渗透性扫描测试报告.docVIP

渗透性扫描测试报告 1. 测试目标 利用现有的webtool对目标WebGoat-5.1，insecure进行善意渗透扫描测试，找出的操作漏洞所在,并提交一份详细的测试报告 2. 测试配置 测试环境： CPU Pentium（R） 2.8GHz 内存 1GB 网卡 100Mbps 操作系统 Windows XP Service Pack2 测试版本：WebTool1.0 测试对象： WebGoat-5.1：http://localhost:8080/WebGoat-5.1/attack 登陆前insecure ：http://localhost:8080/insecure/public/index.jsp 登陆后insecure：http://localhost:8080/insecure/secure/index.jsp 3. 测试WebGoat 测试步骤： 3.1 安装WebGoat： 3.1.1 到omcat的安装目录的webapps目录， WebGoat-5.1.war复制到webapps目录下 3.1.2 重启tomcat后打开浏览器，输入http://localhost:8080/WebGoat-5.1/attack WebGoat的用户登录窗口 3.1.3在登录窗口输入用户名guest 密码guest点击“确定”进入WebGoat开始页面 3.1.4点击页面下部中央的“Start WebGoat” 进入WebGoat页面 3.2打开WebTool系统，进入webtool工作界面 方式一：双击桌面WebTool图标 方式二：开始-所有程序-WebTool-WebTool 3.3 在任务名称栏输入“WebGoat1”，在URL栏输入要扫描的站点http://localhost:8080/WebGoat-5.1/attack 3.4 点击主界面右下角“高级”按钮，输入扫描参数，其中 本地代理地址：localhost 本地代理端口：8080 其他默认，点击确定应用此次配置进入主界面 3.5 点击 “下一步”，进入下一步界面 3.6 点击中间“浏览器登录”按钮，打开WebTool Browser窗口，在弹出的登录窗口中输入用户名密码“guest”，点击登录，WebTool Browser窗口出现OWASP WebGoat V5.1的页面 3.7 在OWASP WebGoat V5.1的页面下方中央点击“Start WebGoat” 进入Start WebGoat页面 3.8 在WebTool界面点击“开始扫描”按钮，进入扫描页面并且在预扫描窗口的待扫描站点显示要扫描的站点 3.9 开始预扫描：选中预扫描窗口中的待扫描站点，然后点击右侧的“开始预扫描”按钮 3.10 开始扫描：右侧显示“预扫描完成”“开始扫描”按钮显示可用，单击“开始扫描” 3.11 查看结果：当扫描完成后，点击导航栏“任务管理”按钮,进入任务管理界面,点击“查看结果文件”，就会打开结果文件result可以查看结果信息 3.12 导出结果：选中刚才完成的扫描任务，点击“导出扫描结果”，弹出导出结果保存窗口，选择保存结果文件的目地目录和文件名，点击“Save” 保存结果文件。 4. 测试WebGoat结果分析 存在漏洞页面 类型 描述 规则 http://localhost:8080/WebGoat-5.1/attack SQL Injection test 20 that the application is redirecting your request to another resource on the server form\1112_1616.xml http://localhost:8080/WebGoat-5.1/attack?Screen=50menu=50 SQL Injection test 30 that the application is redirecting your request to another resource on the server form\1112_1620.xml http://localhost:8080/WebGoat-5.1/attack?Screen=75menu=10 SQL Injection test 20 that the application is redirecting your request to another resource on the server form\1_1616.xml http://localhost:8080/WebGoat-5.1/attack?Screen=2menu=50 Cross site scripting 1