网站安全测试报告模板
XXXX網(wǎng)站安全測試報(bào)告
?
摘要
經(jīng)xxxxx網(wǎng)站負(fù)責(zé)人的授權(quán),xxxxx有限公司安全測試小組對xxxxx網(wǎng)站進(jìn)行了安全測試。測試結(jié)果如下:
- 嚴(yán)重問題:7個(gè)
- 中等問題:8個(gè)
- 輕度問題:6個(gè)
一.安全風(fēng)險(xiǎn)分布
詳細(xì)內(nèi)容如下表:
1 發(fā)現(xiàn)問題詳細(xì)內(nèi)容
| 問題等級 | 種類 | 數(shù)量 | 名稱 |
| 嚴(yán)重問題 | 7種 | 1個(gè) | 盲注 |
| 1個(gè) | Apache Tomcat示例目錄漏洞 | ||
| 1個(gè) | 跨站腳本攻擊 | ||
| 1個(gè) | 應(yīng)用程序錯(cuò)誤消息 | ||
| 1個(gè) | Spring框架中的目錄遍歷 | ||
| 1個(gè) | JavaScript庫薄弱 | ||
| 1個(gè) | Microsoft IIS波浪號目錄枚舉 | ||
| 中等問題 | 8種 | 1個(gè) | 頁面的錯(cuò)誤信息 |
| 1個(gè) | 緩慢的HTTP拒絕服務(wù)攻擊 | ||
| 1個(gè) | Apache Jserv協(xié)議服務(wù) | ||
| 1個(gè) | HTML表單沒有CSRF保護(hù) | ||
| 1個(gè) | VIEWSTATE參數(shù)未加密 | ||
| 1個(gè) | Snoop Servlet信息披露 | ||
| 1個(gè) | URL重定向 | ||
| 1個(gè) | 用戶憑據(jù)以明文發(fā)送 | ||
| 輕度問題 | 6種 | 1個(gè) | “點(diǎn)擊劫持”:X-Frame-Options頭失蹤 |
| 1個(gè) | 登錄頁面密碼猜測攻擊 | ||
| 1個(gè) | OPTIONS方法啟用 | ||
| 1個(gè) | 可能相對路徑覆蓋 | ||
| 1個(gè) | URL中的會(huì)話令牌 | ||
| 1個(gè) | 壞鏈 |
?
xxxx有限公司認(rèn)為被測系統(tǒng)當(dāng)前安全狀態(tài)是:遠(yuǎn)程不安全系統(tǒng)
服務(wù)概述
本次滲透測試工作是由xxxxxx有限公司的滲透測試小組獨(dú)立完成的。
xxxxxx公司滲透測試小組在20xx年3月14日至20xx年xx月xx日對xxxx網(wǎng)站進(jìn)行了遠(yuǎn)程滲透測試工作。在此期間,xxxxxxxx公司滲透測試小組利用部分前沿的攻擊技術(shù);使用成熟的黑客攻擊手段;集合軟件測試技術(shù)(標(biāo)準(zhǔn))對指定網(wǎng)絡(luò)、系統(tǒng)做入侵攻擊測試,希望由此發(fā)現(xiàn)網(wǎng)站、應(yīng)用系統(tǒng)中存在的安全漏洞和風(fēng)險(xiǎn)點(diǎn)。
xxxxxxxx公司滲透測試服務(wù)流程定義為如下階段:
信息收集:此階段中,xxxxxxxxxx公司測試人員進(jìn)行必要的信息收集,如 IP 地址、DNS 記錄、軟件版本信息、IP 段、Google中的公開信息等。
滲透測試:此階段中,xxxxxxxxxxxxxx公司測試人員根據(jù)第一階段獲得的信息對網(wǎng)絡(luò)、系統(tǒng)進(jìn)行滲透測試。此階段如果成功的話,可能獲得普通權(quán)限。
缺陷利用:此階段中,xxxxxxxxxxxxxxxxxxxxx公司測試人員嘗試由普通權(quán)限提升為管理員權(quán)限,獲得對系統(tǒng)的完全控制權(quán)。在時(shí)間許可的情況下,必要時(shí)從第一階段重新進(jìn)行。
成果收集:此階段中,xxxxxxxxxxxxxxxxxxx公司測試人員對前期收集的各類弱點(diǎn)、漏洞等問題進(jìn)行分類整理,集中展示。
威脅分析:此階段中,xxxxxxxxxxxxxxxxxxx公司測試人員對發(fā)現(xiàn)的上述問題進(jìn)行威脅分類和分析其影響。
輸出報(bào)告:此階段中,xxxxxxxxxxxxxxxxxxx公司測試人員根據(jù)測試和分析的結(jié)果編寫直觀的滲透測試服務(wù)報(bào)告
二.滲透測試流程
風(fēng)險(xiǎn)管理及規(guī)避
為保障客戶系統(tǒng)在滲透測試過程中穩(wěn)定、安全的運(yùn)轉(zhuǎn),我們將提供以下多種方式來進(jìn)行風(fēng)險(xiǎn)規(guī)避。
對象的選擇
為更大程度的避免風(fēng)險(xiǎn)的產(chǎn)生,滲透測試還可選擇對備份系統(tǒng)進(jìn)行測試。因?yàn)閭浞菹到y(tǒng)與在線系統(tǒng)所安裝的應(yīng)用和承載的數(shù)據(jù)差異較小,而其穩(wěn)定性要求又比在線系統(tǒng)低,因此,選擇對備份系統(tǒng)進(jìn)行測試也是規(guī)避風(fēng)險(xiǎn)的一種常見方式。
時(shí)間的控制
從時(shí)間安排上,測試人員將將盡量避免在數(shù)據(jù)高峰時(shí)進(jìn)行測試,以此來減小測試工作對被測試系統(tǒng)帶來的壓力。
技術(shù)手段
xxx公司的滲透測試人員都具有豐富的經(jīng)驗(yàn)和技能,在每一步測試前都會(huì)預(yù)估可能帶來的后果,對于可能產(chǎn)生影響的測試(如:溢出攻擊)將被記錄并跳過,并在隨后與客戶協(xié)商決定是否進(jìn)行測試及測試方法。
監(jiān)控措施
針對每一系統(tǒng)進(jìn)行測試前,測試人員都會(huì)告知被測試系統(tǒng)管理員,并且在測試過程中會(huì)隨時(shí)關(guān)注目標(biāo)系統(tǒng)的負(fù)荷等信息,一旦出現(xiàn)任何異常,將會(huì)停止測試。
工具的使用
在使用工具測試的過程中,測試人員會(huì)通過設(shè)置線程、插件數(shù)量等參數(shù)來減少其對系統(tǒng)的壓力,同時(shí)還會(huì)去除任何可能對目標(biāo)系統(tǒng)帶來危害的插件,如:遠(yuǎn)程溢出攻擊類插件、拒絕服務(wù)攻擊類插件等等。
通過實(shí)施滲透測試服務(wù),可對貴方的信息化系統(tǒng)起到如下推進(jìn)作用:
明確安全隱患點(diǎn)
滲透測試是一個(gè)從空間到面再到點(diǎn)的過程,測試人員模擬黑客的入侵,從外部整體切入最終落至某個(gè)威脅點(diǎn)并加以利用,最終對整個(gè)網(wǎng)絡(luò)產(chǎn)生威脅,以此明確整體系統(tǒng)中的安全隱患點(diǎn)。
提高安全意識(shí)
如上所述,任何的隱患在滲透測試服務(wù)中都可能造成“千里之堤潰于蟻穴”的效果,因此滲透測試服務(wù)可有效督促管理人員杜絕任何一處小的缺陷,從而降低整體風(fēng)險(xiǎn)。
提高安全技能
在測試人員與用戶的交互過程中,可提升用戶的技能。另外,通過專業(yè)的滲透測試報(bào)告,也能為用戶提供當(dāng)前流行安全問題的參考。
測試目標(biāo)說明
1.測試對象
| 測試對象名稱 | 相關(guān)域名、對應(yīng)的URL |
| xx網(wǎng)站 | 證書版登錄 http://www.xx.com.cn IP地址:211.149.xx.xx |
2.測試賬號
| 測試賬號名稱 | 相關(guān)詳細(xì)信息 |
| xxxx系統(tǒng)賬號 | 賬號所有者:xxxxxx網(wǎng)站 系統(tǒng)登錄:xx密碼:xxxxxx ? |
3.時(shí)間
| 測試工作的時(shí)間段 | |||
| 起始時(shí)間 | 2019-xx-xx | 結(jié)束時(shí)間 | 2019-xx-xx |
本份測試報(bào)告分析的各種安全風(fēng)險(xiǎn),僅限定于在上述時(shí)間段內(nèi)測試反饋信息的整理,不包括非上述時(shí)間段內(nèi)的因系統(tǒng)調(diào)整、維護(hù)更新后出現(xiàn)的其他變化情況。
參與測試人員
| 參測人員名單 | |||
| 姓名 | xx | 所屬部門 | 軟件測試部 |
| 姓名 | xx | 所屬部門 | 軟件研發(fā)部 |
本次滲透測試過程中,南京貞觀互聯(lián)網(wǎng)科技有限公司測試小組使用過多個(gè)互聯(lián)網(wǎng)IP地址開展的分析工作,在此通知南京長江第三大橋網(wǎng)站相關(guān)人員在對受測試的目標(biāo)站點(diǎn)服務(wù)器、相應(yīng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行安全監(jiān)控和日志分析時(shí),排除以下IP地址產(chǎn)生的任何違規(guī)信息,以保證分析結(jié)果的準(zhǔn)確有效。
三、工具及相關(guān)資源
1.測試工具:NetCat
| 工具名稱 | NetCat |
| 工具用途 | 端口連接,數(shù)據(jù)提交 |
| 相關(guān)信息 | http://joncraton.org/files/nc111nt.zip |
2 測試工具:Nmap
| 工具名稱 | Nmap |
| 工具用途 | 端口掃描,服務(wù)識(shí)別,操作系統(tǒng)指紋識(shí)別 |
| 相關(guān)信息 | http://nmap.org/ |
3 測試工具:httprint
?
| 工具名稱 | Httprint |
| 工具用途 | 通過遠(yuǎn)程http指紋判斷http服務(wù)類型 |
| 相關(guān)信息 | http://www.net-square.com/httprint/ |
4 測試工具:Tamper IE
?
| 工具名稱 | Tamper IE |
| 工具用途 | HTTP數(shù)據(jù)包修改、轉(zhuǎn)發(fā)工具(Firefox插件) |
| 相關(guān)信息 | http://www.bayden.com/TamperIE/ |
5 測試工具:安全檢測工具集
?
| 工具名稱 | XX科技整理的安全檢測工具集 |
| 工具用途 | 跨站及SQL注入測試、遠(yuǎn)程溢出測試、暴力破解測試、嗅探分析 |
| 相關(guān)信息 | www.xxS.com |
?
在具體的分析過程中,xxxxxxxx公司測試小組在微軟的Windows平臺(tái)上(涵蓋2003/Vista),使用了IE(涵蓋6.0/7.0/8.0)和Firefox瀏覽器對指定的測試對象進(jìn)行的分析、校驗(yàn)、測試。因此,漏洞分析檢測到的部分安全問題可能與特定的操作系統(tǒng)、軟件版本有具體關(guān)系,提醒后期實(shí)施漏洞修復(fù)工作的人員特別注意其中的差異。
- 測試過程詳述
- 目標(biāo)信息探測
- 域名信息
滲透測試人員首先通過nslookup對主機(jī)的IP地址、NS記錄等信息的查詢,對站點(diǎn)進(jìn)行基本的信息探測:
| Default Server: ?xd-cache-1.net Address: ?211.149.xx.xx:xx ? >xx.com.cn ? //查詢ns記錄 > set type=ns >xx.com.cn Server: ?gjjline.bta.net.cn Address: ?211.149.xx.xx:xx ? Non-authoritative answer: xx.com ?????nameserver = xx.com > server hxns1.hua-xiabank.com Default Server: ?xx.com.cn Address: ?211.149.xx.xx:xx ? //測試區(qū)域傳輸 > set type=axfr > ls -d xx.com.cn ls: connect: No error *** Can't list domain xx.com.cn: Unspecified error The DNS server refused to transfer the zone xx.com to your computer.?If this is incorrect, check the zone transfer security settings for xx.com on the DNS server at IP address 211.149.xx.xx:xx ? //查詢站點(diǎn)mx記錄 > set type=mx > nj3q.com.cn Server: ?xx.com.cn Address: ?211.149.xx.xx:xx ? xx.com ?????MX preference = 5, mail exchanger = smtp.xx.com.cn xx.com ?????nameserver = xx.com.cn ? //檢查版本信息 > set type=txt > set class=chaos > version.bind Server: ?xx.com.cn Address: ?211.149.xx.xx:xx version.bind ???nameserver = version.bind ? |
?
對WWW目標(biāo)進(jìn)行Whois的查詢,下面是獲取到的Whois信息如下:
| xx.com.cn= [211.149.xx.xx:xx] |
搜索錯(cuò)誤的文件后綴
在此過程中,測試人員會(huì)對站點(diǎn)進(jìn)行如下內(nèi)容的搜索:
| 搜索內(nèi)容 | 說明 |
| site:xx.com.cn?inurl:jsp.bak site:xx.com.cn?inurl:jsp.bak | 搜索站點(diǎn)中是否存在后綴為jsp.bak的文件,即,某些jsp的備份文件。 |
| site:xx.com.cn?filetype:sql site:xx.com.cn?filetype:sql | 搜索站點(diǎn)中是否存在SQL腳本文件 |
| site: xx.com.cn?filetype:txt site: xx.com.cn?filetype:txt | 查找站點(diǎn)中是否有包含敏感信息的txt文件 |
| site: xx.com.cn?filetype:conf site: xx.com.cn?filetype:conf | 查找站點(diǎn)中是否有包含敏感信息的conf文件 |
?
通過上述方法測試,測試人沒有在Google和Baidu等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。
查找第三方組件或程序
在此過程中,測試人員會(huì)對站點(diǎn)進(jìn)行如下內(nèi)容的搜索:
| 搜索內(nèi)容 | 說明 |
| site:xx.com.cn??inurl:/fckeditor/ site:xx.com.cn??inurl:/fckeditor/ | 搜索站點(diǎn)是否使用了fckeditor |
| site:xx.com.cn?inurl:jsp?id inurl:ewebeditor site:xx.com.cn?inurl:jsp?id inurl:ewebeditor | 搜索站點(diǎn)是否使用了 eWebEditor |
?
通過上述方法測試,測試人沒有在Google和Baidu等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。
搜索錯(cuò)誤的配置
在此過程中,測試人員會(huì)對站點(diǎn)進(jìn)行如下內(nèi)容的搜索:
| 搜索內(nèi)容 | 說明 |
| site:xx.com.cn?intitle:”index of /” site:xx.com.cn?intitle:”index of /” | 搜索站點(diǎn)是否使用了列目錄功能 |
| site:xx.com.cn?intitle:"Apache Tomcat" intitle:"Error Report" | 搜索站點(diǎn)是否存在TOMCAT錯(cuò)誤信息,通過錯(cuò)誤信息可判斷TOMCAT版本 |
| site:xx.com.cn??inurl:"examples" site:xx.com.cn??inurl:"examples" | 搜索站點(diǎn)中是否存在測試代碼 |
?
通過上述方法測試,測試人沒有在Google和Baidu等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。
通過使用Nmap端口掃描工具對主機(jī)在Internet上的端口開放情況進(jìn)行檢查:
1Nmap掃描結(jié)果
通過Nmap掃描報(bào)告,確認(rèn)主機(jī)開放兩個(gè)端口:
通過使用nc(NetCat)對主機(jī)的TCP 21進(jìn)行端口連接性測試,發(fā)現(xiàn)在連接成功后較長時(shí)間內(nèi)端口無反應(yīng):
2使用nc連接TCP 21
再次通過使用ftp客戶端對目標(biāo)系統(tǒng)發(fā)起FTP連接請求,得到信息“Connection closed by remote host.”:
3 使用ftp客戶端對目標(biāo)主機(jī)進(jìn)行驗(yàn)證
由此可確認(rèn)TCP 21雖開放,但應(yīng)在網(wǎng)絡(luò)層有相關(guān)的ACL限制,因此無法從Internet對其FTP服務(wù)發(fā)起連接請求。
?
服務(wù)信息探測
通過端口掃描判斷,遠(yuǎn)程目標(biāo)主機(jī)僅有TCP 443端口(WEB應(yīng)用服務(wù))可用,因此,后繼的滲透測試工作主要針對WEB應(yīng)用本身及運(yùn)行于WEB應(yīng)用上的代碼展開。
首先使用httprint對遠(yuǎn)程主機(jī)的WEB應(yīng)用版本進(jìn)行判
1 httprint判斷遠(yuǎn)程WEB應(yīng)用版本
根據(jù)httprint輸出無法判斷遠(yuǎn)程主機(jī)的WEB應(yīng)用。
通過nc手工提交HTTP HEAD請求,依然無法獲取到目標(biāo)WEB應(yīng)用版本信息。
2 使用nc提交HTTP HEAD請求
通過nc手工提交HTTP OPTIONS請求,依然無法獲取到目標(biāo)WEB應(yīng)用版本信息。
3 使用nc提交HTTP OPTIONS請求
對應(yīng)用的測試
測試人員根據(jù)WASC威脅分類,對應(yīng)用程序的滲透測試從五個(gè)類型的安全方面進(jìn)行測試,這五個(gè)威脅類型包括:認(rèn)證和授權(quán)、命令執(zhí)行、邏輯攻擊、服務(wù)端攻擊、信息泄露。
?
| 認(rèn)證和授權(quán)類 | 命令執(zhí)行類 |
| 暴力攻擊 | LDAP注入 |
| 認(rèn)證不充分 | SSI注入 |
| 會(huì)話定置 | SQL注入 |
| 會(huì)話期限不充分 | Xpath注入 |
| 憑證/會(huì)話預(yù)測 | 操作系統(tǒng)命令 |
| 授權(quán)不充分 | 格式字符串攻擊 |
| 邏輯攻擊類 | 緩沖區(qū)溢出 |
| 功能濫用 | 信息泄漏類 |
| 拒絕服務(wù) | 可預(yù)測資源定位 |
| 客戶端攻擊類 | 路徑遍歷 |
| 跨站點(diǎn)腳本編制 | 目錄索引 |
| 內(nèi)容電子欺騙 | 信息泄露 |
1 WASC威脅分類
測試人員根據(jù)xxx系統(tǒng)的特點(diǎn),從實(shí)際出發(fā)采用手工測試的方法,對五大類威脅中的部分內(nèi)容進(jìn)行測試。
在命令執(zhí)行類的測試中,測試人員主要測試了SQL注入攻擊。為了避免使用模糊測試給賬戶及xxxx網(wǎng)站帶來不可預(yù)料的影響,測試人員采用手工測試的方法。
測試人員對xxxxx網(wǎng)站中的輸入?yún)?shù)進(jìn)行了部分測試,下面以測試登錄用戶名選項(xiàng)為例進(jìn)行說明。
測試人員發(fā)現(xiàn)當(dāng)前xxxx網(wǎng)站系統(tǒng)大部分輸入都只是網(wǎng)頁端驗(yàn)證而非網(wǎng)頁端服務(wù)端雙向驗(yàn)證。(威脅點(diǎn))
測試人員在對網(wǎng)站其他周邊信息進(jìn)行檢查時(shí)發(fā)現(xiàn),xx.com.cn存在明顯的web server默認(rèn)頁面,該處泄露了當(dāng)前服務(wù)器web信息。
?
發(fā)現(xiàn)問題與建議
1/其他建議
針對WEB平臺(tái)的滲透測試及定期的評估掃描等方式,均以暴露問題為目標(biāo),屬于被動(dòng)的安全手段,而這些方式也大大的增加開發(fā)和維護(hù)的成本,因此建議xxxx網(wǎng)站針對如WEB程序這類個(gè)性化產(chǎn)品開發(fā)前就應(yīng)做好安全的相關(guān)工作,建議xxxx網(wǎng)站對定制開發(fā)的產(chǎn)品從以下幾個(gè)方面進(jìn)行相關(guān)的考察和關(guān)注:
- 測試結(jié)論
經(jīng)過本次遠(yuǎn)程滲透測試,我們對此遠(yuǎn)程系統(tǒng)的安全評價(jià)是?遠(yuǎn)程不安全系統(tǒng)。
?
| 安全等級 | 資源內(nèi)容描述 |
| 遠(yuǎn)程不安全系統(tǒng) (符合任何一個(gè)條件) | 存在一個(gè)或一個(gè)以上嚴(yán)重的安全問題,可直接導(dǎo)致系統(tǒng)受到破壞; 與其他非安全系統(tǒng)連接,同時(shí)存在相互信任關(guān)系(或帳號互通)的主機(jī); 發(fā)現(xiàn)已經(jīng)被人入侵且留下遠(yuǎn)程后門的主機(jī); 存在3個(gè)以上中等安全問題的主機(jī); 與其他非安全系統(tǒng)在一個(gè)共享網(wǎng)絡(luò)中,同時(shí)遠(yuǎn)程維護(hù)明文傳輸口令; 完全不能抵抗小規(guī)模的拒絕服務(wù)攻擊 |
| 遠(yuǎn)程一般安全系統(tǒng) (符合任何一個(gè)條件) | 存在一個(gè)或一個(gè)以上中等安全問題的主機(jī); 開放過多服務(wù),同時(shí)可能被利用來進(jìn)行拒絕服務(wù)的主機(jī); 與其他非安全系統(tǒng)直接連接,但暫時(shí)不存在直接信任(或帳號互通)關(guān)系; 遠(yuǎn)程維護(hù)通過明文的方式傳遞信息; 存在三個(gè)以上輕度安全問題的主機(jī); 只能抵御最低級的拒絕服務(wù)攻擊; |
| 遠(yuǎn)程安全系統(tǒng) (符合全部條件) | 最多存在1-2個(gè)輕度安全問題; 遠(yuǎn)程維護(hù)方式安全; 與不安全或一般安全系統(tǒng)相對獨(dú)立; 能抵擋一定規(guī)模的拒絕服務(wù)攻擊。 |
六 安全等級評定
威脅程度的分級方式說明如下:
總結(jié)
以上是生活随笔為你收集整理的网站安全测试报告模板的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: sql之引擎介绍
- 下一篇: Arithmetic图像处理halcon