原创力文档- 1、本文档共11页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
网站渗透测试报告-模板
____________________________
电子信息学院渗透测试课程实验报告
____________________________
实验名称:________________________
实验时间:________________________
学生姓名:________________________
学生学号:________________________
目录
第1章概述3
.测试目的3
.测试范围3
.数据来源3
第2章详细测试结果4
.测试工具4
.测试步骤4
预扫描4
工具扫描4
人工检测5
其他5
.测试结果5
跨站脚本漏洞6
盲注7
管理后台10
.实验总结11
第1章概述
.测试目的
通过实施针对性的渗透测试,发现XXXX网站系统的安全漏洞,保障XXX业
务系统安全运行。
.测试范围
根据事先交流,本次测试的范围详细如下:
系统名称XXX网站
测试域名
测试时间2014年10月16日-2014年10月17日
说明本次渗透测试过程中使用的源IP可能为:合肥
.数据来源
通过漏洞扫描和手动分析获取相关数据。
第2章详细测试结果
.测试工具
根据测试的范围,本次渗透测试可能用到的相关工具列表如下:
检测工具用途和说明
WVS(WebVulnerabilityScanner)是一个自动化的Web应
WVS用程序安全测试工具,它可以通过检查SQL注入攻击漏洞、
跨站脚本攻击漏洞等来审核Web应用程序。
Linux,FreeBSD,UNIX,Windows下的网络扫描和嗅探工具
Nmap
包。
Burpsuite网络抓包工具,对网络的数据包传输进行抓取。
对工具扫描结果进行人工检测,来判定问题是否真实存在,
浏览器插件
具体方法依据实际情况而定。
系统本身具备的相关命令,或者根据实际情况采用的其他
其他
工具。
.测试步骤
预扫描
通过端口扫描或主机查看,确定主机所开放的服务。来检查是否有非正常的
服务程序在运行。
工具扫描
主要通过Nessus进行主机扫描,通过WVS进行WEB扫描。通过Nmap进行端
口扫描,得出扫描结果。三个结果进行对比分析。
人工检测
对以上扫描结果进行手动验证,判断扫描结果中的问题是否真实存在。
其他
根据现场具体情况,通过双方确认后采取相应的解决方式。
.测试结果
本次渗透测试共发现2个类型的高风险漏洞,1个类型的低风险漏洞。这些
漏洞可以直接登陆web管理后台管理员权限,同时可能引起内网渗透。获取到
的权限如下图所示:
可以获取web管理后台管理员权限,如下步骤所示:
通过SQL盲注漏洞获取管理员用户名和密码hash值,并通过暴力破解工具
破解得到root用户的密码“mylove1993.”
利用工具扫描得到管理后台url,使用root/mylove1993.登陆后台如图:
跨站脚本漏洞
风险等级:
高
漏洞描述:
攻击者可通过该漏洞构造特定带有恶意Javascript代码的URL并诱使浏览
者点击,导致浏览者执行恶意代码。
漏洞位置:
page=
文档评论(0)