1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 人力资源/企业管理
  5. 质量管理

系统渗透测试报告.docxVIP

系统渗透测试报告.docx

    1. 1、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多
    篇名系统渗透测试报告引言本次系统渗透测试主要针对XXX系统进行了一系列的渗透测试,通过对该系统的身份认证访问授权数据验证和配置管理等方面的检查,确保了该系统在各种安全方面都处于良好的状态测试内容11身份认证通过对系统用户权限的设置以及用户的输入验证,我们发现了XXX系统中的一系列异常行为,如XXX这些异常行为主要是由于XXX原因导致的12访问授权在实际的软件使用中,我们需要实现XXX的访问授权,以便更安全地进行操作

    XXXX系统渗透测试报告

    目录

    项目概述 1

    测试摘要 1

    测试人员 1

    测试范围 1

    测试依据 1

    测试工具 2

    测试内容: 2

    1.1.身份认证 2

    1.2.访问授权 3

    1.3.数据验证 4

    1.4.配置管理 5

    1.5.漏洞安全 5

    测试结果 6

    1.6.测试统计 6

    1.7.漏洞详情 6

    2.2.1漏洞1 6

    2.2.1漏洞2 7

    2.总结 9

    项目概述测试摘要

    经过XXXX系统建设方授权,于XXXX年XX月对XXXXXX系统进行渗透测试工作。通过工具+手工两种手段进行渗透,发现一类漏洞。

    测试人员

    序号

    测试人员

    联系方式

    1

    测试范围

    序号

    系统名称

    测试域名

    1

    XXXXX系统渗透测试

    测试依据

    安全测试服务将参考下列规范进行工作:

    信息安全技术 信息安全风险评估规范(GB/T20984-2007)

    信息技术 信息安全管理实用规则(GB/T19716-2005)(ISO/IEC

    17799:2000)

    信息系统安全风险评估实施指南信息系统审计标准(ISACA)

    OWASPOWASP_Testing_Guide_v3

    OWASPOWASP_Development_Guide_2005OWASPOWASP_Top_10_2013_Chinese_V1.0

    ……

    测试工具

    拓扑分析工具:DNSSweep、Nslookup。自动化扫描工具:Nessus、AIScanner等。

    端口扫描、服务检测:Nmap、SuperScan等。

    密码、口令破解:Johntheripper、L0phtcrack、MD5Crack、Cain等。嗅探分析工具:Ethereal、Entercap、Dsniff等。

    Exploiting利用工具:MetasploitFramework、CoreImpact、Canvas等。应用缺陷分析工具:SQLMAP、sqlninja等。

    综合类工具:w3af等。

    测试内容:

    1.1.身份认证

    类别

    类别

    测试项

    测试结论

    备注

    密码安全

    密码强度不足

    默认密码不安全

    通过

    通过

    暴力破解

    无抵御暴力破解机制

    抵御机制可绕过

    通过

    通过

    系统提示中泄露敏感信息

    通过

    信息泄露

    客户端代码中泄露敏感信息

    系统日志中泄露敏感信息

    通过

    通过

    本地存储泄露敏感信息

    通过

    传输安全

    敏感信息未加密传输

    敏感信息加密方式不安全

    通过

    通过

    修改密码不需要认证

    通过

    密码修改

    修改密码不需要提供原始密码

    通过

    修改密码时可穷举原始密码

    通过

    登录漏洞

    登录存在SQL注入

    通过

    1.2.访问授权

    类别

    测试项

    测试结论 备注

    匿名用户可访问普通用户操作

    通过

    越权(AA-01)

    匿名用户可访问管理员用户操作

    普通用户可访问管理员用户操作

    通过

    通过

    普通用户之间可访问非授权操作

    通过

    1.3.数据验证

    类别

    测试项

    测试结论 备注

    匿名用户触发的普通SQL注入

    通过

    SQL注入

    匿名用户触发的盲目SQL注入

    授权用户触发的普通SQL注入

    通过

    通过

    授权用户触发的盲目SQL注入

    通过

    命令注入

    asp命令注入

    通过

    PHP脚本注入

    通过

    脚本注入

    ASP脚本注入

    通过

    文件包含漏洞

    通过

    文件上传漏洞

    通过

    路径遍历

    文件下载漏洞

    通过

    任意文件读写

    通过

    反射型

    通过

    XSS

    存储型

    通过

    DOM型

    通过

    CSRF

    通过

    其它

    HTTP消息头注入

    通过

    CRLF注入

    通过

    1.4.配置管理

    类别

    测试项

    测试结论

    备注

    HTTP协议

    启用非安全的HTTP方法

    通过

    WebServer安全选项未打开

    通过

    WebServer

    网站目录遍历

    通过

    WebServer历史漏洞未修补

    通过

    FTPServer

    服务器提供外网ftp服务

    外网ftp服务允许匿名登录

    通过

    通过

    DBServer

    数据库开放外网端口

    数据库允许匿名登录

    通过

    通过

    1.5.漏洞安全

    类别

    测试项

    测试结论

    备注

    服务器操作系统漏洞

    通过

    系统漏洞

    中间件漏洞

    第三方组件漏洞

    通过

    通过

    开发框架漏洞

    通过

    测试结果

    1.6.测试统计

    发现 威胁漏洞产生原因漏洞名称次数

    发现 威胁

    漏洞产生原因

    漏洞名称

    次数 级别 编码层面

    业务逻辑

    产品缺陷 其它

    漏洞1

    2

    漏洞2

    1

    2.2.1漏洞1

    威胁级别

    严重

    严重

    中度

    轻度

    漏洞描述

    XXXXX系统

    名称

    名称:漏洞1

    漏洞等级:低危

    漏洞描述及可能危害

    漏洞1描述

    漏洞位置

    漏洞位置:

    漏洞

    您可能关注的文档

    最近下载

    文档评论(0)

    不忘初心 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >