版本 V 1.0 测试系统 测试概述 测试范围 测试目的 风险描述 xx 系统 测试报告 修改记录 说明 修改日期 修改人 2019/12/30 系统安全测试报告 xxx 审核人 xxx 测试内容 域名/网址 【xx 系统】项目安全测试任务于 xx 年 xx 月 xx 日完成。 测试的整体范围以安全性测试为主，暂时不包含功能测试和性能测试。 1）安全测试：检测系统是否存在可以被攻击利用的漏洞，以及由此引起的 风险大小。 通过模拟黑客攻击的安全测试，评估目标系统是否存在可以被攻击者 真实利用的漏洞以及由此引起的风险大小，为制定相应的安全措施与解决 方案提供实际的依据 安全性测试（security testing）：就是在软件研发和维护过程 中，通过不同的测试方法，发现安全性的问题，包括下列各类问 题： • 信息泄露、破坏信息的完整性 • 拒绝服务 • 非法使用(非授权访问)、窃听 • 业务数据流分析 • 假冒、旁路控制 • 授权侵犯 （内部攻击） • 抵赖 （来自用户的攻击） • 计算机病毒、恶意软件 • 信息安全法律法规不完善 风险等级 高：漏洞明显&攻击条件容易获得，获取验证权限，执行管理员操作，泄 露大量的敏感信息。此等级的风险是不允许存在的。 中：通过重复攻击操作，深入挖掘漏洞信息，部分非默认的配置信息，此 等级的风险是不允许存在的。 低：发信漏洞困难，泄露极少数的其他信息。此等风险等级是具体情况而 定。 测试人员根据 WASC 威胁分类，对应用程序从以下类型的安全方面进 行测试： 测试过程  用户认证安全性测试 系统中不同用户权限设置 系统中用户是否出现冲突 1 

系统不应该因用户权限改变而造成混乱 系统用户密码是否加密、是否可复制 是否可以通过绝对途径登录系统 用户退出后是否删除其登录时的相关信息 是否可以使用退出键而不通过输入口令进入系统  网络安全性测试 防护措施是否正确装配完成，系统补丁是否正确 非授权攻击，检查防护策略的正确性 采用各种防外挂工具检查程序外挂漏洞  数据库安全性测试 数据库是否具备备份和恢复的功能 是否对数据进行加密 是否有安全日志文件 用户密码使用强口令 不同用户赋予不同权限  Web 安全性测试 输入验证 审核和日志记录 异常管理 参数操作 敏感数据 配置管理 授权 其他建议： 发现问题与 建议 针对 WEB 平台的渗透测试及定期的评估扫描等方式，均以暴露问题 为目标，属于被动的安全手段，而这些方式也大大的增加开发和维护的成 本，因此建议 e 充网官方网站后台管理系统网站针对如 WEB 程序这类个 性化产品开发前就应做好安全的相关工作，建议 xxx 系统网站对定制开发 的产品从以下几个方面进行相关的考察和关注： 制定以功能和安全兼顾的产品开发需求 1. 将安全作为产品开发项目中的重要参考指标 2. 产品开发过程中的人员安全意识和技能培训 3. 完善的安全开发手册及通用的安全的代码库 4. 在开发每阶段完成后的定期代码审计和扫描 5. 产品整体上线前的审计工作和远程评估工作 测试结论 本次测试覆盖全面，测试数据基础合理，测试有效。SQL 注入测试， 已执行测试用例，问题回归后测试通过；跨目录测试，已执行测试用例， 路径已加密，无漏洞，测试通过；用户权限控制和权限数据控制安全测试， 已执行测试用例，问题回归后测试通过，综合以上结论得出本次测试通过。 1. 高级的安全漏洞未有。 2 

2. 已发现的漏洞问题均已解决状态。 测试人员 测试日期 xxx 2020-04-29 3