2024Web網(wǎng)站滲透測(cè)試報(bào)告模板

DOCPROPERTYTitle頁(yè)目錄xxx門戶網(wǎng)站 1滲透測(cè)試報(bào)告 1一.摘要 11.1基本信息 11.2測(cè)試方法 11.3漏洞概要 11.3.1系統(tǒng)層安全測(cè)試漏洞概要 11.3.2應(yīng)用層安全測(cè)試漏洞概要 21.4系統(tǒng)當(dāng)前安全狀況 3二.滲透測(cè)試概述 32.1概述 32.2風(fēng)險(xiǎn)管理 42.3收益 5三.系統(tǒng)層安全測(cè)試 63.1操作系統(tǒng)漏洞掃描 63.2系統(tǒng)結(jié)構(gòu)分析及測(cè)試信息收集 63.2.1端口收集 63.2.2域名信息 63.3遠(yuǎn)程溢出 73.4未授權(quán)訪問(wèn) 73.5口令猜測(cè) 73.6跳板攻擊 7四.應(yīng)用層安全測(cè)試 84.1配置管理測(cè)試（含中風(fēng)險(xiǎn)） 84.1.1基礎(chǔ)配置管理測(cè)試 84.1.2應(yīng)用管理界面測(cè)試 84.1.3HTTP方法測(cè)試 84.1.4SSL/TLS測(cè)試（低風(fēng)險(xiǎn)） 84.1.5應(yīng)用配置管理測(cè)試(中風(fēng)險(xiǎn)) 84.1.6過(guò)期、備份頁(yè)面測(cè)試 94.2數(shù)據(jù)驗(yàn)證測(cè)試（含中風(fēng)險(xiǎn)） 94.2.1跨站腳本測(cè)試 94.2.2HTTPSPLITTING測(cè)試 94.2.3SQL注入測(cè)試 94.2.4命令執(zhí)行測(cè)試 104.2.5代碼注入測(cè)試 104.2.6XML注入測(cè)試 104.2.7XPATH注入測(cè)試 104.2.8URL跳轉(zhuǎn)測(cè)試 104.2.9文件上傳測(cè)試（中風(fēng)險(xiǎn)） 104.2.10程序報(bào)錯(cuò)測(cè)試 114.2.11金額篡改測(cè)試 114.3認(rèn)證測(cè)試（含中風(fēng)險(xiǎn)） 124.3.1認(rèn)證模式繞過(guò)測(cè)試 124.3.2用戶枚舉測(cè)試（中風(fēng)險(xiǎn)） 124.3.3暴力破解測(cè)試（中風(fēng)險(xiǎn)） 134.3.4競(jìng)爭(zhēng)條件測(cè)試 144.3.5圖形驗(yàn)證碼測(cè)試 144.3.6密碼修改點(diǎn)測(cè)試 144.3.7密碼重置點(diǎn)測(cè)試 144.3.8注銷登錄測(cè)試 154.4業(yè)務(wù)邏輯測(cè)試（含高風(fēng)險(xiǎn)） 154.4.1遍歷用戶信息（高風(fēng)險(xiǎn)） 154.5會(huì)話管理測(cè)試（含中風(fēng)險(xiǎn)） 164.5.1會(huì)話管理模式測(cè)試（中風(fēng)險(xiǎn)） 164.5.2會(huì)話固定測(cè)試 174.5.3會(huì)話變量泄露測(cè)試 174.5.4CSRF測(cè)試 174.6敏感信息保護(hù)測(cè)試（含中風(fēng)險(xiǎn)） 174.6.1用戶敏感信息保護(hù)（中風(fēng)險(xiǎn)） 174.6.2業(yè)務(wù)敏感信息保護(hù) 184.7第三方插件測(cè)試 184.7.1Struts2遠(yuǎn)程代碼執(zhí)行漏洞測(cè)試 184.8后門與暗鏈檢查測(cè)試 184.8.1后門檢查 184.8.2暗鏈檢查 18五.參考與建議 185.1安全等級(jí)評(píng)定參考 185.1.1漏洞風(fēng)險(xiǎn)等級(jí)評(píng)定參考 185.1.2應(yīng)用安全等級(jí)評(píng)定參考 205.2安全意見(jiàn) 215.2.1傳輸安全 215.2.2Web安全編程 215.2.3安全復(fù)檢 215.2.4定期進(jìn)行安全審計(jì) 21摘要基本信息經(jīng)xx市xxx單位的授權(quán)，xxx滲透測(cè)試小組對(duì)xx市單位的官方網(wǎng)站（）進(jìn)行了滲透測(cè)試。評(píng)測(cè)時(shí)間20xx年xx月xx日-20xx年xx月xx日對(duì)象xxxxx市單位官方網(wǎng)站（）(IP:xx.10.xx.95)說(shuō)明無(wú)測(cè)試方法在不知道目標(biāo)網(wǎng)絡(luò)環(huán)境的情況下，模擬黑客攻擊，使用各種主流測(cè)評(píng)工具及自主開發(fā)的內(nèi)部測(cè)試工具，參照相應(yīng)安全性能指標(biāo)標(biāo)準(zhǔn)進(jìn)行安全檢查。漏洞概要系統(tǒng)層安全測(cè)試漏洞概要檢查項(xiàng)漏洞數(shù)章節(jié)備注高風(fēng)險(xiǎn)中風(fēng)險(xiǎn)服務(wù)器系統(tǒng)漏洞掃描003.1高危端口023.2.1對(duì)外開放了危險(xiǎn)端口，可導(dǎo)致被攻擊者暴力猜測(cè)出相關(guān)應(yīng)用的賬號(hào)與密碼問(wèn)題列表應(yīng)用層安全測(cè)試漏洞概要檢查項(xiàng)存在漏洞的檢查項(xiàng)威脅等級(jí)漏洞數(shù)章節(jié)備注配置管理測(cè)試SSL/TLS測(cè)試低14.1.4應(yīng)用配置管理測(cè)試中14.1.5數(shù)據(jù)驗(yàn)證測(cè)試文件上傳測(cè)試中24.2.9認(rèn)證測(cè)試用戶枚舉測(cè)試中14.3.2暴力破解測(cè)試中14.3.3業(yè)務(wù)邏輯測(cè)試遍歷用戶信息高14.4.1可獲得網(wǎng)站上所有用戶的個(gè)人信息，包括部門職位、手機(jī)號(hào)碼、傳真等信息會(huì)話管理測(cè)試會(huì)話管理模式測(cè)試中14.5.1敏感信息保護(hù)測(cè)試用戶敏感信息保護(hù)-中14.6.2第三方插件測(cè)試--0-后門與暗鏈檢查測(cè)試--0-問(wèn)題列表漏洞數(shù)量：高危問(wèn)題：1個(gè)中危問(wèn)題：9個(gè)低危問(wèn)題：1個(gè)安全風(fēng)險(xiǎn)分布圖系統(tǒng)當(dāng)前安全狀況經(jīng)xxx安全評(píng)估小組進(jìn)行全面安全評(píng)估后，xxx安全評(píng)估小組認(rèn)為當(dāng)前系統(tǒng)安全狀況如下圖。級(jí)別為：遠(yuǎn)程高風(fēng)險(xiǎn)系統(tǒng)遠(yuǎn)程高風(fēng)險(xiǎn)系統(tǒng)滲透測(cè)試概述概述對(duì)于已經(jīng)部署了安全防護(hù)措施（安全產(chǎn)品、安全服務(wù)）或者即將部署安全防護(hù)措施的用戶而言，明確網(wǎng)絡(luò)當(dāng)前的安全現(xiàn)狀對(duì)下一步的安全建設(shè)有重大的指導(dǎo)意義。滲透測(cè)試服務(wù)用于驗(yàn)證在當(dāng)前的安全防護(hù)措施下網(wǎng)絡(luò)、系統(tǒng)抵抗黑客攻擊的能力。透測(cè)試小組利用各種主流的攻擊技術(shù)對(duì)網(wǎng)絡(luò)、系統(tǒng)做模擬攻擊測(cè)試，以發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)中存在的安全漏洞和風(fēng)險(xiǎn)點(diǎn)。企業(yè)、組織根據(jù)測(cè)試的結(jié)果遵循安全策略制定適合的、不同優(yōu)先級(jí)別的安全防護(hù)措施、流程。滲透測(cè)試流程定義為如下階段：信息收集此階段中，滲透測(cè)試小組進(jìn)行必要的信息收集，如操作系統(tǒng)類型、開放的端口和服務(wù)、web服務(wù)應(yīng)用系統(tǒng)版本、后臺(tái)數(shù)據(jù)庫(kù)類型、web開發(fā)語(yǔ)言等。滲透測(cè)試此階段中，滲透測(cè)試小組根據(jù)第一階段獲得的信息對(duì)網(wǎng)絡(luò)、系統(tǒng)進(jìn)行滲透測(cè)試。此階段如果成功的話，可能獲得普通權(quán)限或系統(tǒng)權(quán)限。本地信息收集此階段中，滲透測(cè)試小組進(jìn)行本地信息收集，用于下一階段的權(quán)限提升。權(quán)限提升此階段中，滲透測(cè)試小組嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對(duì)系統(tǒng)的完全控制權(quán)。在時(shí)間許可的情況下，必要時(shí)從第一階段重新進(jìn)行。清除此階段中，滲透測(cè)試小組清除日志記錄等數(shù)據(jù)。輸出報(bào)告此階段中，滲透測(cè)試小組根據(jù)測(cè)試的結(jié)果編寫直觀的滲透測(cè)試服務(wù)報(bào)告。風(fēng)險(xiǎn)管理相對(duì)其他服務(wù)而言，滲透測(cè)試是一種需要相當(dāng)技術(shù)深度的高端服務(wù)，要求滲透測(cè)試人員有豐富的經(jīng)驗(yàn)及新穎的思路。在滲透測(cè)試過(guò)程中，雖然我們盡量避免影響正常業(yè)務(wù)的運(yùn)行，也會(huì)采取適當(dāng)?shù)娘L(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)降低的方法，但是由于測(cè)試的不確定性，滲透測(cè)試服務(wù)仍然有可能對(duì)網(wǎng)絡(luò)、系統(tǒng)運(yùn)行造成一定不同程度的影響，可能造成服務(wù)停止，甚至是宕機(jī)。另外，對(duì)于安全防護(hù)措施嚴(yán)密的網(wǎng)絡(luò)、系統(tǒng)，在有限的時(shí)間內(nèi)進(jìn)行滲透測(cè)試可能不會(huì)獲得成功結(jié)果。這在一定程度也證明了網(wǎng)絡(luò)、系統(tǒng)能夠在一定程度上抵抗黑客的攻擊。收益從攻擊者的角度進(jìn)行測(cè)試將有助于發(fā)現(xiàn)并識(shí)別出一些隱性存在的安全漏洞和風(fēng)險(xiǎn)點(diǎn)。從客戶收益的角度來(lái)說(shuō)，特別是在進(jìn)行安全項(xiàng)目之前進(jìn)行滲透測(cè)試，可以對(duì)信息系統(tǒng)的安全性得到較深的感性認(rèn)知，有助于后續(xù)的安全建設(shè)。在進(jìn)行了安全項(xiàng)目之后進(jìn)行滲透測(cè)試，則可以用于驗(yàn)證經(jīng)過(guò)安全保護(hù)后的網(wǎng)絡(luò)是否真實(shí)的達(dá)到了預(yù)定安全目標(biāo)、遵循了安全策略。

系統(tǒng)層安全測(cè)試操作系統(tǒng)漏洞掃描通過(guò)漏洞掃描發(fā)現(xiàn)服務(wù)器操作系統(tǒng)信息和操作系統(tǒng)的安全漏洞，同時(shí)檢驗(yàn)防火墻和DDoS防護(hù)等安全設(shè)施的抗攻擊能力。測(cè)試過(guò)程：經(jīng)系統(tǒng)漏洞掃描器掃描，發(fā)現(xiàn)服務(wù)器補(bǔ)丁更新及時(shí)，暫未發(fā)現(xiàn)安全風(fēng)險(xiǎn)。系統(tǒng)結(jié)構(gòu)分析及測(cè)試信息收集信息收集工作包括WEB服務(wù)器和應(yīng)用程序指紋探測(cè)、后臺(tái)應(yīng)用程序發(fā)掘、爬網(wǎng)和Googling、錯(cuò)誤代碼挖掘、應(yīng)用程序配置管理測(cè)試等。端口收集端口/協(xié)議服務(wù)21/tcpftp23/tcptelnet經(jīng)過(guò)端口探測(cè)掃描發(fā)現(xiàn)，系統(tǒng)對(duì)外只開放了多個(gè)端口，其中存在21，23等高危端口，建議將這些不必要提供的端口關(guān)閉。域名信息域名：域名狀態(tài)：client注冊(cè)人：xxxx市管理員郵件：xxxxx@注冊(cè)商：有限公司DNS服務(wù)器：DNS服務(wù)器：n注冊(cè)時(shí)間：2009-12-1915:30:06過(guò)期時(shí)間：2019-12-1915:30:06遠(yuǎn)程溢出遠(yuǎn)程溢出測(cè)試基于漏洞掃描的結(jié)果，掃描發(fā)現(xiàn)的系統(tǒng)漏洞可能是誤報(bào)，不過(guò)一旦遠(yuǎn)程溢出被利用，攻擊者很有可能就會(huì)獲得系統(tǒng)的最高權(quán)限。測(cè)試結(jié)論：經(jīng)系統(tǒng)漏洞掃描，發(fā)現(xiàn)服務(wù)器補(bǔ)丁更新及時(shí)，暫未發(fā)現(xiàn)可利用的遠(yuǎn)程溢出漏洞，暫未發(fā)現(xiàn)安全風(fēng)險(xiǎn)。未授權(quán)訪問(wèn)服務(wù)器第三方軟件默認(rèn)配置會(huì)有匿名訪問(wèn)或者空密碼訪問(wèn)的權(quán)限，攻擊者利用該漏洞可直接入侵服務(wù)器。測(cè)試結(jié)論：服務(wù)器安全配置良好，暫未發(fā)現(xiàn)安全風(fēng)險(xiǎn)。口令猜測(cè)使用常見(jiàn)的密碼對(duì)服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程密碼猜解。包括系統(tǒng)密碼，WEB等系統(tǒng)應(yīng)用。測(cè)試結(jié)論：服務(wù)器安全配置良好，無(wú)弱口令，暫未發(fā)現(xiàn)安全風(fēng)險(xiǎn)。跳板攻擊攻擊者控制同網(wǎng)段的一臺(tái)主機(jī)后向目標(biāo)主機(jī)進(jìn)行入侵。測(cè)試結(jié)論：C段服務(wù)器未發(fā)現(xiàn)可入侵的主機(jī)，暫未發(fā)現(xiàn)安全風(fēng)險(xiǎn)。應(yīng)用層安全測(cè)試配置管理測(cè)試（含中風(fēng)險(xiǎn)）基礎(chǔ)配置管理測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。應(yīng)用管理界面測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。后臺(tái)管理登錄口、cms管理口、HTTP方法測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。OPTIONDELETEPUTTRACESSL/TLS測(cè)試（低風(fēng)險(xiǎn)）未使用SSL/TLS對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)。應(yīng)用配置管理測(cè)試(中風(fēng)險(xiǎn))Robot.txt web-inf【問(wèn)題鏈接】【危險(xiǎn)等級(jí)】中【問(wèn)題說(shuō)明】從robots文件里可以獲取到網(wǎng)站一些目錄信息并且可獲知網(wǎng)站采用DESTOONB2B網(wǎng)站管理系統(tǒng)進(jìn)行二次開發(fā)，攻擊者可能會(huì)采用該管理系統(tǒng)通用漏洞對(duì)網(wǎng)站發(fā)起攻擊?！拘迯?fù)建議】刪除robots.txt文件。過(guò)期、備份頁(yè)面測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。數(shù)據(jù)驗(yàn)證測(cè)試（含中風(fēng)險(xiǎn)）跨站腳本測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。HTTPSPLITTING測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。頭拆分SQL注入測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。命令執(zhí)行測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。具有命令執(zhí)行的功能的ImagemagickStruts2Java反序列化漏洞代碼注入測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。XML注入測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。XXEXMLexternalentity外部實(shí)體使用XPATH注入測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。URL跳轉(zhuǎn)測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。文件上傳測(cè)試（中風(fēng)險(xiǎn)）【問(wèn)題鏈接】【危險(xiǎn)等級(jí)】中【問(wèn)題說(shuō)明】網(wǎng)站存在上傳測(cè)試頁(yè)面暴露，可能存在上傳非法腳本到服務(wù)端獲取webshell的風(fēng)險(xiǎn)?！拘迯?fù)建議】刪除上傳測(cè)試頁(yè)面。程序報(bào)錯(cuò)測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。金額篡改測(cè)試經(jīng)過(guò)測(cè)試，此項(xiàng)未發(fā)現(xiàn)問(wèn)題。認(rèn)證測(cè)試（含中風(fēng)險(xiǎn)）認(rèn)證模式繞過(guò)