码、解除锁定、初始密码提醒	验证密码重置权限、锁定策略、旧会话失效、审计记录是否闭环
聊天与消息	一对一聊天、群聊、历史消息、搜索、撤回、删除	验证消息访问边界、群权限、XSS、敏感信息泄露
文件与多媒体	图片、文档、语音、大文件、文件预览、文件下载	验证文件上传安全、文件越权下载、路径穿越、恶意文件执行
会议	我的会议、预约会议、会议链接、会议密码、主持人控制	验证会议未授权加入、密码爆破、非主持人越权操作
管理后台	组织、用户、岗位、角色、管理员、权限组、导入导出	验证水平越权、垂直越权、跨组织访问、导入导出数据泄露
日志与在线用户	登录日志、请求日志、操作日志、异常日志、强制登出	验证审计完整性、日志越权查看/删除、强制登出权限
运行环境	主机、数据库、中间件、端口、服务配置	验证高危漏洞、弱口令、危险配置和不必要服务暴露

4. 测试方法与工具

本次测试采用“UAT 场景驱动 + 自动化辅助扫描 + 人工渗透验证 + 整改复测”的方式，并结合《渗透测试服务方案》中主机系统渗透测试、Web 中间件渗透测试、Web 应用渗透测试、整改建议和复测流程执行。

方法	用途	说明
UAT 场景映射	确认测试对象来自客户业务功能	以现有 UAT 功能场景和 ACC 产品功能为入口，避免脱离实际功能随意扩展
信息收集	梳理攻击面	收集系统域名/IP、端口、服务、页面、接口、会议链接、文件接口、后台入口等信息
Web/API 渗透测试	验证认证、授权、注入、文件、会议、管理接口风险	通过多账号、多角色、接口参数篡改、业务流程绕过等方式人工验证
漏洞扫描工具	辅助识别主机、中间件、Web 常见漏洞	对主机、数据库、中间件、开放端口、版本漏洞进行非破坏性检测
代理抓包工具	分析客户端、Web、接口请求	用于观察请求参数、Token、Cookie、文件 ID、会议 ID 等是否可被篡改
人工复核	降低误报，确认真实风险	对工具发现的问题进行人工确认，并判断是否影响上线
整改复测	确认风险关闭	对高危问题、客户关注问题和已修复问题进行复测

5. 18 天测试计划

阶段	时间	工作内容	纳入的安全测试用例/验证项
范围确认与准备	第 1-2 天	确认 UAT 场景、测试账号、组织角色、测试环境、部署范围、授权边界和禁止操作	登录账号、管理员账号、普通用户账号、组织角色、会议账号、文件测试数据、后台入口、主机/IP/端口范围确认
场景映射与测试设计	第 3 天	将 UAT 场景、ACC 产品功能和渗透测试方法整理为执行清单	登录、服务器配置、聊天、文件、多媒体、群聊、会议、组织用户、角色权限、导入导出、日志、在线用户、主机/中间件/数据库
信息收集与自动化辅助扫描	第 4-5 天	梳理 Web/API、客户端连接、主机、中间件、数据库、会议与文件接口攻击面，开展非破坏性扫描	端口识别、服务版本识别、中间件版本核查、数据库暴露核查、弱口令抽样、敏感目录、错误信息、测试页面、默认页面、SSL/TLS 配置
登录、账号与会话安全测试	第 6-7 天	围绕账号登录、密码策略、会话管理、账号锁定和审计日志开展人工验证	错误密码限制、低频受控口令验证、空账号/异常账号处理、会话固定、旧会话失效、Cookie/Token 安全、管理员重置密码权限、解除锁定权限、登录日志完整性
聊天、群聊与消息安全测试	第 8-9 天	围绕一对一聊天、群聊、历史消息、搜索、撤回、删除和公告开展人工验证	消息 ID 越权、会话 ID 越权、非群成员访问、群主/成员权限边界、历史消息搜索权限、XSS 输入验证、撤回/删除权限、公告输入校验、关键操作审计
文件与多媒体安全测试	第 10-11 天	围绕图片、文档、语音、大文件、预览、下载、模板文件和导入导出开展验证	文件 ID 越权下载、路径穿越、任意文件读取、文件类型校验、危险后缀上传、Content-Type 绕过、上传后访问控制、导出权限、错误报告敏感信息泄露
会议与主持人权限测试	第 12-13 天	围绕预约会议、会议链接、会议密码、加入会议、取消会议、主持人功能开展验证	会议 ID 篡改、未授权加入、会议密码低频验证、链接有效期、非主持人操作、会议取消权限、会议编辑权限、参会人权限边界、会议操作日志
管理后台与运行环境测试	第 14-15 天	围绕组织、用户、角色、管理员、权限组、日志、在线用户、主机、中间件和数据库开展验证	水平越权、垂直越权、跨组织访问、后台接口服务端鉴权、角色权限矩阵、日志查看/删除权限、强制登出权限、默认口令、危险配置、不必要服务暴露
问题确认与整改建议	第 16 天	对发现问题进行复核、去重、分级，形成整改建议和优先级	高危/客户关注问题优先确认；对认证、授权、文件、会议、后台权限、运行环境风险给出影响说明和整改路径
复测与报告	第 17-18 天	对高危问题、客户重点关注问题和已完成修复的问题进行复测，输出阶段性渗透测试报告	复测已修复问题；确认未引入明显同类风险；输出漏洞清单、风险等级、复现说明、整改建议、复测结果和阶段性安全结论

6. 重点安全测试用例口径

本表用于说明 UAT 功能场景如何映射到本阶段安全测试用例。它不是逐条编号化测试脚本，不使用无法从客户材料回溯的自定义编号；实际执行记录以客户确认的测试范围、测试过程记录和最终渗透测试报告为准。

业务场景	安全验证目标	测试方法
账号登录	确认登录入口具备防爆破、会话保护、错误提示控制和审计能力	低频受控口令验证、会话检查、错误信息检查、登录日志核查
密码与账号处置	确认密码策略、重置密码、账号锁定和解除锁定仅限授权角色执行	多角色权限验证、请求参数校验、旧会话失效验证、操作日志核查
聊天与历史消息	确认消息、历史记录和搜索结果只能由授权会话成员访问	消息 ID/会话 ID 篡改、搜索参数校验、XSS 验证、访问日志检查
文件与多媒体	确认上传、预览、下载和搜索不发生越权、路径穿越或危险文件处理问题	文件 ID 权限校验、路径参数校验、文件类型校验、上传后访问验证
群聊与成员管理	确认群主、成员、非成员之间的权限边界清晰	多角色交叉验证、成员操作权限校验、公告输入检查、关键操作审计
会议预约与加入	确认会议链接、会议密码、参会权限和主持人控制不能被绕过	会议 ID 校验、链接有效性检查、低频密码尝试、主持人/参会人权限切换
管理后台	确认组织、用户、角色、管理员和权限组不存在水平或垂直越权	普通用户、管理员、超管多角色验证，后台接口服务端鉴权检查
导入导出	确认导入文件受控，导出结果和错误报告不泄露未授权数据	模板文件校验、导出权限校验、错误报告敏感字段检查
日志与在线用户	确认安全事件可追溯，日志和强制登出功能仅授权管理员可操作	日志访问权限、日志删除权限、敏感字段脱敏、强制登出权限验证
主机/中间件/数据库	确认部署环境不存在可直接利用的高风险暴露	端口识别、版本核查、弱口令抽样、非侵入式漏洞扫描、危险配置检查

7. 重点专项说明

7.1 密码与账号安全闭环

重点验证登录失败限制、验证码、账号锁定、密码策略、管理员重置密码、解除锁定、旧会话失效和日志审计。通过标准是：不能未授权重置他人密码，不能绕过锁定策略，密码重置后旧会话失效，所有关键操作可追溯。

7.2 文件越权安全

重点验证聊天文件、会议文件、图片、语音、大文件、模板、导入导出文件是否只能由授权用户访问。通过标准是：不能通过修改文件 ID、消息 ID、群 ID、会议 ID、路径参数访问他人文件，也不能上传可执行恶意文件。

7.3 会议与主持人权限

重点验证会议链接、会议密码、参会权限、主持人控制、会议取消和会议编辑。通过标准是：未授权用户不能加入受限会议，非主持人不能执行主持人操作，会议密码具备防爆破能力。

7.4 管理后台权限

重点验证组织、用户、角色、权限组、管理员配置、日志、在线用户、缓存、调度等高权限功能。通过标准是：权限控制不能只依赖前端菜单，所有高权限接口必须由服务端校验，并保留审计记录。

7.5 运行环境安全

重点验证主机、数据库、中间件、端口和服务配置是否存在可直接利用的风险。通过标准是：无高危漏洞暴露，无默认口令或弱口令，不开放非必要服务，高风险配置完成整改或形成缓解措施。

8. 时间压缩带来的风险

覆盖深度下降：由 21 天压缩到 18 天后，人工验证时间减少，部分中低风险场景可能只能采用抽样验证，不能覆盖所有参数、角色组合和异常路径。

复测窗口变短：整改和复测时间被压缩，高危问题可以优先复测，但中低风险问题可能需要进入后续整改计划。

环境依赖更强：若测试账号、组织角色、会议数据、文件样本、后台权限或测试环境准备不及时，会直接挤压人工测试和报告时间。

误报/漏报控制压力增加：自动化扫描结果仍需人工复核，周期缩短会减少对边界场景和复杂业务链路的反复确认时间。

结论边界需要明确：18 天报告仅代表约定范围、当前测试版本、当前部署环境和测试时间窗口内的阶段性渗透测试结果，不替代架构调整后的全量安全测试结论。

9. 后续全量安全测试安排

本阶段渗透测试与架构调整同步推进。架构调整完成后，应基于调整后的最终架构和最终部署版本开展全量安全测试。全量安全测试范围包括：

源代码测试：对认证、授权、文件处理、会议控制、管理后台、输入校验、日志审计等关键代码逻辑进行安全审计。

开源组件测试：识别系统依赖组件和版本，分析已知漏洞、组件版本风险和处置建议。

渗透测试：基于调整后的最终部署环境，重新验证 Web/API、主机、中间件、数据库、会议、文件、后台权限等攻击面。

全量安全测试的测试计划、测试范围和交付报告应在架构调整完成后另行确认。本阶段 18 天渗透测试报告不替代后续全量安全测试结论。

10. 阶段性通过标准

本阶段发现的高危漏洞应形成明确整改建议和优先级。

密码重置闭环、文件越权、会议未授权加入、管理员越权等客户重点风险应优先验证和优先处置。

中风险问题如无法在本阶段全部修复，应形成影响说明、缓解措施和后续整改计划。

本阶段报告仅作为当前版本渗透测试结果，不作为架构调整后最终版本的全量安全结论。

11. 交付成果

本次仅交付两类成果：

包含测试范围、测试目标、测试方法、工具介绍、18 天计划安排、重点安全测试用例口径、时间压缩风险和阶段性通过标准。

渗透测试方案

包含测试执行结果、漏洞清单、风险等级、复现说明、整改建议、复测结果和阶段性安全结论。

渗透测试报告

12. 测试边界

不进行未经授权的拒绝服务测试。

不进行大规模密码爆破，仅做低频、受控验证。

不破坏、不删除、不篡改生产数据。

清空缓存、强制登出、删除日志、解散群聊、取消会议等高影响操作，需在测试环境或经客户确认后执行。

所有测试行为需保留记录，便于客户复核。