您的位置:360文档中心› 渗透测试报告模板V1.1

渗透测试报告模板V1.1

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

密级:商密

文档编号:

项目代号:

YYYY

渗透测试报告

%

LOGO

Xxxx(公司名称)

20XX年X月X日

/

保密申明

这份文件包含了来自XXXX公司(以下简称“XXXX”)的可靠、权威的信息,这些信息作为YYYY正在实施的安全服务项目实施专用,接受这份计划书表示同意对其内容保密并且未经XXXX书面请求和书面认可,不得复制、泄露或散布这份文件。如果你不是有意接受者,请注意:对这份项目实施计划书内容的任何形式的泄露、复制或散布都是被禁止的。

文档信息表

摘要

本文件是XXXX信息技术有限公司受YYYY委托所撰写的《YYYY渗透测试报告》的报告书。这里对本次渗透测试结果所得出的整体安全情况作概括描述,文件正文为全面的分析。

本次渗透测试主要采用专家人工测试的方法,采用了部分工具作为辅助。在渗透测试中我们发现:系统应用层存在明显的安全问题,多处存在高危漏洞,高危漏洞类型主要为失效的访问控制、存储型xss。缺乏对输入输出进行的防护和过滤。

结论:整体而言,YYYY在本次渗透测试实施期间的安全风险状况为“严重状态”。

(系统安全风险状况等级的含义及说明详见附录A)

结果统计简要汇总,如下图 0-1、表0-1。

图0-1 系统整体验证测试整改前跟踪统计图

表0-1 测试对象整改后结果统计表

一、项目信息

委托单位:

检测单位:

二、项目概述

1.测试目的

为了解YYYY公司网络系统的安全现状,在许可及可控的范围内,对XXXX应用系统开展渗透测试工作,从攻击者的角度检测和发现系统可能存在的漏洞,并针对发现的漏洞提供加固建议。

2.测试范围

渗透测试的范围仅限于经过YYYY公司以书面形式进行授权的服务器、网络设置被和应用系统。XXXX承诺不会对授权范围之外的网络和主机设备以及数据进行测试、模拟攻击。

1)测试范围表

2)网络拓扑图及接入点

3)接入点

JA:公司内网接入

JB:互联网接入

注,如果从JB无法获取到该信息系统相关漏洞,则漏洞的描述接入点不标注JB,相关漏洞风险等级可进行适当降级处理(公司员工需有安全意识或接受过安全意识培训,公司电脑配备杀软且内部网络未发生过安全事故)。

三、渗透测试说明

1.测试工具

sqlmap、hackbar、burpsuite、AWVS。

2.测试账号

3.测试前后系统状态

由于采用可控的、非破坏性的渗透测试,不会对被评估的系统造成影响。在渗透

测试结束后,系统将基本保持一致。

四、渗透测试漏洞归纳

验证测试时模拟来自内外网的用户,针对漏洞扫描工具发现的漏洞,利用工具或手工方式对结果进行验证,试图非授权访问数据库内容,获得操作系统权限等操作。主要针对主机、数据库及应用等可能存在的风险进行安全性测试,测试内容及漏洞详情等如下。

1.YYYY网站

1)存储型XSS

危害等级:高

漏洞编号:yyyy__xss_01

漏洞URL/IP:

Xxxxxxxx

接入点:JB

漏洞描述:

XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛、OA、CRM等社交网站上,比如:某CRM系统的客户投诉功能上存在XSS存储型漏洞,黑客提交了恶意攻击代码,当系统管理员查看投诉信息时恶意代码执行,窃取了客户的资料,然而管理员毫不知情,这就是典型的XSS存储型攻击。

漏洞详情:

漏洞位于普通用户权限编辑发布文章处。发布的文章是富文本文章,允许img等标签,可以尝试触发img标签的事件。服务端对用户发布的内容数据,针对XSS进行了一定限制,但是限制上存在绕过手段。如将敏感函数alert部分字符进行unicode 编码后(\u0061lert)即可绕过。

测试流程如下:

(1)使用普通用户登录系统,进行文章编辑发布。

(2)在发布时抓取数据包,对content字段进行修改,使用img标签的onerror 事件触发XSS,同时修改alert为(\u0061lert)进行绕过。

(3)测试完整payload如下:

此处展示测试截图

图4-1

(4)测试结果如图4-2所示:

此处展示测试截图

图4-2

修复建议:

(1)在表单提交或者url参数传递前,对需要的参数进行严格过滤,检查用户输入的内容中是否有非法内容。

(2)用户提交的数据进行输出时,要进行相应的编码。

(3)过滤时要考虑编码转换等方式存在绕过的可能。

2)水平权限越权

危害等级:高

漏洞编号:yyyy__bac_01

漏洞URI/IP:

Xxxxxxxx

接入点:JB

漏洞描述:

攻击者请求操作(增删改查)某条数据时,web应用程序没有判断该条数据的所属人,或者在判断数据所属人时直接从用户提交的表单参数中获取,例如用户id等。

漏洞详情:

测试中,用户可以自行修改参数,操作获取不属于自己的数据。

测试流程如下:

(1)在测试中使用了两个用户,TEST001与TEST002。

(2)首先登陆TEST002,进入修改编辑文章界面。然后将URL中的id参数修改为TEST001的文章id,然后点击确认发布,即可修改TEST001的文章。

此处展示测试截图

图4-3

(3)尝试修改为其他任意文章的id参数,可以编辑修改文章。

此处展示测试截图

图4-4

修复建议:

(1)永远不要完全相信来自用户的输入,对于可控参数进行严格的检查与过滤(2)执行关键操作前必须验证用户身份

(3)前后端同时校验用户身份及权限

(4)调用功能前验证用户是否有权限调用相关功能

五、安全状况

网站总体安全风险状况:严重状态

总体风险描述:

通过本次规范性测试可以看到,网站具有一定安全防护,对XSS和SQL注入进行了一定限制。但是对于XSS的过滤不够严格,在恶意用户进行编码构造后依旧可以出发XSS对于用户权限的确认存在问题,。因此,我们认为在渗透测试期间,此网站的总体安全状态为高危状态。

相关文档
最新文档