渗透测试测试报告
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
时间的控制
从时间安排上,测试人员将将尽量避免在数据高峰时进行测试,以此来减小测试工作对被测试系统带来的压力。
另外,测试人员在每次测试前也将通过电话、邮件等方式告知相关人员,以防止测试过程中出现意外情况。
技术手段
XX科技的渗透测试人员都具有丰富的经验和技能,在每一步测试前都会预估可能带来的后果,对于可能产生影响的测试(如:溢出攻击)将被记录并跳过,并在随后与客户协商决定是否进行测试及测试方法。
首先使用httprint对远程主机的WEB应用版本进行判断:
图 一十六.1httprint判断远程WEB应用版本
根据httprint输出无法判断远程主机的WEB应用。
通过nc手工提交HTTP HEAD请求,依然无法获取到目标WEB应用版本信息。
图 一十六.2使用nc提交HTTP HEAD请求
通过nc手工提交HTTP OPTIONS请求,依然无法获取到目标WEB应用版本信息。
提高安全技能
在测试人员与用户的交互过程中,可提升用户的技能。另外,通过专业的渗透测试报告,也能为用户提供当前流行安全问题的参考。
六.测试目标说明
七.测试对象
测试对象名称
相关域名、对应的URL
新XXX系统平台
证书版登录
IP地址:
八.测试账号
测试账号名称
相关详细信息
XXX系统账号
账号所有者:XX
ID:95xxPIN码:xx
图 一十八.4采用表单枚举的方式获取登录信息
在转账汇款测试时,测试人员通过上述方法同样可以绕过USBKey的使用,对行内转账、跨行汇款进行成功操作。同时,在转账汇款的测试中,测试人员发现:转账汇款的最后步骤即:“确认”操作时,由客户端向服务器端提交“签名加密代码”,该步骤存在设计缺陷,导致“签名加密代码”只要是正确途径产生的“代码”都可以进行成功交易,而与每次交易的信息无关。(威胁点,附录像)
XX科技渗透测试小组在2010年4月xx日至2010年4月xx日对XXX的新XXX系统进行了远程渗透测试工作。在此期间,XX科技渗透测试小组利用部分前沿的攻击技术;使用成熟的黑客攻击手段;集合软件测试技术(标准)对指定网络、系统做入侵攻击测试,希望由此发现网站、应用系统中存在的安全漏洞和风险点。
三.测试流程
:
图 一十五.1使用ftp客户端对目标主机进行验证
由此可确认TCP 21虽开放,但应在网络层有相关的ACL限制,因此无法从Internet对其FTP服务发起连接请求。
一十六.服务信息探测
通过端口扫描判断,远程目标主机仅有TCP 443端口(WEB应用服务)可用,因此,后继的渗透测试工作主要针对WEB应用本身及运行于WEB应用上的代码展开。
is incorrect, check the zone transfer security settings for on the DNS
server at IP address查询站点mx记录
> set type=mx
>
Server:
Address: MX preference = 5, mail exchanger = nameserver =
登录XXX系统USBKey认证可绕过漏洞
1个
转账汇款USBKey认证可绕过漏洞
1个
转账汇款数字签名设计缺陷
1个
输入验证机制设计缺陷
中等问题
1种
1个
缺少第二信道认证
轻度问题
1种
1个
信息泄露
XX科技认为被测系统当前安全状态是:远程不安全系统
二.服务概述
本次渗透测试工作是由XX科技的渗透测试小组独立完成的。
Dn信息 :xx
Sn信息 :xx
(威胁点)
图 一十八.3替换登录过程的数据信息
经上述测试发现,XXX证书版USBKey登录过程中,由XXX系统盾证书认证的相关信息SN为固定信息,任何提交者均可通过登录认证,存在“绕过登录XX新XXX系统的漏洞”(威胁点,附录像)。
同时,测试人员通过枚举表单的方式,同样可以获取登录过程中的相关认证信息,例如:dn、sn信息。
一十.参与测试人员
参测人员名单
姓名
所属部门
联系方式
姓名
所属部门
联系方式
一十一.测试环境
本次渗透测试过程中,XX科技测试小组使用过多个互联网IP地址开展的分析工作,在此通知XXX新XXX系统相关人员在对受测试的目标站点服务器、相应的网络入侵检测系统进行安全监控和日志分析时,排除以下IP地址产生的任何违规信息,以保证分析结果的准确有效。
IP地址
IP地址
IP地址
IP地址
暂无
暂无
一十二.工具及相关资源
测试工具:NetCat
工具名称
NetCat
工具用途
端口连接,数据提交
相关信息
files/
测试工具:Nmap
工具名称
Nmap
工具用途
端口扫描,服务识别,操作系统指纹识别
相关信息
测试工具:httprint
工具名称
Httprint
工具用途
通过远程http指纹判断http服务类型
图 一十六.3使用nc提交HTTP OPTIONS请求
一十七.对应用的测试
测试人员根据WASC威胁分类,对应用程序的渗透测试从五个类型的安全方面进行测试,这五个威胁类型包括:认证和授权、命令执行、逻辑攻击、客户端攻击、信息泄露。
暴力攻击
LDAP注入
认证不充分
SSI注入
会话定置
SQL注入
会话期限不充分
五.测试收益
通过实施渗透测试服务,可对贵方的信息化系统起到如下推进作用:
明确安全隐患点
渗透测试是一个从空间到面再到点的过程,测试人员模拟黑客的入侵,从外部整体切入最终落至某个威胁点并加以利用,最终对整个网络产生威胁,以此明确整体系统中的安全隐患点。
提高安全意识
如上所述,任何的隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果,因此渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险。
Address:测试区域传输
> set type=axfr
> ls -d
ls: connect: No error
*** Can't list domain : Unspecified error
The DNS server refused to transfer the zone to your computer.If this
一十八.认证和授权类
由于XXX系统的特殊性,测试人员没有对XXX系统登录账号进行暴力攻击的尝试,而是采用使用证书方式对证书的有效性进行测试。
此次测试XX新XXX系统采用硬件USBKey(即XX),首先,测试人员对正常情况使用USBKey登录XXX系统进行记录和分析。
图 一十八.1使用USBKey登录信息
缺陷利用:此阶段中,XX科技测试人员尝试由普通权限提升为管理员权限,获得对系统的完全控制权。在时间许可的情况下,必要时从第一阶段重新进行。
成果收集:此阶段中,XX科技测试人员对前期收集的各类弱点、漏洞等问题进行分类整理,集中展示。
威胁分析:此阶段中,XX科技测试人员对发现的上述问题进行威胁分类和分析其影响。
XX移动XXX系统渗透测试报告
■ 版本变更记录
时间
版本
说明
修改人
一.摘要
经XXX的授权,XX科技渗透测试小组对XXX下属XXX系统证书版进行了渗透测试。测试结果如下:
严重问题:4个
中等问题:1个
轻度问题:1个
图 一.1安全风险分布图
详细内容如下表:
发现问题详细内容
问题等级
种类
数量
名称
严重问题
4种
1个
输出报告:此阶段中,XX科技测试人员根据测试和分析的结果编写直观的渗透测试服务报告。
图 三.1渗透测试流程
四.风险管理及规避
为保障客户系统在渗透测试过程中稳定、安全的运转,我们将提供以下多种方式来进行风险规避。
对象的选择
为更大程度的避免风险的产生,渗透测试还可选择对备份系统进行测试。因为备份系统与在线系统所安装的应用和承载的数据差异较小,而其稳定性要求又比在线系统低,因此,选择对备份系统进行测试也是规避风险的一种常见方式。
Xpath注入
凭证/会话预测
操作系统命令
授权不充分
格式字符串攻击
缓冲区溢出
功能滥用
拒绝服务
可预测资源定位
路径遍历
跨站点脚本编制
目录索引
内容电子欺骗
信息泄露
图 一十七.1WASC威胁分类图
由于XXX系统区别于普通的WEB系统,因此,测试人员根据XXX系统的特点,从实际出发采用手工测试的方法,对五大类威胁中的部分内容进行测试。
由以上事实,测试人员分析认为存在两种可能:第一种可能“sigEncryptCode”信息应为每次交易相关收款账号、金额等加密信息,若为此情况,在替换后并成功交易,测试用款应该转到第一次操作的xx账号中,而目前事实是依然转移到xx的账号中。第二种可能是“sigEncryptCode”信息不包含每次交易的收款账号、金额等加密信息,完全用于数字签名。因此“sigEncryptCode”值信息在最后确认中,只要是正确途径产生均可通过签名,因此可以任意替换。
XXX系统登录名zhdh 密码xx
账号所有者:xx
ID:95xxPIN码:XX
XXX系统登录名xx密码xx
九.时间
测试工作的时间段
起始时间
2010-4-xx
结束时间
2010-4-xx
本份测试报告分析的各种安全风险,仅限定于在上述时间段内测试反馈信息的整理,不包括非上述时间段内的因系统调整、维护更新后出现的其他变化情况。
相关信息
wenku.baidu.com测试工具:Tamper IE
工具名称
TamperIE
工具用途
HTTP数据包修改、转发工具(Firefox插件)
相关信息
测试工具:安全检测工具集
工具名称
XX科技整理的安全检测工具集
工具用途
跨站及SQL注入测试、远程溢出测试、暴力破解测试、嗅探分析
相关信息
在具体的分析过程中,XX科技测试小组在微软的Windows平台上(涵盖2003/Vista),使用了IE(涵盖)和Firefox浏览器对指定的测试对象进行的分析、校验、测试。因此,漏洞分析检测到的部分安全问题可能与特定的操作系统、软件版本有具体关系,提醒后期实施漏洞修复工作的人员特别注意其中的差异。
XX科技渗透测试服务流程定义为如下阶段:
信息收集:此阶段中,XX科技测试人员进行必要的信息收集,如 IP 地址、DNS 记录、软件版本信息、IP 段、Google中的公开信息等。
渗透测试:此阶段中,XX科技测试人员根据第一阶段获得的信息对网络、系统进行渗透测试。此阶段如果成功的话,可能获得普通权限。
一十九.命令执行类
在命令执行类的测试中,测试人员主要测试了SQL注入攻击。为了避免使用模糊测试给账户及XXX系统带来不可预料的影响,测试人员采用手工测试的方法。
测试人员对XX新XXX系统中的输入参数进行了部分测试,下面以测试登录用户名选项为例进行说明。
测试人员发现当前XX新新XXX系统大部分输入都只是客户端验证而非客户端服务端双向验证。(威胁点)
监控措施
针对每一系统进行测试前,测试人员都会告知被测试系统管理员,并且在测试过程中会随时关注目标系统的负荷等信息,一旦出现任何异常,将会停止测试。
工具的使用
在使用工具测试的过程中,测试人员会通过设置线程、插件数量等参数来减少其对系统的压力,同时还会去除任何可能对目标系统带来危害的插件,如:远程溢出攻击类插件、拒绝服务攻击类插件等等。
测试人员第一次转账时使用xx的账号**7588卡号向xx账号的**9600卡号进行汇款,在最后确认过程中记录“sigEncryptCode”值和“randomTokenVerifyTag”值。
图 一十八.5记录向xx账号汇款“确认”过程中相关信息
然后,测试人员第二次转账时使用xx的账号**7588卡号向xx的账号的**2758卡号进行汇款,在最后确认过程中记录替换“sigEncryptCode”值为向xx账号汇款“确认”过程中记录的“sigEncryptCode”值。测试人员发现交易能够成功完成。
在没有插入USBKey的情况下,测试人员使用其他银行的“软证书”进行登录:
图 一十八.2使用其他银行“软证书”进行登录
通过使用TamperIE截取登录过程提交的数据包,来对登录信息进行替换。测试人员将使用其他银行“软证书”产生的信息替换为正常使用USBKey登录产生的dn和sn信息进行欺骗。Dn和sn信息如下:
测试人员通过本地浏览器截取的方式对“自定义登录名称”进行修改,成功将zhdh登录名设置为下面三种情况:
一十三.测试过程详述
一十四.目标信息探测
一十五.域名信息
渗透测试人员首先通过nslookup对主机的IP地址、NS记录等信息的查询,对站点进行基本的信息探测:
Default Server:查询ns记录
> set type=ns
>
Server: answer:
nameserver =
> server Server:
从时间安排上,测试人员将将尽量避免在数据高峰时进行测试,以此来减小测试工作对被测试系统带来的压力。
另外,测试人员在每次测试前也将通过电话、邮件等方式告知相关人员,以防止测试过程中出现意外情况。
技术手段
XX科技的渗透测试人员都具有丰富的经验和技能,在每一步测试前都会预估可能带来的后果,对于可能产生影响的测试(如:溢出攻击)将被记录并跳过,并在随后与客户协商决定是否进行测试及测试方法。
首先使用httprint对远程主机的WEB应用版本进行判断:
图 一十六.1httprint判断远程WEB应用版本
根据httprint输出无法判断远程主机的WEB应用。
通过nc手工提交HTTP HEAD请求,依然无法获取到目标WEB应用版本信息。
图 一十六.2使用nc提交HTTP HEAD请求
通过nc手工提交HTTP OPTIONS请求,依然无法获取到目标WEB应用版本信息。
提高安全技能
在测试人员与用户的交互过程中,可提升用户的技能。另外,通过专业的渗透测试报告,也能为用户提供当前流行安全问题的参考。
六.测试目标说明
七.测试对象
测试对象名称
相关域名、对应的URL
新XXX系统平台
证书版登录
IP地址:
八.测试账号
测试账号名称
相关详细信息
XXX系统账号
账号所有者:XX
ID:95xxPIN码:xx
图 一十八.4采用表单枚举的方式获取登录信息
在转账汇款测试时,测试人员通过上述方法同样可以绕过USBKey的使用,对行内转账、跨行汇款进行成功操作。同时,在转账汇款的测试中,测试人员发现:转账汇款的最后步骤即:“确认”操作时,由客户端向服务器端提交“签名加密代码”,该步骤存在设计缺陷,导致“签名加密代码”只要是正确途径产生的“代码”都可以进行成功交易,而与每次交易的信息无关。(威胁点,附录像)
XX科技渗透测试小组在2010年4月xx日至2010年4月xx日对XXX的新XXX系统进行了远程渗透测试工作。在此期间,XX科技渗透测试小组利用部分前沿的攻击技术;使用成熟的黑客攻击手段;集合软件测试技术(标准)对指定网络、系统做入侵攻击测试,希望由此发现网站、应用系统中存在的安全漏洞和风险点。
三.测试流程
:
图 一十五.1使用ftp客户端对目标主机进行验证
由此可确认TCP 21虽开放,但应在网络层有相关的ACL限制,因此无法从Internet对其FTP服务发起连接请求。
一十六.服务信息探测
通过端口扫描判断,远程目标主机仅有TCP 443端口(WEB应用服务)可用,因此,后继的渗透测试工作主要针对WEB应用本身及运行于WEB应用上的代码展开。
is incorrect, check the zone transfer security settings for on the DNS
server at IP address查询站点mx记录
> set type=mx
>
Server:
Address: MX preference = 5, mail exchanger = nameserver =
登录XXX系统USBKey认证可绕过漏洞
1个
转账汇款USBKey认证可绕过漏洞
1个
转账汇款数字签名设计缺陷
1个
输入验证机制设计缺陷
中等问题
1种
1个
缺少第二信道认证
轻度问题
1种
1个
信息泄露
XX科技认为被测系统当前安全状态是:远程不安全系统
二.服务概述
本次渗透测试工作是由XX科技的渗透测试小组独立完成的。
Dn信息 :xx
Sn信息 :xx
(威胁点)
图 一十八.3替换登录过程的数据信息
经上述测试发现,XXX证书版USBKey登录过程中,由XXX系统盾证书认证的相关信息SN为固定信息,任何提交者均可通过登录认证,存在“绕过登录XX新XXX系统的漏洞”(威胁点,附录像)。
同时,测试人员通过枚举表单的方式,同样可以获取登录过程中的相关认证信息,例如:dn、sn信息。
一十.参与测试人员
参测人员名单
姓名
所属部门
联系方式
姓名
所属部门
联系方式
一十一.测试环境
本次渗透测试过程中,XX科技测试小组使用过多个互联网IP地址开展的分析工作,在此通知XXX新XXX系统相关人员在对受测试的目标站点服务器、相应的网络入侵检测系统进行安全监控和日志分析时,排除以下IP地址产生的任何违规信息,以保证分析结果的准确有效。
IP地址
IP地址
IP地址
IP地址
暂无
暂无
一十二.工具及相关资源
测试工具:NetCat
工具名称
NetCat
工具用途
端口连接,数据提交
相关信息
files/
测试工具:Nmap
工具名称
Nmap
工具用途
端口扫描,服务识别,操作系统指纹识别
相关信息
测试工具:httprint
工具名称
Httprint
工具用途
通过远程http指纹判断http服务类型
图 一十六.3使用nc提交HTTP OPTIONS请求
一十七.对应用的测试
测试人员根据WASC威胁分类,对应用程序的渗透测试从五个类型的安全方面进行测试,这五个威胁类型包括:认证和授权、命令执行、逻辑攻击、客户端攻击、信息泄露。
暴力攻击
LDAP注入
认证不充分
SSI注入
会话定置
SQL注入
会话期限不充分
五.测试收益
通过实施渗透测试服务,可对贵方的信息化系统起到如下推进作用:
明确安全隐患点
渗透测试是一个从空间到面再到点的过程,测试人员模拟黑客的入侵,从外部整体切入最终落至某个威胁点并加以利用,最终对整个网络产生威胁,以此明确整体系统中的安全隐患点。
提高安全意识
如上所述,任何的隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果,因此渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险。
Address:测试区域传输
> set type=axfr
> ls -d
ls: connect: No error
*** Can't list domain : Unspecified error
The DNS server refused to transfer the zone to your computer.If this
一十八.认证和授权类
由于XXX系统的特殊性,测试人员没有对XXX系统登录账号进行暴力攻击的尝试,而是采用使用证书方式对证书的有效性进行测试。
此次测试XX新XXX系统采用硬件USBKey(即XX),首先,测试人员对正常情况使用USBKey登录XXX系统进行记录和分析。
图 一十八.1使用USBKey登录信息
缺陷利用:此阶段中,XX科技测试人员尝试由普通权限提升为管理员权限,获得对系统的完全控制权。在时间许可的情况下,必要时从第一阶段重新进行。
成果收集:此阶段中,XX科技测试人员对前期收集的各类弱点、漏洞等问题进行分类整理,集中展示。
威胁分析:此阶段中,XX科技测试人员对发现的上述问题进行威胁分类和分析其影响。
XX移动XXX系统渗透测试报告
■ 版本变更记录
时间
版本
说明
修改人
一.摘要
经XXX的授权,XX科技渗透测试小组对XXX下属XXX系统证书版进行了渗透测试。测试结果如下:
严重问题:4个
中等问题:1个
轻度问题:1个
图 一.1安全风险分布图
详细内容如下表:
发现问题详细内容
问题等级
种类
数量
名称
严重问题
4种
1个
输出报告:此阶段中,XX科技测试人员根据测试和分析的结果编写直观的渗透测试服务报告。
图 三.1渗透测试流程
四.风险管理及规避
为保障客户系统在渗透测试过程中稳定、安全的运转,我们将提供以下多种方式来进行风险规避。
对象的选择
为更大程度的避免风险的产生,渗透测试还可选择对备份系统进行测试。因为备份系统与在线系统所安装的应用和承载的数据差异较小,而其稳定性要求又比在线系统低,因此,选择对备份系统进行测试也是规避风险的一种常见方式。
Xpath注入
凭证/会话预测
操作系统命令
授权不充分
格式字符串攻击
缓冲区溢出
功能滥用
拒绝服务
可预测资源定位
路径遍历
跨站点脚本编制
目录索引
内容电子欺骗
信息泄露
图 一十七.1WASC威胁分类图
由于XXX系统区别于普通的WEB系统,因此,测试人员根据XXX系统的特点,从实际出发采用手工测试的方法,对五大类威胁中的部分内容进行测试。
由以上事实,测试人员分析认为存在两种可能:第一种可能“sigEncryptCode”信息应为每次交易相关收款账号、金额等加密信息,若为此情况,在替换后并成功交易,测试用款应该转到第一次操作的xx账号中,而目前事实是依然转移到xx的账号中。第二种可能是“sigEncryptCode”信息不包含每次交易的收款账号、金额等加密信息,完全用于数字签名。因此“sigEncryptCode”值信息在最后确认中,只要是正确途径产生均可通过签名,因此可以任意替换。
XXX系统登录名zhdh 密码xx
账号所有者:xx
ID:95xxPIN码:XX
XXX系统登录名xx密码xx
九.时间
测试工作的时间段
起始时间
2010-4-xx
结束时间
2010-4-xx
本份测试报告分析的各种安全风险,仅限定于在上述时间段内测试反馈信息的整理,不包括非上述时间段内的因系统调整、维护更新后出现的其他变化情况。
相关信息
wenku.baidu.com测试工具:Tamper IE
工具名称
TamperIE
工具用途
HTTP数据包修改、转发工具(Firefox插件)
相关信息
测试工具:安全检测工具集
工具名称
XX科技整理的安全检测工具集
工具用途
跨站及SQL注入测试、远程溢出测试、暴力破解测试、嗅探分析
相关信息
在具体的分析过程中,XX科技测试小组在微软的Windows平台上(涵盖2003/Vista),使用了IE(涵盖)和Firefox浏览器对指定的测试对象进行的分析、校验、测试。因此,漏洞分析检测到的部分安全问题可能与特定的操作系统、软件版本有具体关系,提醒后期实施漏洞修复工作的人员特别注意其中的差异。
XX科技渗透测试服务流程定义为如下阶段:
信息收集:此阶段中,XX科技测试人员进行必要的信息收集,如 IP 地址、DNS 记录、软件版本信息、IP 段、Google中的公开信息等。
渗透测试:此阶段中,XX科技测试人员根据第一阶段获得的信息对网络、系统进行渗透测试。此阶段如果成功的话,可能获得普通权限。
一十九.命令执行类
在命令执行类的测试中,测试人员主要测试了SQL注入攻击。为了避免使用模糊测试给账户及XXX系统带来不可预料的影响,测试人员采用手工测试的方法。
测试人员对XX新XXX系统中的输入参数进行了部分测试,下面以测试登录用户名选项为例进行说明。
测试人员发现当前XX新新XXX系统大部分输入都只是客户端验证而非客户端服务端双向验证。(威胁点)
监控措施
针对每一系统进行测试前,测试人员都会告知被测试系统管理员,并且在测试过程中会随时关注目标系统的负荷等信息,一旦出现任何异常,将会停止测试。
工具的使用
在使用工具测试的过程中,测试人员会通过设置线程、插件数量等参数来减少其对系统的压力,同时还会去除任何可能对目标系统带来危害的插件,如:远程溢出攻击类插件、拒绝服务攻击类插件等等。
测试人员第一次转账时使用xx的账号**7588卡号向xx账号的**9600卡号进行汇款,在最后确认过程中记录“sigEncryptCode”值和“randomTokenVerifyTag”值。
图 一十八.5记录向xx账号汇款“确认”过程中相关信息
然后,测试人员第二次转账时使用xx的账号**7588卡号向xx的账号的**2758卡号进行汇款,在最后确认过程中记录替换“sigEncryptCode”值为向xx账号汇款“确认”过程中记录的“sigEncryptCode”值。测试人员发现交易能够成功完成。
在没有插入USBKey的情况下,测试人员使用其他银行的“软证书”进行登录:
图 一十八.2使用其他银行“软证书”进行登录
通过使用TamperIE截取登录过程提交的数据包,来对登录信息进行替换。测试人员将使用其他银行“软证书”产生的信息替换为正常使用USBKey登录产生的dn和sn信息进行欺骗。Dn和sn信息如下:
测试人员通过本地浏览器截取的方式对“自定义登录名称”进行修改,成功将zhdh登录名设置为下面三种情况:
一十三.测试过程详述
一十四.目标信息探测
一十五.域名信息
渗透测试人员首先通过nslookup对主机的IP地址、NS记录等信息的查询,对站点进行基本的信息探测:
Default Server:查询ns记录
> set type=ns
>
Server: answer:
nameserver =
> server Server: