安全性测试与评估报告模版.docxVIP

安全性测试与评估报告 客户信息 XX 测试过程示意图 本测试主要包括主动模式和被动模式两种。在被动模式中，测试人员尽可能的了解应用逻辑：比如用工具分析所有的HTTP请求及响应，以便测试人员掌握应用程序所有的接入点（包括HTTP头，参数，cookies等）；在主动模式中，测试人员试图以黑客的身份来对应用及其系统、后台等进行渗透测试，其可能造成的影响主要是数据破坏、拒绝服务等。一般测试人员需要先熟悉目标系统，即被动模式下的测试，然后再开展进一步的分析，即主动模式下的测试。主动测试会与被测目标进行直接的数据交互，而被动测试不需要。 造成的影响 造成的影响 主动 模式 被动模式 初始化 完成 Web结构获取 权限测试 归档测试 参数分析 异常处理 注入测试 命令执行 文件包含 跨站脚本 信息窃取 备份文件 后台查找 目录列表 会话管理 信息泄漏 数据破坏 拒绝服务 信息获取 熟悉业务逻辑 Google Hacking 接口测试 认证测试 暴力破解 认证绕过 逻辑处理 越权操作 身份仿冒 日志检查 拒绝服务 上传下载 测试漏洞级别说明 一个安全漏洞的风险程度受危害程度和概率的影响，我们定义了如下所示的关系： 危害程度 发生概率 高 中 低 高 高 高 中 中 高 中 低 低 中 低 低 表1 风险等级界定表 测试周期 本次安全测试，Sobug提供了核心白帽子XX名，测试周期X个月，对整个目标业务系统进行了详细的渗透测试。测试后的详细测试报告已经交由客户，并提供详细的顾问咨询服务，帮助客户整改。 测试报告汇总 测试项 实际测试人天 测试结果 端口扫描 0.5 OK 自动化Web漏洞扫描工具测试 0.5 OK 文件、目录测试 0.5 OK Robots方式的敏感接口查找 1 OK 目录列表测试 1 OK 文件归档测试 1 OK 认证测试 3 OK 会话管理测试 5 OK 权限管理测试 5 OK 文件上传下载测试 1 OK 信息泄漏测试 5 OK 输入数据测试 2 OK 跨站脚本测试 5 OK 关于Sobug Sobug白帽众测是以众多安全专家的测试结果为导向的技术众包平台，帮助厂商在产品上线前对安全问题进行全面，有效的审计，同样也适用于上线后对安全问题的周期性巡检。 Sobug安全测试优势： ?安全的授权，平台双方均在授权下才能完成此测试过程，厂商需要签订合同，安全专家需要实名。 ?行为的审计，对于必威体育官网网址性要求较高的厂商，可由平台提供堡垒机或厂商提供VPN，对测试行为进行审计。 ?过程的竞争，对于同一个安全问题，平台只奖励首个发现该问题的安全专家，充分挖掘潜在安全问题。 ?结果的必威体育官网网址，安全专家非经厂商允许，不能对外透露测试过程和结果的任何细节。 ?风险的规避，平台对双方在测试过程中发生的纠纷提供强有力的法律援助，最大限度保障平台双方的权益不受损害。 总结 鉴于互联网安全风险的与日俱增，本次测试报告只代表当前风险评估现状，我们建议客户根据测试的结果进行安全整改，把安全风险降到最低，同时进行周期性的安全测试， 本公司与XX已经建立长期的合作关系，作为安全顾问帮助客户进行安全体系的建设和安全能力水平的提升。 Sobug众测平台的介绍： ? Sobug众测平台是一个连接安全专家与厂商的网络安全众测平台，安全专家在平台上发现厂商的安全问题，厂商基于测试效果对安全专家进行奖励。目前接受Sobug众测平台服务的厂商有腾讯、爱奇艺、支付宝、锤子科技、37wan、PPTV、乐视网、Okcoin比特币、500彩票、脸萌、爱拍网、荔枝FM、卖座网等厂商。 ? Sobug众测的模式： ? 厂商在平台上发布需要测试的项目，比如*. （SoBug.Com为您的产品域名） 众多实名认证的白帽子在平台上查看项目并对其进行测试，最终将漏洞详情提交到Sobug众测平台。 ? 漏洞处理的方式： 测试结果提交到Sobug平台，由平台审核确认后同步给您来处理，整个漏洞处理的闭环过程中不公开任何跟项目相关的内容，平台在未来也不会公开任何厂商的漏洞细节。 ? 合作方式： Sobug众测平台有实体的公司和合同，总体金额会根据测试效果有一个大体的区间。 一般对于初次众测的厂商，我们设定的金额是3-5w预算，最后会根据实际的漏洞数量和危害做统计，无漏洞不收费。 ? 漏洞评级： ? 低危漏洞：信息泄漏，包括但不限于路径泄漏、PHPINFO、SVN、URL跳转等 ? 中危漏洞：获取用户信息的漏洞，包括但不限于反射性XSS（含DOM-XSS）、普通业务的存储型XSS、CSRF、轻微 SQL注入和难以利用的SQL注入、普通越权操作以及设计缺陷等 ? 高危漏洞：大范围的用户信息漏洞，包括但不限于容易利用的CSRF、存储型XSS、高风险