XXXX 系统
渗透测试报告
中国 XXXX 技术股份有限公司
二〇二〇年一月
XXX 系统渗透测试报告
文档说明
单位名称
中国 XXXX 技术股份有限公司(以下简称:XXXX)
通信地址
文档名称
XXXX 系统渗透测试报告
文档管理编号
保密级别
评估人员
制作人员
文档版本号 V1.0
评估日期
制作日期
扩散范围
限 XXXX、甲方爸爸内部传阅。
扩散批准人
XXX 系统渗透测试报告
声明
本报告仅适用于 XXXX 系统在渗透测试时的系统状况。系统的渗透测试周
期和系统渗透测试时的基本状况将在下列的章节中给出。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,
不得擅自增加、修改、伪造或掩盖事实。
为保证系统所属方的利益,本测试报告仅提供给被测系统所属方,中国
XXXX 技术股份有限公司不向第三方提供,并为其保密。
单位名称:中国 XXXX 技术股份有限公司
联系地址:
联系电话:0571--xxxxxxxx
传
真:0571--xxxxxxxx
XXX 系统渗透测试报告
目 录
1.
2.
3.
4.
5.
测试结论..........................................................................................................5
评估计划..........................................................................................................5
2.1. 测试对象...................................................................................................5
2.2. 测试阶段...................................................................................................5
2.3. 风险等级...................................................................................................6
测试过程..........................................................................................................6
3.1. 测试流程...................................................................................................6
3.2. 测试内容...................................................................................................7
3.3. 风险规避.................................................................................................12
测试结果........................................................................................................13
4.1. 问题详述.................................................................................................13
4.1.1.
暴力破解...................................................................................13
加固建议........................................................................................................13
5.1. 暴力破解.................................................................................................14
XXX 系统渗透测试报告
1. 测试结论
根据与甲方爸爸所签订的合同之内容,XXXX 资深安全工程师采用科学的渗
透测试手段,于 xxxx 年 x 月 x 日至 xxxx 年 x 月 x 日,对 XXXX 系统进行了全面
深入的漏洞检测。
2. 评估计划
2.1. 测试对象
此次渗透测试是 XXXX 根据与甲方爸爸所签订的合同之内容,根据甲方爸爸
要求,针对 XXXX 系统所进行的一次渗透测试。
编号
1
系统名称
XXXX 系统
域名
http://x.x.x.x
IP
x.x.x.x
2.2. 测试阶段
根据 XXXX 对互联网应用系统安全服务的经验,将本次渗透测试项目按照
以下阶段进行实施:
项目阶段
工作内容
项目启动阶段
召开项目启动会,确定双方项目组成员、配合需求、
确定工作计划、提交实施方案、获得书面委托及授权。
风险规避阶段
采用调整渗透时间和策略等方式进行风险规避。
渗透测试阶段
对各应用系统进行渗透测试工作。
数据分析与报告阶段 对所有的过程数据进行分析,根据分析结果撰写报告。
项目验收阶段
进行项目验收汇报,提交渗透测试报告,完成验收。
XXX 系统渗透测试报告
2.3. 风险等级
编号 风险等级
风险描述
1
2
3
高风险 可对目标网站造成重大损失,如信息篡改、数据损坏以及远程控制。
中风险 可获取目标网站敏感信息,并结合其他安全漏洞可能影响目标网站
的正常运营。
低风险 可获取目标网站少量敏感信息,一般不会导致严重的安全事件。
3. 测试过程
3.1. 测试流程
渗透测试服务通过远程利用目标应用系统等安全弱点,模拟真正的黑客入侵
攻击方法,以人工渗透为主,以漏洞扫描工具为辅,在保证整个渗透测试过程都
在可以控制和调整的范围之内尽可能的获取目标信息系统的管理权限以及敏感
信息。
XXXX 渗透测试服务的主要流程如下:
(一)信息收集
信息收集是指渗透实施前尽可能多地获取目标信息系统相关信息,例如网站
注册信息、共享资源、系统版本信息、已知漏洞及弱口令等等。通过对以上信息
的收集,发现可利用的安全漏洞,为进一步对目标信息系统进行渗透入侵提供基
础。
(二)弱点分析
对收集到的目标信息系统可能存在的可利用安全漏洞或弱点进行分析,并确
定渗透方式和步骤实施渗透测试。
(三)获取权限
对目标信息系统渗透成功,获取目标信息系统普通权限。
(四)权限提升
当获取目标信息系统普通管理权限后,利用已知提权类漏洞或特殊渗透方式
XXX 系统渗透测试报告
进行本地提权,获取目标系统远程控制权限。
3.2. 测试内容
测试
类型
信 息
收集
测试条目
测试描述
目录爬行/遍历 这个阶段将通过浏览、目录爬行的方式捕获/收集应用的资源。
搜索引擎,比如 Google,能够用来发现公开发布的网页应用结
搜索引擎侦测
构或者错误页面等相关问题。
应 用 程 序 入 口
探测
Web 应用程序指
纹探测
枚举应用入口和攻击途径是入侵发生之前的预警。这部分枚举
完成后,将帮助测试人员找出在应用里面应该重点关注的领
域。
应用指纹是信息收集的第一步。获取运行网页服务器的版本,
让测试人员知道哪些是已知弱点及在测试时使用何种方法恰
当。
本项测试发现以 web 服务器的网页应用作为目标。本项测试对
应用程序发现
于发现细节/寻找突破尤为有效,比如发现用于管理的应用脚
本,或旧版本的文件/控件,在测试、开发或维护过程中产生
的已不用的脚本。
分析错误代码-
信息泄漏
在渗透性测试过程中,网页应用可能泄露原本不想被用户看见
的信息。错误码等信息能让测试者了解应用程序使用的有关技
术和产品。很多情况下,由于异常处理和程序代码的不合理,
甚至不需要任何特殊技术或工具,都很容易触发产生错误代码
的条件从而产生错误代码导致被攻击者利用。
SSL 和 TLS 是两个以加密的方式为传输的信息提供安全隧道的
配 置
协议,具有保护、加密和身份认证的功能。
管 理
SSL/TLS 测试
这些安全组件在应用中非常关键,因此确保高强度的加密算法
测试
和正确的执行非常重要。
本项测试的模块为:SSL 版本、算法、密钥长度、数字证书、
XXX 系统渗透测试报告
有效期。
许多数据库管理员在配置数据库服务器时,没有充分考虑到数
数 据 库 监 听 器
据库侦听器组件的安全。如果没有进行安全的配置而使用手动
(DB Listener)
或自动的技术进行侦听,侦听器就可能泄露敏感数据以及配置
测试
信息或正在运行的数据库实例信息。泄露的信息对测试者来说
通常是有用的,他能将此应用到后续更深入的测试中去。
Web 应用基础架构由于其内在的复杂性和关联性,一个微小的
基 础 配 置 信 息
漏洞就可能对同一服务器上的另一个应用程序产生严重的威
测试
胁,甚至破坏整个架构的安全。为了解决这些问题,对配置的
管理和已知安全问题进行深入审查尤为重要。
通常在应用程序开发和配置中会产生一些没有考虑到的信息,
应 用 程 序 配 置
而这些信息暂时被发布后的 Web 应用程序所隐藏。
信息测试
这些信息可能从源代码、日志文件或 Web 服务器的默认错误代
码中泄露。
文 件 扩 展 名 处
理测试
旧文件、备份文
件、未引用文件
测试
应 用 程 序 管 理
接口测试
HTTP 请 求 方 法
与 XST 测试
通过 Web 服务器或 Web 应用程序上的文件扩展名能够识别出目
标应用程序使用的技术,例如扩展名 JSP 与 ASP。文件扩展名
也可能暴露与该应用程序相连接的其它系统。
Web 服务器上存在多余的、可读、可下载的文件,并且用于备
份的文件,是信息泄漏的一大源头。因为它们可能包含应用程
序和或数据库的部分源代码,安装路径以及密码等敏感信息。
本项测试验证这些文件是否存在于发布的 Web 应用系统上。
许多应用程序的管理接口通常使用一个公用路径,路径获取后
可能面临猜测或暴力破解管理密码的风险。此项测试目的是找
到管理接口,并检测是否可以利用它来获取管理员权限。
Web 服务器可以配置为多种请求方式,如 Get、Post、Put、Delete
等,此项测试将鉴定 Web 服务器是否允许具有潜在危险性的
HTTP 请求方法,同时鉴定是否存在跨网站追踪攻击(XST)。
认 证 证 书 加 密 通 道 本项测试试图分析用户输入 Web 表单中的数据,如为了登录网