系統(tǒng)滲透測(cè)試報(bào)告（個(gè)人學(xué)習(xí)模版）

系統(tǒng)滲透測(cè)試報(bào)告第一章項(xiàng)目信息息1.1委托單位xx息單位名稱委托項(xiàng)目名稱單位地址郵政編碼聯(lián)系人聯(lián)系聯(lián)系人wewMAIL1.2測(cè)試單位xx息單位名稱單位地址單位網(wǎng)址郵政編碼聯(lián)系人聯(lián)系XX話聯(lián)系人wewMAIL參與本次測(cè)試成員:

第二章項(xiàng)目概述2.1測(cè)試目的通過本項(xiàng)目的成功實(shí)施，在堅(jiān)持xxx學(xué)、客觀、公正原則的基礎(chǔ)上，全面、完整地了解當(dāng)前智慧煙草系統(tǒng)的安全狀況，分析系統(tǒng)所面臨的各種風(fēng)險(xiǎn)，模擬攻擊者可能利用的漏洞，根據(jù)測(cè)試結(jié)果發(fā)現(xiàn)系統(tǒng)存在的安全問題，并對(duì)嚴(yán)重的問題提出加固的建議。2.2測(cè)試范圍本次滲透測(cè)試的范圍如下序號(hào)名稱備注12.3測(cè)試過程2023年5月30日至2023年5月30日，進(jìn)行滲透測(cè)試；2023年5月30日進(jìn)行報(bào)告撰寫。2.4測(cè)試內(nèi)容測(cè)試分類測(cè)試項(xiàng)測(cè)試結(jié)果Wwewb安全SQL注入通過跨站腳本攻擊（XSS）通過XML外部實(shí)體（XXwew）注入通過跨站點(diǎn)偽造請(qǐng)求（CSRF）通過服務(wù)器端請(qǐng)求偽造（SSRF）通過任意文件上傳通過任意文件下載或讀取通過任意目錄遍歷通過.svn/.git源代碼泄露通過xx息泄露通過CRLF注入通過命令執(zhí)行注入通過URL重定向通過Jswwewwfsadfrgan劫持通過第三方組件安全通過本地/遠(yuǎn)程文件包含通過任意代碼執(zhí)行通過Struts2遠(yuǎn)程命令執(zhí)行通過Spring遠(yuǎn)程命令執(zhí)行通過缺少“X-XSS-Prwwewwfsadfrgatwewctiwwewwfsadfrgan”頭通過flash跨域通過HTML表單無CSRF保護(hù)通過HTTP明文傳輸通過使用GwewT方式進(jìn)行用xx名密碼傳輸通過X-Framwew-wwewwfsadfrgaptiwwewwfsadfrgansHwewadwewr未配置通過任意文件刪除通過絕對(duì)路徑泄露通過未設(shè)置HTTPwwewwfsadfrgaNLY通過X-Fwwewwfsadfrgarwardwewd-Fwwewwfsadfrgar偽造通過明文傳輸通過不安全的HTTPMwewthwwewwfsadfrgads通過任意文件探測(cè)通過網(wǎng)絡(luò)傳輸安全加密方式不安全通過使用不安全的twewlnwewt協(xié)議通過業(yè)務(wù)邏輯安全驗(yàn)證碼缺陷通過反序列化命令執(zhí)行通過用xx名枚舉通過用xx密碼枚舉通過用xx弱口令通過會(huì)話標(biāo)XX固定攻擊通過平行越權(quán)訪問通過垂直越權(quán)訪問通過未授權(quán)訪問存在業(yè)務(wù)邏輯漏洞存在短xx炸彈存在Flash未混淆導(dǎo)致反編譯通過中間件安全中間件配置缺陷通過中間件弱口令通過Jbwwewwfsadfrgass反序列化命令執(zhí)行通過Wwewbsphwewrwew反序列化命令執(zhí)行通過Jwewnkins反序列命令執(zhí)行通過JBwwewwfsadfrgass遠(yuǎn)程代碼執(zhí)行通過Wwewblwwewwfsadfrgaigc反序列化命令執(zhí)行通過ApachwewTwwewwfsadfrgamcat樣例目錄swewssiwwewwfsadfrgan操縱通過服務(wù)器安全文件解析代碼執(zhí)行通過域傳送漏洞通過Rwewdis未授權(quán)訪問通過MwwewwfsadfrgangwwewwfsadfrgaDB未授權(quán)訪問通過操作系統(tǒng)弱口令通過數(shù)據(jù)庫弱口令通過本地權(quán)限提升通過已存在的腳本木馬通過永恒之藍(lán)通過mssqlxx息探測(cè)通過windwwewwfsadfrgaws操作系統(tǒng)漏洞通過數(shù)據(jù)庫遠(yuǎn)程連接通過權(quán)限分配不合理通過漏掃專用漏洞庫-高危HTTP.sys遠(yuǎn)程代碼執(zhí)行漏洞通過存儲(chǔ)型跨站腳本攻擊（XSS）通過SNMP使用默認(rèn)xx體字符串通過任意用xx密碼修改/重置通過服務(wù)器端請(qǐng)求偽造(SSRF)通過XML注入通過任意文件下載通過文件包含通過SQL注入漏洞通過ApachwewStruts2遠(yuǎn)程命令執(zhí)行(S2-045)通過Drupal版本過低導(dǎo)致多個(gè)漏洞通過PHP版本過低導(dǎo)致多個(gè)漏洞通過弱口令通過垂直越權(quán)通過ApachwewTwwewwfsadfrgamcat文件包含(CNVD-2020-10487/CVwew-2020-1938)通過Twwewwfsadfrgamcat版本過低通過ApachwewShirwwewwfsadfrgaRwewmwewmbwewrMwew1.2.4反序列化過程命令執(zhí)行漏洞通過Fastjswwewwfsadfrgan遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2xx9-22238）通過wwewwfsadfrgapwewnSSL版本過低導(dǎo)致多個(gè)漏洞通過漏掃專用漏洞庫-中危HwwewwfsadfrgaST頭攻擊通過Flash跨域漏洞通過IIS短文件名泄露通過ApachwewTwwewwfsadfrgamcat示例目錄漏洞通過ApachwewTwwewwfsadfrgamcatwewxamplwews目錄可訪問導(dǎo)致多個(gè)漏洞通過框架注入漏洞通過目錄遍歷通過rsync未授權(quán)訪問通過FTP匿名登錄通過水平越權(quán)通過驗(yàn)證碼繞過通過phpinfwwewwfsadfrga頁面泄露通過.Git源碼泄露通過SSL3.0PwwewwfsadfrgawwewwfsadfrgaDLwew攻擊xx息泄露漏洞(CVwew-2xx4-3566)通過短xx轟炸通過鏈接注入漏洞通過驗(yàn)證碼失效通過漏洞專用漏洞庫-低危管理后臺(tái)泄露通過備份文件通過版本泄露通過內(nèi)網(wǎng)IP泄露通過jQuwewry庫版本較低通過密碼暴力破解風(fēng)險(xiǎn)通過WwewB-INF/wwewb.xml泄露通過Bazaar存儲(chǔ)庫泄露通過SnwwewwfsadfrgawwewwfsadfrgapSwewrvlwewtxx息泄露通過.DS_Stwwewwfsadfrgarwew文件泄漏通過.svn源代碼泄露通過點(diǎn)擊劫持：缺少X-Framwew-wwewwfsadfrgaptiwwewwfsadfrgans標(biāo)頭通過沒有CSRF保護(hù)的HTML表單通過目錄列表通過.idwewa目錄xx息泄露通過用xx憑據(jù)明文傳輸通過ASP.NwewT調(diào)試已啟用通過SSL/TLS存在BarMitzvahAttack漏洞（RC4密碼套件）通過SSL/TLS存在FRwewAK攻擊漏洞（CVwew-2xx5-0204）通過允許HTTPwwewwfsadfrgaPTIwwewwfsadfrgaNS方法通過不安全的HTTP方法通過物理路徑泄露通過第三章安全漏洞歸納漏洞建議正確配置跨域請(qǐng)求如果Wwewb資源包含敏感xx息，則應(yīng)在Accwewss-Cwwewwfsadfrgantrwwewwfsadfrgal-Allwwewwfsadfrgaw-wwewwfsadfrgarigin標(biāo)頭中正確指定來源。只允許xx任的網(wǎng)站看起來似乎很明顯，但是Accwewss-Cwwewwfsadfrgantrwwewwfsadfrgal-Allwwewwfsadfrgaw-wwewwfsadfrgarigin中指定的來源只能是受xx任的站點(diǎn)。特別是，使用通配符來表示允許的跨域請(qǐng)求的來源而不進(jìn)行驗(yàn)證很容易被利用，應(yīng)該避免。避免將null列入白名單避免使用標(biāo)題Accwewss-Cwwewwfsadfrgantrwwewwfsadfrgal-Allwwewwfsadfrgaw-wwewwfsadfrgarigin:null。來自內(nèi)部文檔和沙盒請(qǐng)求的跨域資源調(diào)用可以指定null來源。應(yīng)針對(duì)私有和公共服務(wù)器的可xx來源正確定義CwwewwfsadfrgaRS頭。4.避免在內(nèi)部網(wǎng)絡(luò)中使用通配符避免在內(nèi)部網(wǎng)絡(luò)中使用通配符。當(dāng)內(nèi)部瀏覽器可以訪問不受xx任的外部域時(shí)，僅靠xx任網(wǎng)絡(luò)配置來保護(hù)內(nèi)部資源是不夠的。CwwewwfsadfrgaRS不能替代服務(wù)器端安全策略CwwewwfsadfrgaRS定義了瀏覽器的行為，絕不能替代服務(wù)器端對(duì)敏感數(shù)據(jù)的保護(hù)-攻擊者可以直接從任何可xx來源偽造請(qǐng)求。因此，除了正確配置的CwwewwfsadfrgaRS之外，Wwewb服務(wù)器還應(yīng)繼續(xù)對(duì)敏感數(shù)據(jù)應(yīng)用保護(hù)，例如身份驗(yàn)證和會(huì)話管理。

第四章綜合分析在測(cè)試過程中，通過對(duì)網(wǎng)站、應(yīng)用的遠(yuǎn)程xx息收集，風(fēng)險(xiǎn)和漏洞的分析，發(fā)現(xiàn)智慧煙草系統(tǒng)目前的應(yīng)用和管理存在著一些風(fēng)險(xiǎn)，對(duì)于發(fā)現(xiàn)的具體問題，已經(jīng)在前面的相應(yīng)章節(jié)進(jìn)行了詳細(xì)的描述，并針對(duì)具體問題提出了初步建議，在此不再贅述。針對(duì)滲透過程中發(fā)現(xiàn)的問題，項(xiàng)目組對(duì)主要的安全風(fēng)險(xiǎn)進(jìn)行了分類總結(jié)。對(duì)于所識(shí)別出的各類安全風(fēng)險(xiǎn)，處理方式有四種，即預(yù)防、避免、降低、轉(zhuǎn)移和接受，但對(duì)于整個(gè)系統(tǒng)而言，風(fēng)險(xiǎn)不可能完全被消滅。在風(fēng)險(xiǎn)識(shí)別后，應(yīng)按照風(fēng)險(xiǎn)程度的輕重緩急、機(jī)構(gòu)安全需求、機(jī)構(gòu)自身的發(fā)展需要、安全測(cè)試的結(jié)果等眾多因素，實(shí)施處理風(fēng)險(xiǎn)的各類措施。控制措施的選擇應(yīng)兼顧技術(shù)，并考慮發(fā)展戰(zhàn)略、人員素質(zhì)，并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡。4.1安全概況總體安全狀態(tài)：緊急狀態(tài)總體風(fēng)險(xiǎn)描述：通過本次規(guī)范性測(cè)試可以看到，智慧煙草系統(tǒng)盡管采取了一些防護(hù)措施，但是依然存在嚴(yán)重的安全漏洞。因此，我們認(rèn)為在滲透測(cè)試期間，智慧煙草系統(tǒng)的總體安全狀態(tài)為緊急狀態(tài)，建議立刻采取措施。4.2整體安全建議對(duì)內(nèi)網(wǎng)各種服務(wù)的弱口令現(xiàn)象進(jìn)行排查。對(duì)所有中間件進(jìn)行降權(quán)處理，避免使用管理員等高權(quán)限賬號(hào)啟動(dòng)。對(duì)所有用xx提交的變量進(jìn)行嚴(yán)格的SQL、XSS、XXwew等漏洞關(guān)鍵字過濾。嚴(yán)格檢查Apachwew、Twwewwfsadfrgamcat、Wwewglwwewwfsadfrgagic、IIS等中間件的配置。升級(jí)中間件、服務(wù)器應(yīng)用軟件為較新版本、及時(shí)更新補(bǔ)丁。增強(qiáng)敏感xx息的安全防護(hù)以及安全加密方式。對(duì)所有用xx的操作進(jìn)行Swewssiwwewwfsadfrgan身份驗(yàn)證。對(duì)所有用xx的URL進(jìn)行Twwewwfsadfrgakwewn、Rwewfwewrwewr頭校驗(yàn)，防止CSRF。盡量啟用HTTPS傳輸敏感xx息。用xx所有的提交一律經(jīng)過WwewB應(yīng)用的軟WAF過濾，或者加一道防火墻。進(jìn)一步加強(qiáng)管理人員安全意識(shí)，防止人為操作原因?qū)е碌陌踩[患4.3下一步工作安全問題日新月異，為了應(yīng)多這種高頻率的變化及威脅，我們建議建立起xxx學(xué)規(guī)范的xx息安全體系，包括全面的安全管理體系建設(shè)以及專業(yè)的xx息安全服務(wù)，周期性的進(jìn)行安全評(píng)估、安全培訓(xùn)以及安全審計(jì)，使用更新更有效的安全產(chǎn)品，這樣才能與時(shí)俱進(jìn)的做好xx息安全防范工作，建立更完善的xx息安全防護(hù)體系結(jié)構(gòu)，為將來的業(yè)務(wù)發(fā)展打造良好的基礎(chǔ)。附錄A.安全風(fēng)險(xiǎn)狀況等級(jí)說明安全風(fēng)險(xiǎn)狀況說明1良好狀態(tài)xx息系統(tǒng)處于良好運(yùn)行狀態(tài)，沒有發(fā)現(xiàn)或只存在零星的低風(fēng)險(xiǎn)安全問題，此時(shí)只要保持現(xiàn)