政府XXX滲透測試報告

PAGE8-北京市政務(wù)xxxx滲透測試報告目錄一.摘要 -3-二.服務(wù)概述 -4-2.1測試流程 -4-2.2風(fēng)險管理及規(guī)避 -4-2.3測試收益 -5-三.測試目標(biāo)說明 -6-3.1測試對象 -6-3.2測試內(nèi)容 -6-四.發(fā)現(xiàn)問題與建議 -8-4.1安全隱患：登錄處驗證碼缺失（中危） -8-4.1.1漏洞位置 -8-4.1.2漏洞分析 -8-4.1.3漏洞影響 -8-4.1.4漏洞加固 -8-摘要經(jīng)用戶的授權(quán)，我單位滲透測試小組對xxxx進行了滲透測試。測試結(jié)果如下：高危漏洞：0個中危漏洞：1個低危漏洞：0個圖1.1安全風(fēng)險風(fēng)布圖詳細內(nèi)容如下表：表1-1發(fā)現(xiàn)問題詳細內(nèi)容問題等級種類數(shù)量名稱高危漏洞0種0個/中危漏洞1種1個登錄處驗證碼缺失低危漏洞0種0個/服務(wù)概述本次滲透測試工作是由安全服務(wù)滲透測試小組獨立完成的。滲透測試小組在20xx年7月28日至20xx年8月1日對xxx的網(wǎng)站系統(tǒng)進行了遠程、現(xiàn)場滲透測試工作。在此期間，滲透測試小組利用部分前沿的攻擊技術(shù)；使用成熟的黑客攻擊手段；集合軟件測試技術(shù)（標(biāo)準(zhǔn)）對指定網(wǎng)絡(luò)、系統(tǒng)做入侵攻擊測試，希望由此發(fā)現(xiàn)網(wǎng)站、應(yīng)用系統(tǒng)中存在的安全漏洞和風(fēng)險點。測試流程滲透測試服務(wù)流程定義為如下階段：信息收集：此階段中，測試人員進行必要的信息收集，如IP地址、DNS記錄、軟件版本信息、IP段、Google中的公開信息等。滲透測試：此階段中，測試人員根據(jù)第一階段獲得的信息對網(wǎng)絡(luò)、系統(tǒng)進行滲透測試。此階段如果成功的話，可能獲得普通權(quán)限。缺陷利用：此階段中，測試人員嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對系統(tǒng)的完全控制權(quán)。在時間許可的情況下，必要時從第一階段重新進行。成果收集：此階段中，測試人員對前期收集的各類弱點、漏洞等問題進行分類整理，集中展示。威脅分析：此階段中，測試人員對發(fā)現(xiàn)的上述問題進行威脅分類和分析其影響。輸出報告：此階段中，測試人員根據(jù)測試和分析的結(jié)果編寫直觀的滲透測試服務(wù)報告。風(fēng)險管理及規(guī)避為保障客戶系統(tǒng)在滲透測試過程中穩(wěn)定、安全的運轉(zhuǎn)，我們將提供以下多種方式來進行風(fēng)險規(guī)避。對象的選擇為更大程度的避免風(fēng)險的產(chǎn)生，滲透測試還可選擇對備份系統(tǒng)進行測試。因為備份系統(tǒng)與在線系統(tǒng)所安裝的應(yīng)用和承載的數(shù)據(jù)差異較小，而其穩(wěn)定性要求又比在線系統(tǒng)低，因此，選擇對備份系統(tǒng)進行測試也是規(guī)避風(fēng)險的一種常見方式。時間的控制從時間安排上，測試人員將將盡量避免在數(shù)據(jù)高峰時進行測試，以此來減小測試工作對被測試系統(tǒng)帶來的壓力。另外，測試人員在每次測試前也將通過電話、郵件等方式告知相關(guān)人員，以防止測試過程中出現(xiàn)意外情況。技術(shù)手段滲透測試人員都具有豐富的經(jīng)驗和技能，在每一步測試前都會預(yù)估可能帶來的后果，對于可能產(chǎn)生影響的測試（如：溢出攻擊）將被記錄并跳過，并在隨后與客戶協(xié)商決定是否進行測試及測試方法。監(jiān)控措施針對每一系統(tǒng)進行測試前，測試人員都會告知被測試系統(tǒng)管理員，并且在測試過程中會隨時關(guān)注目標(biāo)系統(tǒng)的負荷等信息，一旦出現(xiàn)任何異常，將會停止測試。工具的使用在使用工具測試的過程中，測試人員會通過設(shè)置線程、插件數(shù)量等參數(shù)來減少其對系統(tǒng)的壓力，同時還會去除任何可能對目標(biāo)系統(tǒng)帶來危害的插件，如：遠程溢出攻擊類插件、拒絕服務(wù)攻擊類插件等等。測試收益通過實施滲透測試服務(wù)，可對貴方的信息化系統(tǒng)起到如下推進作用：明確安全隱患點滲透測試是一個從空間到面再到點的過程，測試人員模擬黑客的入侵，從外部整體切入最終落至某個威脅點并加以利用，最終對整個網(wǎng)絡(luò)產(chǎn)生威脅，以此明確整體系統(tǒng)中的安全隱患點。提高安全意識如上所述，任何的隱患在滲透測試服務(wù)中都可能造成“千里之堤潰于蟻穴”的效果，因此滲透測試服務(wù)可有效督促管理人員杜絕任何一處小的缺陷，從而降低整體風(fēng)險。提高安全技能在測試人員與用戶的交互過程中，可提升用戶的技能。另外，通過專業(yè)的滲透測試報告，也能為用戶提供當(dāng)前流行安全問題的參考。測試目標(biāo)說明測試對象測試對象名稱相關(guān)域名、對應(yīng)的URL網(wǎng)站系統(tǒng)域名：/v1IP地址：測試內(nèi)容序號測試點1報錯信息測試2物理路徑泄漏測試3敏感文件測試（robots、phpinfo、.svn等）4敏感信息明文傳輸5系統(tǒng)管理后臺測試6中間件管理控制臺測試7目錄瀏覽測試8跨站腳本測試（XSS）9HTML5CORS跨域資源共享權(quán)限設(shè)置不嚴格10點擊劫持11弱口令檢查12賬戶枚舉測試13暴力破解測試14認證繞過測試15密碼修改/重置流程跨越16任意用戶密碼修改/重置測試17Cookie屬性測試18http-only屬性19會話重用測試20會話失效時間測試21未授權(quán)訪問測試22越權(quán)訪問測試23URL跳轉(zhuǎn)測試24短信驗證碼繞過測試25短信驗證碼暴力破解測試26短信轟炸測試27無圖形驗證碼檢測28圖形驗證碼繞過測試29文件上傳30文件下載31文件包含32SQL注入33XML注入34LDAP注入35TLS1/SSLv3重協(xié)商漏洞36命令注入37反序列化測試38第三方框架漏洞39Weblogic反序列化測試40ApacheShiro反序列化測試41jboss反序列化測試42FastJson反序列化遠程命令執(zhí)行漏洞43Jenkins反序列命令執(zhí)行44編輯器漏洞45Flash跨域訪問46Struts2代碼執(zhí)行漏洞47HTTP.sys遠程代碼執(zhí)行48E