XXX公司XXX系统测试报告.docVIP

中医药智慧管理系统 安全测试报告 创建人：李杰 创建时间：2022年11月20日 确认时间：2022年11月25日 当前版本：V1.0 简介 1.1编写目的 本报告为XXX V1.0版本的安全测试报告，目的在于考察系统安全性、测试结论以及测试建议。 1.2项目背景 XXX系统作为广东省XXX市区域医疗机构推广使用的中药智慧管理系统，旨在提高医院中药采购的信息化管理水平。随着业务数据的积累，医院可根据历史业务数据及统计图表，优化医院中药库存管理、采购管理及入库等流程，提高医院中药的供应链管理水平。 现在XXX V1.0版本已开发完成，整体主要功能已比较完善，为了2021 年4月能在梅州市顺利推进试点医院的上线，需要对V1.0版本做一次比较全面的安全测试，根据测试的结果提出整改建议，完善系统安全性。 1.3系统简介 XXX系统主要用于医院下采购订单，然后供应商接受订单并备货送货，医院最终确认到货的过程。业务流程图如下图所示： 1.4术语定义和缩写词 列出设计本系统/项目的专用术语和缩写语约定。对于技术相关的名词和与多义词一定要注明清楚，以便阅读时不会产生歧义。 如： 漏洞扫描： SQL注入： 1.5参考资料 请列出编写测试报告时所参考的资料、文档。 需求、设计、测试案例、手册以及其他项目文档都是范围内可参考的资料。 测试使用的国家标准、行业指标、公司规范和质量手册等等。 测试概要 测试的概要介绍，包括测试范围、测试方法、测试工具、测试环境等，主要是测试情况简介。 2.1测试范围 此次XXX系统V1.0版本测试包含3个服务，分别为： 用户角色平台： rbac 数据平台： data 交易业务平台：trade 2.2测试方法和测试工具 XXX系统V1.0主要使用了输入安全、访问控制安全、认证与会话管理、缓冲区溢出、拒绝服务、不安全的配置管理、注入式漏洞等安全测试方案。针对以上提供的测试方案进行对应的测试用例和测试脚本编写，并使用Websecurify和IBM Security AppScan Standard作为测试工具。 2.2.1验证输入安全 XXX系统V1.0版本主要对没有被验证的输入法进行如下测试： 数据类型（字符串、整型、实数等）、允许的字符集、最小和最大的长度、是否允许空输入、参数是否是必需的、重复是否允许、数值范围、特定的值（枚举型）、特定的模式（正则表达式） 2.2.2访问控制安全 需要验证用户身份以及权限的页面，复制该页面的url地址，关闭该页面以后，查看是否可以直接进入该复制好的地址。 例：从一个页面链接到另一个页面的间隙可以看到URL地址 直接输入该地址，可以看到自己没有权限的页面信息 2.2.3认证与会话管理 对Grid、Label、Tree view类的输入框未做验证，输入的内容会按照html语法解析出来。 2.2.4缓冲区溢出 没有加密关键数据。 例：view-source:网络地址可以查看源代码。 在页面输入密码，页面显示的是****，右键，查看源文件就可以看见刚才输入的密码。 2.2.5拒绝服务 攻击者可以从一个主机产生足够多的流量来耗尽很多应用程序，最终使程序陷入瘫痪，需要做负载均衡来对付。 2.2.6不安全的配置管理 Config中的链接字符串以及用户信息，邮件，数据存储信息都需要加以保护。 程序员应该做的：配置所有的安全机制，关掉所有不使用的服务，设置角色权限账号，使用审计日志和警报。 分析：用户使用缓冲区溢出来破坏，web应用程序的栈，通过发送特别编写的代码到web程序中，攻击者可以让web应用程序来执行任意代码。 2.2.7注入式漏洞 例：一个验证用户登录的页面，如果使用的sql语句为： Select * from table where username=’’ +username+’’ and password... Sql输入‘or 1=1--就可以不输入任何password进行攻击或者是半角状态下的用户名与密码为：‘ or’‘=’。 2.2.8不恰当的异常处理 分析：程序在抛出异常的时候给出了比较详细的内部错误信息，暴露了不应该显示的执行细节，网站存在潜在漏洞。 2.2.9不安全的存储 分析：账号列表：系统不应该允许用户浏览到网站所有的账号，如果必须要一个用户列表，推荐使用某种形式的假名（屏蔽名）来指向实际的账号。 2.2.10跨站脚本（XSS） 分析：攻击者使用跨站脚本来发送恶意代码给没有发觉的用户，窃取他机器上的任意资料 测试方法： HTML标签：....../... 转义字符：()；();();(空格)； 脚本语言： script language=’javascript’...Alert(‘’) /script 特殊字符：‘’/ 最小和最大的长度。 是否允许空输入。 2.2