安全性測試與評估報(bào)告模版

安全性測試與評估報(bào)告客戶信息XX測試過程示意圖本測試主要包括主動(dòng)模式和被動(dòng)模式兩種。在被動(dòng)模式中，測試人員盡可能的了解應(yīng)用邏輯：比如用工具分析所有的HTTP請求及響應(yīng)，以便測試人員掌握應(yīng)用程序所有的接入點(diǎn)（包括HTTP頭，參數(shù)，cookies等）；在主動(dòng)模式中，測試人員試圖以黑客的身份來對應(yīng)用及其系統(tǒng)、后臺等進(jìn)行滲透測試，其可能造成的影響主要是數(shù)據(jù)破壞、拒絕服務(wù)等。一般測試人員需要先熟悉目標(biāo)系統(tǒng)，即被動(dòng)模式下的測試，然后再開展進(jìn)一步的分析，即主動(dòng)模式下的測試。主動(dòng)測試會與被測目標(biāo)進(jìn)行直接的數(shù)據(jù)交互，而被動(dòng)測試不需要。造成的影響造成的影響主動(dòng)模式被動(dòng)模式初始化完成Web結(jié)構(gòu)獲取權(quán)限測試歸檔測試參數(shù)分析異常處理注入測試命令執(zhí)行文件包含跨站腳本信息竊取備份文件后臺查找目錄列表會話管理信息泄漏數(shù)據(jù)破壞拒絕服務(wù)信息獲取熟悉業(yè)務(wù)邏輯GoogleHacking接口測試認(rèn)證測試暴力破解認(rèn)證繞過邏輯處理越權(quán)操作身份仿冒日志檢查拒絕服務(wù)上傳下載測試漏洞級別說明一個(gè)安全漏洞的風(fēng)險(xiǎn)程度受危害程度和概率的影響，我們定義了如下所示的關(guān)系：危害程度 發(fā)生概率高中低高高高中中高中低低中低低表1風(fēng)險(xiǎn)等級界定表測試周期本次安全測試，Sobug提供了核心白帽子XX名，測試周期X個(gè)月，對整個(gè)目標(biāo)業(yè)務(wù)系統(tǒng)進(jìn)行了詳細(xì)的滲透測試。測試后的詳細(xì)測試報(bào)告已經(jīng)交由客戶，并提供詳細(xì)的顧問咨詢服務(wù)，幫助客戶整改。測試報(bào)告匯總測試項(xiàng)實(shí)際測試人天測試結(jié)果端口掃描0.5OK自動(dòng)化Web漏洞掃描工具測試0.5OK文件、目錄測試0.5OKRobots方式的敏感接口查找1OK目錄列表測試1OK文件歸檔測試1OK認(rèn)證測試3OK會話管理測試5OK權(quán)限管理測試5OK文件上傳下載測試1OK信息泄漏測試5OK輸入數(shù)據(jù)測試2OK跨站腳本測試5OK關(guān)于SobugSobug白帽眾測是以眾多安全專家的測試結(jié)果為導(dǎo)向的技術(shù)眾包平臺，幫助廠商在產(chǎn)品上線前對安全問題進(jìn)行全面，有效的審計(jì)，同樣也適用于上線后對安全問題的周期性巡檢。Sobug安全測試優(yōu)勢：?安全的授權(quán)，平臺雙方均在授權(quán)下才能完成此測試過程，廠商需要簽訂合同，安全專家需要實(shí)名。?行為的審計(jì)，對于保密性要求較高的廠商，可由平臺提供堡壘機(jī)或廠商提供VPN，對測試行為進(jìn)行審計(jì)。?過程的競爭，對于同一個(gè)安全問題，平臺只獎(jiǎng)勵(lì)首個(gè)發(fā)現(xiàn)該問題的安全專家，充分挖掘潛在安全問題。?結(jié)果的保密，安全專家非經(jīng)廠商允許，不能對外透露測試過程和結(jié)果的任何細(xì)節(jié)。?風(fēng)險(xiǎn)的規(guī)避，平臺對雙方在測試過程中發(fā)生的糾紛提供強(qiáng)有力的法律援助，最大限度保障平臺雙方的權(quán)益不受損害?？偨Y(jié)鑒于互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的與日俱增，本次測試報(bào)告只代表當(dāng)前風(fēng)險(xiǎn)評估現(xiàn)狀，我們建議客戶根據(jù)測試的結(jié)果進(jìn)行安全整改，把安全風(fēng)險(xiǎn)降到最低，同時(shí)進(jìn)行周期性的安全測試，本公司與XX已經(jīng)建立長期的合作關(guān)系，作為安全顧問幫助客戶進(jìn)行安全體系的建設(shè)和安全能力水平的提升。Sobug眾測平臺的介紹：

Sobug眾測平臺是一個(gè)連接安全專家與廠商的網(wǎng)絡(luò)安全眾測平臺，安全專家在平臺上發(fā)現(xiàn)廠商的安全問題，廠商基于測試效果對安全專家進(jìn)行獎(jiǎng)勵(lì)。目前接受Sobug眾測平臺服務(wù)的廠商有騰訊、愛奇藝、支付寶、錘子科技、37wan、PPTV、樂視網(wǎng)、Okcoin比特幣、500彩票、臉萌、愛拍網(wǎng)、荔枝FM、賣座網(wǎng)等廠商。

Sobug眾測的模式：

廠商在平臺上發(fā)布需要測試的項(xiàng)目，比如*.（SoBug.Com為您的產(chǎn)品域名）眾多實(shí)名認(rèn)證的白帽子在平臺上查看項(xiàng)目并對其進(jìn)行測試，最終將漏洞詳情提交到Sobug眾測平臺。

漏洞處理的方式：測試結(jié)果提交到Sobug平臺，由平臺審核確認(rèn)后同步給您來處理，整個(gè)漏洞處理的閉環(huán)過程中不公開任何跟項(xiàng)目相關(guān)的內(nèi)容，平臺在未來也不會公開任何廠商的漏洞細(xì)節(jié)。

合作方式：Sobug眾測平臺有實(shí)體的公司和合同，總體金額會根據(jù)測試效果有一個(gè)大體的區(qū)間。一般對于初次眾測的廠商，我們設(shè)定的金額是3-5w預(yù)算，最后會根據(jù)實(shí)際的漏洞數(shù)量和危害做統(tǒng)計(jì)，無漏洞不收費(fèi)。

漏洞評級：

低危漏洞：信息泄漏，包括但不限于路徑泄漏、PHPINFO、SVN、URL跳轉(zhuǎn)等

中危漏洞：獲取用戶信息的漏洞，包括但不限于反射性XSS（含DOM-XSS）、普通業(yè)務(wù)的存儲型XSS、CSRF、輕微SQL注入和難以利用的SQL注入、普通越權(quán)操作以及設(shè)計(jì)缺陷等

高危漏洞：大范圍的用戶信息漏洞，包括但不限于容易利用的CSRF、存儲型XSS、高風(fēng)險(xiǎn)的信息泄漏、獲取一般數(shù)據(jù)的SQL注入、源代碼下載以及任意文件讀取和下載、越權(quán)訪問、繞過驗(yàn)證訪問后臺、后臺弱口令和其他服務(wù)的弱口令等

嚴(yán)重漏洞：嚴(yán)重的信息泄漏，包括獲取重要數(shù)據(jù)的SQL注入、源代碼泄漏、任意文件讀取和下載（包含重要服務(wù)弱口令）、嚴(yán)重的邏輯漏洞、遠(yuǎn)程獲取系統(tǒng)權(quán)限的漏洞和遠(yuǎn)程直接導(dǎo)致業(yè)務(wù)拒絕服務(wù)的漏洞

漏洞價(jià)格：

漏洞評級/企業(yè)類型標(biāo)準(zhǔn)企業(yè)電商企業(yè)金融企業(yè)高危漏洞3000元/個(gè)5000元/個(gè)10000元/個(gè)中危漏洞1500元/個(gè)2000元/個(gè)5000元/個(gè)低危漏洞100元/個(gè)200元/個(gè)200元/個(gè)單次預(yù)算建議3-5萬元/次5-10萬元/次10萬元/次年預(yù)算建議8萬元/年10萬元/年20萬元/年術(shù)語和定義術(shù)語解釋攻擊試圖繞過安全控制的破壞活動(dòng)。審計(jì)跟蹤系統(tǒng)活動(dòng)的流水記錄。該記錄按事件從始至終的途徑，順序重視、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)。信息安全為保證信息的完整性、可用性和保密性所需的全面管理、規(guī)程和控制?？诹钣脕碚J(rèn)證實(shí)體身份的受保護(hù)或秘密的字符串。風(fēng)險(xiǎn)分析確定安全風(fēng)險(xiǎn)，決定風(fēng)險(xiǎn)等級，確立防護(hù)范圍的過程。風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)管理的一部分。安全測試為評定在系統(tǒng)內(nèi)安全處理敏感信息的可信度而做的測試。終端標(biāo)識信息系統(tǒng)為終端建立唯一標(biāo)識的手段。脆弱性導(dǎo)致破壞系統(tǒng)安全策略的系統(tǒng)安全規(guī)程、系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)、內(nèi)部控制等方面的弱點(diǎn)。授權(quán)授與用戶、程序或進(jìn)程的訪問權(quán)。數(shù)據(jù)安全保護(hù)數(shù)據(jù)免受偶然的或惡意的修改、破壞或暴露。密鑰在密碼術(shù)中，一系列控制加密、解密操作的符號。密鑰管理涉及密鑰和有關(guān)信息(如初始化矢量)的生成、分配、存儲和銷毀的規(guī)程。漏洞由軟硬件的開發(fā)設(shè)計(jì)疏忽或漏洞導(dǎo)致的能避過系統(tǒng)的安全措施的一種錯(cuò)誤。滲透成功繞過系統(tǒng)安全機(jī)構(gòu)的活動(dòng)。明文具有含義且不用解密便能閱讀或執(zhí)行的可理解的文本或信號。敏感信息