渗透测试测试报告.docVIP

精品文档 精品文档 PAGE / NUMPAGES 精品文档 XX TITLE 移动XXX系统渗透测试报告  ■ 版本变更记录 时间 版本 说明 修改人 目 录 TOC \h \z \t 附录1〔绿盟科技〕,1,附录2〔绿盟科技〕,2,附录3〔绿盟科技〕,3,附录4〔绿盟科技〕,4,标题 1〔绿盟科技〕,1,标题 2〔绿盟科技〕,2,标题 3〔绿盟科技〕,3 附录A 威逼程度分级 17 附录B 相关资料 17  摘要 经XXX的授权，XX科技渗透测试小组对XXX下属XXX系统证书版进行了渗透测试。测试结果如下： 严峻问题：4个 中等问题：1个 轻度问题：1个 平安风险分布图 具体内容如下表： 觉察问题具体内容 问题等级 种类 数量 名称 严峻问题 4种 1个 登录XXX系统USBKey认证可绕过漏洞 1个 转账汇款USBKey认证可绕过漏洞 1个 转账汇款数字签名设计缺陷 1个 输入验证机制设计缺陷 中等问题 1种 1个 缺少第二信道认证 轻度问题 1种 1个 信息泄露 XX科技认为被测系统当前平安状态是：远程担忧全系统 效劳概述 本次渗透测试工作是由XX科技的渗透测试小组独立完成的。 XX科技渗透测试小组在2021年4月xx日至2021年4月xx日对XXX的新XXX系统进行了远程渗透测试工作。在此期间，XX科技渗透测试小组利用局部前沿的攻击技术；使用成熟的黑客攻击手段；集合软件测试技术〔标准〕对指定网络、系统做入侵攻击测试，期望由此觉察网站、应用系统中存在的平安漏洞和风险点。 测试流程 XX科技渗透测试效劳流程定义为如下阶段： 信息收集：此阶段中，XX科技测试人员进行必要的信息收集，如 IP 地址、DNS 记录、软件版本信息、IP 段、Google中的公开信息等。 渗透测试：此阶段中，XX科技测试人员依据第一阶段获得的信息对网络、系统进行渗透测试。此阶段假设成功的话，可能获得一般权限。 缺陷利用：此阶段中，XX科技测试人员尝试由一般权限提升为管理员权限，获得对系统的完全把握权。在时间许可的状况下，必要时从第一阶段重新进行。 成果收集：此阶段中，XX科技测试人员对前期收集的各类弱点、漏洞等问题进行分类整理，集中呈现。 威逼分析：此阶段中，XX科技测试人员对觉察的上述问题进行威逼分类和分析其影响。 输出报告：此阶段中，XX科技测试人员依据测试和分析的结果编写直观的渗透测试效劳报告。 信息收 信息 收集 缺陷 利用 成果 收集 威逼 分析 循 环 输出 报告 渗透 测试 渗透测试流程 风险管理及躲避 为保障客户系统在渗透测试过程中稳定、平安的运转，我们将供给以下多种方式来进行风险躲避。 对象的选择 为更大程度的避开风险的产生，渗透测试还可选择对备份系统进行测试。因为备份系统与在线系统所安装的应用和承载的数据差异较小，而其稳定性要求又比在线系统低，因此，选择对备份系统进行测试也是躲避风险的一种常见方式。 时间的把握 从时间支配上，测试人员将将尽量避开在数据顶峰时进行测试，以此来减小测试工作对被测试系统带来的压力。 另外，测试人员在每次测试前也将通过 、邮件等方式告知相关人员，以防止测试过程中消灭意外状况。 技术手段 XX科技的渗透测试人员都具有丰富的阅历和技能，在每一步测试前都会预估可能带来的后果，对于可能产生影响的测试〔如：溢出攻击〕将被记录并跳过，并在随后与客户协商打算是否进行测试及测试方法。 监控措施 针对每一系统进行测试前，测试人员都会告知被测试系统管理员，并且在测试过程中会随时关注目标系统的负荷等信息，一旦消灭任何特别，将会停止测试。 工具的使用 在使用工具测试的过程中，测试人员会通过设置线程、插件数量等参数来削减其对系统的压力，同时还会去除任何可能对目标系统带来危害的插件，如：远程溢出攻击类插件、拒绝效劳攻击类插件等等。 测试收益 通过实施渗透测试效劳，可对贵方的信息化系统起到如下推动作用： 明确平安隐患点 渗透测试是一个从空间到面再到点的过程，测试人员模拟黑客的入侵，从外部整体切入最终落至某个威逼点并加以利用，最终对整个网络产生威逼，以此明确整体系统中的平安隐患点。 提高平安意识 如上所述，任何的隐患在渗透测试效劳中都可能造成“千里之堤溃于蚁穴〞的效果，因此渗透测试效劳可有效催促管理人员杜绝任何一处小的缺陷，从而降低整体风险。 提高平安技能 在测试人员与用户的交互过程中，可提升用户的技能。另外，通过专业的渗透测试报告，也能为用户供给当前流行平安问题的参考。 测试目标说明 测试对象 测试对象名称 相关域名、对应的URL 新XXX系统平台 证书版登录 s://xx / IP地址：114.xx.xx.xx 测试账号 测试账号名