安全性测试与评估报告模版.docxVIP

安全性测试与评估报告客户信息XX 测试过程示意图本测试主要包括主动模式和被动模式两种。在被动模式中，测试人员尽可能的了解应用逻辑：比如用工具分析所有的HTTP请求及响应，以便测试人员掌握应用程序所有的接入点（包括HTTP头，参数，cookies等）；在主动模式中，测试人员试图以黑客的身份来对应用及其系统、后台等进行渗透测试，其可能造成的影响主要是数据破坏、拒绝服务等。一般测试人员需要先熟悉目标系统，即被动模式下的测试，然后再开展进一步的分析，即主动模式下的测试。主动测试会与被测目标进行直接的数据交互，而被动测试不需要。测试漏洞级别说明一个安全漏洞的风险程度受危害程度和概率的影响，我们定义了如下所示的关系：危害程度发生概率高中低高高高中中高中低低中低低表1 风险等级界定表测试周期本次安全测试，Sobug提供了核心白帽子XX名，测试周期X个月，对整个目标业务系统进行了详细的渗透测试。测试后的详细测试报告已经交由客户，并提供详细的顾问咨询服务，帮助客户整改。测试报告汇总测试项实际测试人天测试结果端口扫描0.5OK自动化Web漏洞扫描工具测试0.5OK文件、目录测试0.5OKRobots方式的敏感接口查找1OK目录列表测试1OK文件归档测试1OK认证测试3OK会话管理测试5OK权限管理测试5OK文件上传下载测试1OK信息泄漏测试5OK输入数据测试2OK跨站脚本测试5OK关于SobugSobug白帽众测是以众多安全专家的测试结果为导向的技术众包平台，帮助厂商在产品上线前对安全问题进行全面，有效的审计，同样也适用于上线后对安全问题的周期性巡检。Sobug安全测试优势：?安全的授权，平台双方均在授权下才能完成此测试过程，厂商需要签订合同，安全专家需要实名。?行为的审计，对于必威体育官网网址性要求较高的厂商，可由平台提供堡垒机或厂商提供VPN，对测试行为进行审计。?过程的竞争，对于同一个安全问题，平台只奖励首个发现该问题的安全专家，充分挖掘潜在安全问题。?结果的必威体育官网网址，安全专家非经厂商允许，不能对外透露测试过程和结果的任何细节。?风险的规避，平台对双方在测试过程中发生的纠纷提供强有力的法律援助，最大限度保障平台双方的权益不受损害。总结鉴于互联网安全风险的与日俱增，本次测试报告只代表当前风险评估现状，我们建议客户根据测试的结果进行安全整改，把安全风险降到最低，同时进行周期性的安全测试，本公司与XX已经建立长期的合作关系，作为安全顾问帮助客户进行安全体系的建设和安全能力水平的提升。Sobug众测平台的介绍：?Sobug众测平台是一个连接安全专家与厂商的网络安全众测平台，安全专家在平台上发现厂商的安全问题，厂商基于测试效果对安全专家进行奖励。目前接受Sobug众测平台服务的厂商有腾讯、爱奇艺、支付宝、锤子科技、37wan、PPTV、乐视网、Okcoin比特币、500彩票、脸萌、爱拍网、荔枝FM、卖座网等厂商。?Sobug众测的模式：?厂商在平台上发布需要测试的项目，比如*. （SoBug.Com为您的产品域名）众多实名认证的白帽子在平台上查看项目并对其进行测试，最终将漏洞详情提交到Sobug众测平台。?漏洞处理的方式：测试结果提交到Sobug平台，由平台审核确认后同步给您来处理，整个漏洞处理的闭环过程中不公开任何跟项目相关的内容，平台在未来也不会公开任何厂商的漏洞细节。?合作方式：Sobug众测平台有实体的公司和合同，总体金额会根据测试效果有一个大体的区间。一般对于初次众测的厂商，我们设定的金额是3-5w预算，最后会根据实际的漏洞数量和危害做统计，无漏洞不收费。?漏洞评级：?低危漏洞：信息泄漏，包括但不限于路径泄漏、PHPINFO、SVN、URL跳转等?中危漏洞：获取用户信息的漏洞，包括但不限于反射性XSS（含DOM-XSS）、普通业务的存储型XSS、CSRF、轻微 SQL注入和难以利用的SQL注入、普通越权操作以及设计缺陷等?高危漏洞：大范围的用户信息漏洞，包括但不限于容易利用的CSRF、存储型XSS、高风险的信息泄漏、获取一般数据的SQL注入、源代码下载以及任意文件读取和下载、越权访问、绕过验证访问后台、后台弱口令和其他服务的弱口令等?严重漏洞：严重的信息泄漏，包括获取重要数据的SQL注入、源代码泄漏、任意文件读取和下载（包含重要服务弱口令）、严重的逻辑漏洞、远程获取系统权限的漏洞和远程直接导致业务拒绝服务的漏洞?漏洞价格：?漏洞评级/企业类型标准企业电商企业金融企业高危漏洞3000元/个5000元/个10000元/个中危漏洞1500元/个2000元/个5000元/个低危漏洞100元/个200元/个200元/个单次预算建议3-5万元/次5-10万元/次10万元/次年预算建议8万元/年10万元/年20万元/年术语和定义术语解释攻击试图绕过安全控制的破坏活动。