网站渗透测试报告.doc

发布时间：2022-06-26 发布人：admin 分类：说明书资料大小：0.07M 资料格式：doc 举报版权申诉

ad401f84-44d8-4c95-9559-ad62eea8637d.doc.pdf-第1页.png

第1页 / 共6页

ad401f84-44d8-4c95-9559-ad62eea8637d.doc.pdf-第2页.png

第2页 / 共6页

ad401f84-44d8-4c95-9559-ad62eea8637d.doc.pdf-第3页.png

第3页 / 共6页

ad401f84-44d8-4c95-9559-ad62eea8637d.doc.pdf-第4页.png

第4页 / 共6页

ad401f84-44d8-4c95-9559-ad62eea8637d.doc.pdf-第5页.png

第5页 / 共6页

ad401f84-44d8-4c95-9559-ad62eea8637d.doc.pdf-第6页.png

第6页 / 共6页

1.概述

1.1.测试范围

1.2.渗透测试人员安排

2.渗透测试结果综述

2.1.测试总结与安全建议

2.2.漏洞等级定义

2.3.测试项记录

3.渗透测试结果详述

3.1.**银行信用卡商城

3.1.1.存在隐藏目录

3.1.2.跨站点请求伪造漏洞

密级：【敏感】 **银行渗透测试报告信息安全技术有限公司二零一二年一月

银行渗透测试报告文档信息文档名称 **银行渗透测试报告版本编号 V1.0 制作人董保密级别复审人适用范围扩散范围分发控制编号读者 1 2 3 版本历史权限与文档主要关系创建、修改、读取项目组成员负责编制、修改、审核本文档批准项目经理，负责本文档的批准程序读取、建议最终用户版本编号创建日期制作人参与人 V1.0 2012-02-15 2

银行渗透测试报告目录 1. 概述....................................................................................................................................................... 4 1.1. 测试范围.......................................................................................................................................4 1.2. 渗透测试人员安排.......................................................................................................................4 2. 渗透测试结果综述............................................................................................................................... 4 2.1. 测试总结与安全建议...................................................................................................................4 2.2. 漏洞等级定义...............................................................................................................................4 2.3. 测试项记录...................................................................................................................................4 3. 渗透测试结果详述............................................................................................................................... 5 3.1. 北京银行信用卡商城...................................................................................................................5 3.1.1. 存在隐藏目录.......................................................................................................................5 3.1.2. 跨站点请求伪造漏洞...........................................................................................................6 3

银行渗透测试报告 1. 概述本次渗透测试根据银行安全服务工作要求，针对互联网上开放的各业务系统进行渗透测试，利用各种主流的攻击技术对业务系统做模拟攻击测试，以发现系统中的安全漏洞和风险点，并提供渗透测试报告、提出系统整改意见。 1.1. 测试范围本次渗透测试的范围为下列系统：站点名称域名银行信用卡商城 http://BANK.com 1.2. 渗透测试人员安排风险控制：虎渗透测试负责人员：华渗透测试分析与实施：祝 2. 渗透测试结果综述 2.1. 测试总结与安全建议 2.2. 漏洞等级定义漏洞等级描述高中低无可直接威胁到网络、操作系统、业务系统的安全性，可导致业务中断或敏感信息泄漏。此类风险如高危性质远程缓冲区溢出、SQL 注入、关键业务弱口令、验证绕过、未授权的访问、敏感信息泄漏等。存在一定的危害性，一经利用即可威胁到操作系统、业务系统的安全性，进而威胁到网络的安全性。此类风险如远程缓冲区溢出、非关键业务弱口令、XSS 跨站、敏感信息泄漏等。存在相对较小的危害性，并不直接对系统或应用造成危害。一旦被利用时影响相对较小，在渗透测试中通常会为进一步的渗透产生辅助性作用。此类风险如信息泄漏、非关键业务拒绝服务漏洞等。无风险，未发现相关安全问题 2.3. 测试项记录 4

银行渗透测试报告测试对象实施人员测试用例实施成果概述  信息泄漏测试存在隐藏目录  配置管理测试未发现问题  认证测试  授权测试未发现问题未发现问题  会话管理测试跨站点请求伪造漏洞  数据检验测试未发现问题  Web 服务测试未发现问题 http://bANK.com 祝 3. 渗透测试结果详述 3.1. **银行信用卡商城 3.1.1. 存在隐藏目录风险名称存在隐藏目录风险等级低风险描述渗透过程风险分析该漏洞可能导致攻击者可以使用穷举目录名或常用目录名，并通过提示信息来判断系统是否存在此目录或功能模块。运用安全扫描工具扫描发现存在隐藏目录：该漏洞可能导致攻击者可以使用穷举目录名或常用目录名，并通过提示信息来判断系统是否存在此目录或功能模块。加固建议使用自定义的友好页面，模糊化提示方式，防止泄漏站点结构。 5

银行渗透测试报告 3.1.2. 跨站点请求伪造漏洞风险名称跨站点请求伪造漏洞风险等级中风险描述由与系统没有对用户的操作做唯一标识，如果攻击者欺骗用户访问恶意构造的页面，此时攻击者就可以劫持用户的会话数据发出非故意的 HTTP 请求，如修改用户的口令等恶意操作。存在 CSRF 漏洞页面：用户所有操作的参数都是固定的，每次请求并没有设定一个唯一的标识。当用户正在正常的对网站操作时，攻击者将修改密码的 URL 进行编码或者利用短域名形式发送给目标，此时用户正处于登录状态下，因此密码自动被修改，常见的这种钓鱼手段（告诉用户北京银行信用卡商城恭喜他中奖了，让他登录后访问这个 URL)。下图是攻击者伪造的修改密码页面：渗透过程风险分析攻击者可以利用虚假的链接，欺骗用户点击，从而利用用户的会话信息做恶意的修改。加固建议对用户的每一次请求操作，分配唯一的标识 ID。 6

分享到：

赞收藏

资料库

网站渗透测试报告.doc

相关推荐

安全技术

热门标签

最新资料