系統(tǒng)安全測(cè)試報(bào)告模版V1.0

4/10國(guó)信嘉寧數(shù)據(jù)技術(shù)有限公司XXX系統(tǒng)安全測(cè)試報(bào)告 創(chuàng)建人：xxx 創(chuàng)建時(shí)間：xxxx年xx月xx日 確認(rèn)時(shí)間： 當(dāng)前版本：V1.0文檔變更記錄文件狀態(tài)：[√]草稿[]正式發(fā)布[]廢止文檔編號(hào)：P01當(dāng)前版本：V1.0編制：xxx審核人：發(fā)布日期：版本編號(hào)修訂類(lèi)型修訂章節(jié)修訂內(nèi)容編制人/日期審核人/日期V1.0A全文初稿xxx/160808*修訂類(lèi)型分為：A－ADDED，M－MODIFIED，D－DELETED。測(cè)試概要測(cè)試的概要介紹，包括測(cè)試范圍、測(cè)試方法、測(cè)試工具、測(cè)試環(huán)境等，主要是測(cè)試情況簡(jiǎn)介。測(cè)試范圍請(qǐng)?jiān)诖颂幷f(shuō)明此次測(cè)試的測(cè)試范圍，可以參考安全測(cè)試方案中描述的測(cè)試范圍。測(cè)試方法和測(cè)試工具簡(jiǎn)要介紹測(cè)試中采用的方法和工具示例：Xxx系統(tǒng)主要使用了輸入安全、訪(fǎng)問(wèn)控制安全、認(rèn)證與會(huì)話(huà)管理、緩沖區(qū)溢出、拒絕服務(wù)、不安全的配置管理、注入式漏洞等安全測(cè)試方案。針對(duì)以上提供的測(cè)試方案進(jìn)行對(duì)應(yīng)的測(cè)試用例和測(cè)試腳本編寫(xiě)，并使用Websecurify作為測(cè)試工具。2.2.1．驗(yàn)證輸入安全Xxx系統(tǒng)主要對(duì)沒(méi)有被驗(yàn)證的輸入進(jìn)行如下測(cè)試數(shù)據(jù)類(lèi)型（字符串，整型，實(shí)數(shù)，等）、允許的字符集、最小和最大的長(zhǎng)度、是否允許空輸入、參數(shù)是否是必須的、重復(fù)是否允許、數(shù)值范圍、特定的值（枚舉型）、特定的模式（正則表達(dá)式）2.2.2.訪(fǎng)問(wèn)控制安全需要驗(yàn)證用戶(hù)身份以及權(quán)限的頁(yè)面，復(fù)制該頁(yè)面的url地址，關(guān)閉該頁(yè)面以后，查看是否可以直接進(jìn)入該復(fù)制好的地址例：從一個(gè)頁(yè)面鏈到另一個(gè)頁(yè)面的間隙可以看到URL地址直接輸入該地址，可以看到自己沒(méi)有權(quán)限的頁(yè)面信息2.2.3.認(rèn)證與會(huì)話(huà)管理例：對(duì)Grid、Label、Treeview類(lèi)的輸入框未做驗(yàn)證，輸入的內(nèi)容會(huì)按照html語(yǔ)法解析出來(lái)2.2.4.緩沖區(qū)溢出沒(méi)有加密關(guān)鍵數(shù)據(jù)例：view－source：http地址可以查看源代碼在頁(yè)面輸入密碼，頁(yè)面顯示的是*****,右鍵，查看源文件就可以看見(jiàn)剛才輸入的密碼。2.2.5.拒絕服務(wù)分析：攻擊者可以從一個(gè)主機(jī)產(chǎn)生足夠多的流量來(lái)耗盡狠多應(yīng)用程序，最終使程序陷入癱瘓。需要做負(fù)載均衡來(lái)對(duì)付。2.2.6.不安全的配置管理分析：Config中的鏈接字符串以及用戶(hù)信息，郵件，數(shù)據(jù)存儲(chǔ)信息都需要加以保護(hù)程序員應(yīng)該作的：配置所有的安全機(jī)制，關(guān)掉所有不使用的服務(wù)，設(shè)置角色權(quán)限帳號(hào)，使用日志和警報(bào)。分析：用戶(hù)使用緩沖區(qū)溢出來(lái)破壞web應(yīng)用程序的棧，通過(guò)發(fā)送特別編寫(xiě)的代碼到web程序中，攻擊者可以讓web應(yīng)用程序來(lái)執(zhí)行任意代碼。2.2.7.注入式漏洞例：一個(gè)驗(yàn)證用戶(hù)登陸的頁(yè)面，如果使用的sql語(yǔ)句為：Select*fromtableAwhereusername＝’’+username+’’andpassword…..Sql輸入‘or1＝1――就可以不輸入任何password進(jìn)行攻擊或者是半角狀態(tài)下的用戶(hù)名與密碼均為：‘or’‘=’。2.2.8.不恰當(dāng)?shù)漠惓Ｌ幚矸治觯撼绦蛟趻伋霎惓５臅r(shí)候給出了比較詳細(xì)的內(nèi)部錯(cuò)誤信息，暴露了不應(yīng)該顯示的執(zhí)行細(xì)節(jié)，網(wǎng)站存在潛在漏洞。2.2.9.不安全的存儲(chǔ)分析：帳號(hào)列表：系統(tǒng)不應(yīng)該允許用戶(hù)瀏覽到網(wǎng)站所有的帳號(hào)，如果必須要一個(gè)用戶(hù)列表，推薦使用某種形式的假名（屏幕名）來(lái)指向?qū)嶋H的帳號(hào)。瀏覽器緩存：認(rèn)證和會(huì)話(huà)數(shù)據(jù)不應(yīng)該作為GET的一部分來(lái)發(fā)送，應(yīng)該使用POST。2.2.10.跨站腳本（XSS）分析：攻擊者使用跨站腳本來(lái)發(fā)送惡意代碼給沒(méi)有發(fā)覺(jué)的用戶(hù)，竊取他機(jī)器上的任意資料測(cè)試方法：●HTML標(biāo)簽：<…>…</…>●轉(zhuǎn)義字符：&(&)；<(<)；>(>)；(空格)；●腳本語(yǔ)言：<script.language=‘javascript’>…Alert(‘’)</script>●特殊字符：‘’<>/●最小和最大的長(zhǎng)度●是否允許空輸入2.2.11.測(cè)試工具介紹：工具名稱(chēng)用途生產(chǎn)廠(chǎng)商版本以上為示例內(nèi)容測(cè)試環(huán)境與配置在此次項(xiàng)目的測(cè)試中，所使用到的環(huán)境和配置見(jiàn)下表：硬件環(huán)境序號(hào)服務(wù)器廠(chǎng)商/型號(hào)配置/數(shù)量IP操作系統(tǒng)軟件環(huán)境序號(hào)系統(tǒng)軟件廠(chǎng)商版本備注測(cè)試組織測(cè)試人員序號(hào)姓名角色職責(zé)測(cè)試時(shí)間細(xì)分及投入人力以下為測(cè)試過(guò)程中多個(gè)測(cè)試輪次的時(shí)間和人員安排以及工作內(nèi)容的簡(jiǎn)單描述：測(cè)試輪次子系統(tǒng)/子模塊起止日期總天數(shù)測(cè)試人員測(cè)試結(jié)果及缺陷分析測(cè)試執(zhí)行情況統(tǒng)計(jì)分析子系統(tǒng)/子模塊測(cè)試案例數(shù)發(fā)現(xiàn)缺陷數(shù)遺留缺陷列表測(cè)試過(guò)程共發(fā)現(xiàn)問(wèn)題：xx個(gè)。共解決問(wèn)題：xx個(gè)。未解決問(wèn)題：xx個(gè)。所測(cè)試項(xiàng)目中所遺留的缺陷詳見(jiàn)下表：缺陷ID缺陷概要遺留原因分析預(yù)防與改進(jìn)措施測(cè)試結(jié)論示例：1、本次測(cè)試覆蓋全面，測(cè)試數(shù)據(jù)基礎(chǔ)合理，測(cè)試有效。2、SQL注入測(cè)試，已執(zhí)行測(cè)試用例，問(wèn)題回歸后測(cè)試通過(guò)

3、跨站腳本測(cè)試，測(cè)試發(fā)現(xiàn)文本框?qū)饫ㄌ?hào)、百分號(hào)、單引號(hào)、圓括號(hào)、雙引號(hào)進(jìn)行了轉(zhuǎn)義，測(cè)試通過(guò)。

4、跨目錄測(cè)試，已執(zhí)行測(cè)試用例，路徑已加密，無(wú)漏洞，測(cè)試通過(guò)5、用戶(hù)權(quán)限控制和權(quán)限數(shù)據(jù)控制安全測(cè)