渗透测试测试报告.pdfVIP

XX 移动 XXX 系统渗透测试报告 ■ 版本变更记录 时间 版本 说明 修改人 XXX 系统渗透测试报告 目 录 附录A 威胁程度分级 17 附录 B 相关资料 17 - 1 - © 2010 XX 科技 密级：商业机密 XXX 系统渗透测试报告 一. 摘要 经 XXX 的授权，XX 科技渗透测试小组对 XXX 下属 XXX 系统证书版进行了渗透测试。 测试结果如下：  严重问题：4 个  中等问题：1 个  轻度问题：1 个 图 1.1 安全风险分布图 详细内容如下表： 表 1.1 发现问题详细内容 问题等级 种类 数量 名称 1 个 登录 XXX 系统 USBKey 认证可绕过漏洞 1 个 转账汇款 USBKey 认证可绕过漏洞 严重问题 4 种 1 个 转账汇款数字签名设计缺陷 1 个 输入验证机制设计缺陷 中等问题 1 种 1 个 缺少第二信道认证 轻度问题 1 种 1 个 信息泄露 XX 科技认为被测系统当前安全状态是：远程不安全系统 - 2 - © 2010 XX 科技 密级：商业机密 XXX 系统渗透测试报告 二. 服务概述 本次渗透测试工作是由 XX 科技的渗透测试小组独立完成的。 XX 科技渗透测试小组在 2010 年 4 月 xx 日至2010 年 4 月 xx 日对XXX 的新XXX 系统 进行了远程渗透测试工作。在此期间，XX 科技渗透测试小组利用部分前沿的攻击技术；使用 成熟的黑客攻击手段；集合软件测试技术（标准）对指定网络、系统做入侵攻击测试，希望 由此发现网站、应用系统中存在的安全漏洞和风险点。 2.1 测试流程 XX 科技渗透测试服务流程定义为如下阶段： 信息收集：此阶段中，XX 科技测试人员进行必要的信息收集，如 IP 地址、DNS 记录、 软件版本信息、IP 段、Google 中的公开信息等。 渗透测试：此阶段中，XX 科技测试人员根据第一阶段获得的信息对网络、系统进行渗透 测试。此阶段如果成功的话，可能获得普通权限。 缺陷利用：此阶段中，XX 科技测试人员尝试由普通权限提升为管理员权限，获得对系统 的完全控制权。在时间许可的情况下，必要时从第一阶段重新进行。 成果收集：此阶段中，XX 科技测试人员对前期收集的各类弱点、漏洞等问题进行分类整 理，集中展示。 威胁分析：此阶段中，XX 科技测试人员对发现的上述问题进行威胁分类和分析其影响。 输出报告：此阶段中，XX 科技测试人员根据测试和分析的结果编写直观的渗透测试服务 报告。 信息 渗透 缺陷 成果