网站安全测试报告模板
XXXX網(wǎng)站安全測試報告
?
摘要
經(jīng)xxxxx網(wǎng)站負(fù)責(zé)人的授權(quán),xxxxx有限公司安全測試小組對xxxxx網(wǎng)站進行了安全測試。測試結(jié)果如下:
- 嚴(yán)重問題:7個
- 中等問題:8個
- 輕度問題:6個
一.安全風(fēng)險分布
詳細(xì)內(nèi)容如下表:
1 發(fā)現(xiàn)問題詳細(xì)內(nèi)容
| 問題等級 | 種類 | 數(shù)量 | 名稱 |
| 嚴(yán)重問題 | 7種 | 1個 | 盲注 |
| 1個 | Apache Tomcat示例目錄漏洞 | ||
| 1個 | 跨站腳本攻擊 | ||
| 1個 | 應(yīng)用程序錯誤消息 | ||
| 1個 | Spring框架中的目錄遍歷 | ||
| 1個 | JavaScript庫薄弱 | ||
| 1個 | Microsoft IIS波浪號目錄枚舉 | ||
| 中等問題 | 8種 | 1個 | 頁面的錯誤信息 |
| 1個 | 緩慢的HTTP拒絕服務(wù)攻擊 | ||
| 1個 | Apache Jserv協(xié)議服務(wù) | ||
| 1個 | HTML表單沒有CSRF保護 | ||
| 1個 | VIEWSTATE參數(shù)未加密 | ||
| 1個 | Snoop Servlet信息披露 | ||
| 1個 | URL重定向 | ||
| 1個 | 用戶憑據(jù)以明文發(fā)送 | ||
| 輕度問題 | 6種 | 1個 | “點擊劫持”:X-Frame-Options頭失蹤 |
| 1個 | 登錄頁面密碼猜測攻擊 | ||
| 1個 | OPTIONS方法啟用 | ||
| 1個 | 可能相對路徑覆蓋 | ||
| 1個 | URL中的會話令牌 | ||
| 1個 | 壞鏈 |
?
xxxx有限公司認(rèn)為被測系統(tǒng)當(dāng)前安全狀態(tài)是:遠程不安全系統(tǒng)
服務(wù)概述
本次滲透測試工作是由xxxxxx有限公司的滲透測試小組獨立完成的。
xxxxxx公司滲透測試小組在20xx年3月14日至20xx年xx月xx日對xxxx網(wǎng)站進行了遠程滲透測試工作。在此期間,xxxxxxxx公司滲透測試小組利用部分前沿的攻擊技術(shù);使用成熟的黑客攻擊手段;集合軟件測試技術(shù)(標(biāo)準(zhǔn))對指定網(wǎng)絡(luò)、系統(tǒng)做入侵攻擊測試,希望由此發(fā)現(xiàn)網(wǎng)站、應(yīng)用系統(tǒng)中存在的安全漏洞和風(fēng)險點。
xxxxxxxx公司滲透測試服務(wù)流程定義為如下階段:
信息收集:此階段中,xxxxxxxxxx公司測試人員進行必要的信息收集,如 IP 地址、DNS 記錄、軟件版本信息、IP 段、Google中的公開信息等。
滲透測試:此階段中,xxxxxxxxxxxxxx公司測試人員根據(jù)第一階段獲得的信息對網(wǎng)絡(luò)、系統(tǒng)進行滲透測試。此階段如果成功的話,可能獲得普通權(quán)限。
缺陷利用:此階段中,xxxxxxxxxxxxxxxxxxxxx公司測試人員嘗試由普通權(quán)限提升為管理員權(quán)限,獲得對系統(tǒng)的完全控制權(quán)。在時間許可的情況下,必要時從第一階段重新進行。
成果收集:此階段中,xxxxxxxxxxxxxxxxxxx公司測試人員對前期收集的各類弱點、漏洞等問題進行分類整理,集中展示。
威脅分析:此階段中,xxxxxxxxxxxxxxxxxxx公司測試人員對發(fā)現(xiàn)的上述問題進行威脅分類和分析其影響。
輸出報告:此階段中,xxxxxxxxxxxxxxxxxxx公司測試人員根據(jù)測試和分析的結(jié)果編寫直觀的滲透測試服務(wù)報告
二.滲透測試流程
風(fēng)險管理及規(guī)避
為保障客戶系統(tǒng)在滲透測試過程中穩(wěn)定、安全的運轉(zhuǎn),我們將提供以下多種方式來進行風(fēng)險規(guī)避。
對象的選擇
為更大程度的避免風(fēng)險的產(chǎn)生,滲透測試還可選擇對備份系統(tǒng)進行測試。因為備份系統(tǒng)與在線系統(tǒng)所安裝的應(yīng)用和承載的數(shù)據(jù)差異較小,而其穩(wěn)定性要求又比在線系統(tǒng)低,因此,選擇對備份系統(tǒng)進行測試也是規(guī)避風(fēng)險的一種常見方式。
時間的控制
從時間安排上,測試人員將將盡量避免在數(shù)據(jù)高峰時進行測試,以此來減小測試工作對被測試系統(tǒng)帶來的壓力。
技術(shù)手段
xxx公司的滲透測試人員都具有豐富的經(jīng)驗和技能,在每一步測試前都會預(yù)估可能帶來的后果,對于可能產(chǎn)生影響的測試(如:溢出攻擊)將被記錄并跳過,并在隨后與客戶協(xié)商決定是否進行測試及測試方法。
監(jiān)控措施
針對每一系統(tǒng)進行測試前,測試人員都會告知被測試系統(tǒng)管理員,并且在測試過程中會隨時關(guān)注目標(biāo)系統(tǒng)的負(fù)荷等信息,一旦出現(xiàn)任何異常,將會停止測試。
工具的使用
在使用工具測試的過程中,測試人員會通過設(shè)置線程、插件數(shù)量等參數(shù)來減少其對系統(tǒng)的壓力,同時還會去除任何可能對目標(biāo)系統(tǒng)帶來危害的插件,如:遠程溢出攻擊類插件、拒絕服務(wù)攻擊類插件等等。
通過實施滲透測試服務(wù),可對貴方的信息化系統(tǒng)起到如下推進作用:
明確安全隱患點
滲透測試是一個從空間到面再到點的過程,測試人員模擬黑客的入侵,從外部整體切入最終落至某個威脅點并加以利用,最終對整個網(wǎng)絡(luò)產(chǎn)生威脅,以此明確整體系統(tǒng)中的安全隱患點。
提高安全意識
如上所述,任何的隱患在滲透測試服務(wù)中都可能造成“千里之堤潰于蟻穴”的效果,因此滲透測試服務(wù)可有效督促管理人員杜絕任何一處小的缺陷,從而降低整體風(fēng)險。
提高安全技能
在測試人員與用戶的交互過程中,可提升用戶的技能。另外,通過專業(yè)的滲透測試報告,也能為用戶提供當(dāng)前流行安全問題的參考。
測試目標(biāo)說明
1.測試對象
| 測試對象名稱 | 相關(guān)域名、對應(yīng)的URL |
| xx網(wǎng)站 | 證書版登錄 http://www.xx.com.cn IP地址:211.149.xx.xx |
2.測試賬號
| 測試賬號名稱 | 相關(guān)詳細(xì)信息 |
| xxxx系統(tǒng)賬號 | 賬號所有者:xxxxxx網(wǎng)站 系統(tǒng)登錄:xx密碼:xxxxxx ? |
3.時間
| 測試工作的時間段 | |||
| 起始時間 | 2019-xx-xx | 結(jié)束時間 | 2019-xx-xx |
本份測試報告分析的各種安全風(fēng)險,僅限定于在上述時間段內(nèi)測試反饋信息的整理,不包括非上述時間段內(nèi)的因系統(tǒng)調(diào)整、維護更新后出現(xiàn)的其他變化情況。
參與測試人員
| 參測人員名單 | |||
| 姓名 | xx | 所屬部門 | 軟件測試部 |
| 姓名 | xx | 所屬部門 | 軟件研發(fā)部 |
本次滲透測試過程中,南京貞觀互聯(lián)網(wǎng)科技有限公司測試小組使用過多個互聯(lián)網(wǎng)IP地址開展的分析工作,在此通知南京長江第三大橋網(wǎng)站相關(guān)人員在對受測試的目標(biāo)站點服務(wù)器、相應(yīng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)進行安全監(jiān)控和日志分析時,排除以下IP地址產(chǎn)生的任何違規(guī)信息,以保證分析結(jié)果的準(zhǔn)確有效。
三、工具及相關(guān)資源
1.測試工具:NetCat
| 工具名稱 | NetCat |
| 工具用途 | 端口連接,數(shù)據(jù)提交 |
| 相關(guān)信息 | http://joncraton.org/files/nc111nt.zip |
2 測試工具:Nmap
| 工具名稱 | Nmap |
| 工具用途 | 端口掃描,服務(wù)識別,操作系統(tǒng)指紋識別 |
| 相關(guān)信息 | http://nmap.org/ |
3 測試工具:httprint
?
| 工具名稱 | Httprint |
| 工具用途 | 通過遠程http指紋判斷http服務(wù)類型 |
| 相關(guān)信息 | http://www.net-square.com/httprint/ |
4 測試工具:Tamper IE
?
| 工具名稱 | Tamper IE |
| 工具用途 | HTTP數(shù)據(jù)包修改、轉(zhuǎn)發(fā)工具(Firefox插件) |
| 相關(guān)信息 | http://www.bayden.com/TamperIE/ |
5 測試工具:安全檢測工具集
?
| 工具名稱 | XX科技整理的安全檢測工具集 |
| 工具用途 | 跨站及SQL注入測試、遠程溢出測試、暴力破解測試、嗅探分析 |
| 相關(guān)信息 | www.xxS.com |
?
在具體的分析過程中,xxxxxxxx公司測試小組在微軟的Windows平臺上(涵蓋2003/Vista),使用了IE(涵蓋6.0/7.0/8.0)和Firefox瀏覽器對指定的測試對象進行的分析、校驗、測試。因此,漏洞分析檢測到的部分安全問題可能與特定的操作系統(tǒng)、軟件版本有具體關(guān)系,提醒后期實施漏洞修復(fù)工作的人員特別注意其中的差異。
- 測試過程詳述
- 目標(biāo)信息探測
- 域名信息
滲透測試人員首先通過nslookup對主機的IP地址、NS記錄等信息的查詢,對站點進行基本的信息探測:
| Default Server: ?xd-cache-1.net Address: ?211.149.xx.xx:xx ? >xx.com.cn ? //查詢ns記錄 > set type=ns >xx.com.cn Server: ?gjjline.bta.net.cn Address: ?211.149.xx.xx:xx ? Non-authoritative answer: xx.com ?????nameserver = xx.com > server hxns1.hua-xiabank.com Default Server: ?xx.com.cn Address: ?211.149.xx.xx:xx ? //測試區(qū)域傳輸 > set type=axfr > ls -d xx.com.cn ls: connect: No error *** Can't list domain xx.com.cn: Unspecified error The DNS server refused to transfer the zone xx.com to your computer.?If this is incorrect, check the zone transfer security settings for xx.com on the DNS server at IP address 211.149.xx.xx:xx ? //查詢站點mx記錄 > set type=mx > nj3q.com.cn Server: ?xx.com.cn Address: ?211.149.xx.xx:xx ? xx.com ?????MX preference = 5, mail exchanger = smtp.xx.com.cn xx.com ?????nameserver = xx.com.cn ? //檢查版本信息 > set type=txt > set class=chaos > version.bind Server: ?xx.com.cn Address: ?211.149.xx.xx:xx version.bind ???nameserver = version.bind ? |
?
對WWW目標(biāo)進行Whois的查詢,下面是獲取到的Whois信息如下:
| xx.com.cn= [211.149.xx.xx:xx] |
搜索錯誤的文件后綴
在此過程中,測試人員會對站點進行如下內(nèi)容的搜索:
| 搜索內(nèi)容 | 說明 |
| site:xx.com.cn?inurl:jsp.bak site:xx.com.cn?inurl:jsp.bak | 搜索站點中是否存在后綴為jsp.bak的文件,即,某些jsp的備份文件。 |
| site:xx.com.cn?filetype:sql site:xx.com.cn?filetype:sql | 搜索站點中是否存在SQL腳本文件 |
| site: xx.com.cn?filetype:txt site: xx.com.cn?filetype:txt | 查找站點中是否有包含敏感信息的txt文件 |
| site: xx.com.cn?filetype:conf site: xx.com.cn?filetype:conf | 查找站點中是否有包含敏感信息的conf文件 |
?
通過上述方法測試,測試人沒有在Google和Baidu等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。
查找第三方組件或程序
在此過程中,測試人員會對站點進行如下內(nèi)容的搜索:
| 搜索內(nèi)容 | 說明 |
| site:xx.com.cn??inurl:/fckeditor/ site:xx.com.cn??inurl:/fckeditor/ | 搜索站點是否使用了fckeditor |
| site:xx.com.cn?inurl:jsp?id inurl:ewebeditor site:xx.com.cn?inurl:jsp?id inurl:ewebeditor | 搜索站點是否使用了 eWebEditor |
?
通過上述方法測試,測試人沒有在Google和Baidu等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。
搜索錯誤的配置
在此過程中,測試人員會對站點進行如下內(nèi)容的搜索:
| 搜索內(nèi)容 | 說明 |
| site:xx.com.cn?intitle:”index of /” site:xx.com.cn?intitle:”index of /” | 搜索站點是否使用了列目錄功能 |
| site:xx.com.cn?intitle:"Apache Tomcat" intitle:"Error Report" | 搜索站點是否存在TOMCAT錯誤信息,通過錯誤信息可判斷TOMCAT版本 |
| site:xx.com.cn??inurl:"examples" site:xx.com.cn??inurl:"examples" | 搜索站點中是否存在測試代碼 |
?
通過上述方法測試,測試人沒有在Google和Baidu等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。
通過使用Nmap端口掃描工具對主機在Internet上的端口開放情況進行檢查:
1Nmap掃描結(jié)果
通過Nmap掃描報告,確認(rèn)主機開放兩個端口:
通過使用nc(NetCat)對主機的TCP 21進行端口連接性測試,發(fā)現(xiàn)在連接成功后較長時間內(nèi)端口無反應(yīng):
2使用nc連接TCP 21
再次通過使用ftp客戶端對目標(biāo)系統(tǒng)發(fā)起FTP連接請求,得到信息“Connection closed by remote host.”:
3 使用ftp客戶端對目標(biāo)主機進行驗證
由此可確認(rèn)TCP 21雖開放,但應(yīng)在網(wǎng)絡(luò)層有相關(guān)的ACL限制,因此無法從Internet對其FTP服務(wù)發(fā)起連接請求。
?
服務(wù)信息探測
通過端口掃描判斷,遠程目標(biāo)主機僅有TCP 443端口(WEB應(yīng)用服務(wù))可用,因此,后繼的滲透測試工作主要針對WEB應(yīng)用本身及運行于WEB應(yīng)用上的代碼展開。
首先使用httprint對遠程主機的WEB應(yīng)用版本進行判
1 httprint判斷遠程WEB應(yīng)用版本
根據(jù)httprint輸出無法判斷遠程主機的WEB應(yīng)用。
通過nc手工提交HTTP HEAD請求,依然無法獲取到目標(biāo)WEB應(yīng)用版本信息。
2 使用nc提交HTTP HEAD請求
通過nc手工提交HTTP OPTIONS請求,依然無法獲取到目標(biāo)WEB應(yīng)用版本信息。
3 使用nc提交HTTP OPTIONS請求
對應(yīng)用的測試
測試人員根據(jù)WASC威脅分類,對應(yīng)用程序的滲透測試從五個類型的安全方面進行測試,這五個威脅類型包括:認(rèn)證和授權(quán)、命令執(zhí)行、邏輯攻擊、服務(wù)端攻擊、信息泄露。
?
| 認(rèn)證和授權(quán)類 | 命令執(zhí)行類 |
| 暴力攻擊 | LDAP注入 |
| 認(rèn)證不充分 | SSI注入 |
| 會話定置 | SQL注入 |
| 會話期限不充分 | Xpath注入 |
| 憑證/會話預(yù)測 | 操作系統(tǒng)命令 |
| 授權(quán)不充分 | 格式字符串攻擊 |
| 邏輯攻擊類 | 緩沖區(qū)溢出 |
| 功能濫用 | 信息泄漏類 |
| 拒絕服務(wù) | 可預(yù)測資源定位 |
| 客戶端攻擊類 | 路徑遍歷 |
| 跨站點腳本編制 | 目錄索引 |
| 內(nèi)容電子欺騙 | 信息泄露 |
1 WASC威脅分類
測試人員根據(jù)xxx系統(tǒng)的特點,從實際出發(fā)采用手工測試的方法,對五大類威脅中的部分內(nèi)容進行測試。
在命令執(zhí)行類的測試中,測試人員主要測試了SQL注入攻擊。為了避免使用模糊測試給賬戶及xxxx網(wǎng)站帶來不可預(yù)料的影響,測試人員采用手工測試的方法。
測試人員對xxxxx網(wǎng)站中的輸入?yún)?shù)進行了部分測試,下面以測試登錄用戶名選項為例進行說明。
測試人員發(fā)現(xiàn)當(dāng)前xxxx網(wǎng)站系統(tǒng)大部分輸入都只是網(wǎng)頁端驗證而非網(wǎng)頁端服務(wù)端雙向驗證。(威脅點)
測試人員在對網(wǎng)站其他周邊信息進行檢查時發(fā)現(xiàn),xx.com.cn存在明顯的web server默認(rèn)頁面,該處泄露了當(dāng)前服務(wù)器web信息。
?
發(fā)現(xiàn)問題與建議
1/其他建議
針對WEB平臺的滲透測試及定期的評估掃描等方式,均以暴露問題為目標(biāo),屬于被動的安全手段,而這些方式也大大的增加開發(fā)和維護的成本,因此建議xxxx網(wǎng)站針對如WEB程序這類個性化產(chǎn)品開發(fā)前就應(yīng)做好安全的相關(guān)工作,建議xxxx網(wǎng)站對定制開發(fā)的產(chǎn)品從以下幾個方面進行相關(guān)的考察和關(guān)注:
- 測試結(jié)論
經(jīng)過本次遠程滲透測試,我們對此遠程系統(tǒng)的安全評價是?遠程不安全系統(tǒng)。
?
| 安全等級 | 資源內(nèi)容描述 |
| 遠程不安全系統(tǒng) (符合任何一個條件) | 存在一個或一個以上嚴(yán)重的安全問題,可直接導(dǎo)致系統(tǒng)受到破壞; 與其他非安全系統(tǒng)連接,同時存在相互信任關(guān)系(或帳號互通)的主機; 發(fā)現(xiàn)已經(jīng)被人入侵且留下遠程后門的主機; 存在3個以上中等安全問題的主機; 與其他非安全系統(tǒng)在一個共享網(wǎng)絡(luò)中,同時遠程維護明文傳輸口令; 完全不能抵抗小規(guī)模的拒絕服務(wù)攻擊 |
| 遠程一般安全系統(tǒng) (符合任何一個條件) | 存在一個或一個以上中等安全問題的主機; 開放過多服務(wù),同時可能被利用來進行拒絕服務(wù)的主機; 與其他非安全系統(tǒng)直接連接,但暫時不存在直接信任(或帳號互通)關(guān)系; 遠程維護通過明文的方式傳遞信息; 存在三個以上輕度安全問題的主機; 只能抵御最低級的拒絕服務(wù)攻擊; |
| 遠程安全系統(tǒng) (符合全部條件) | 最多存在1-2個輕度安全問題; 遠程維護方式安全; 與不安全或一般安全系統(tǒng)相對獨立; 能抵擋一定規(guī)模的拒絕服務(wù)攻擊。 |
六 安全等級評定
威脅程度的分級方式說明如下:
總結(jié)
以上是生活随笔為你收集整理的网站安全测试报告模板的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: sql之引擎介绍
- 下一篇: Arithmetic图像处理halcon