45安全测试报告.docVIP

PAGE3

xx系统

测试报告

修改记录

版本

修改日期

说明

修改人

审核人

V1.0

2019/12/30

系统安全测试报告

xxx

xxx

测试内容

测试系统

域名/网址

测试概述

【xx系统】项目安全测试任务于xx年xx月xx日完成。

测试范围

测试的整体范围以安全性测试为主，暂时不包含功能测试和性能测试。

1）安全测试：检测系统是否存在可以被攻击利用的漏洞，以及由此引起的风险大小。

测试目的

通过模拟黑客攻击的安全测试，评估目标系统是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小，为制定相应的安全措施与解决方案提供实际的依据

风险描述

安全性测试（securitytesting）：就是在软件研发和维护过程中，通过不同的测试方法，发现安全性的问题，包括下列各类问题：

? 信息泄露、破坏信息的完整性

? 拒绝服务

? 非法使用(非授权访问)、窃听

? 业务数据流分析

? 假冒、旁路控制

? 授权侵犯（内部攻击）

? 抵赖（来自用户的攻击）

? 计算机病毒、恶意软件

? 信息安全法律法规不完善

风险等级

高：漏洞明显攻击条件容易获得，获取验证权限，执行管理员操作，泄露大量的敏感信息。此等级的风险是不允许存在的。

中：通过重复攻击操作，深入挖掘漏洞信息，部分非默认的配置信息，此等级的风险是不允许存在的。

低：发信漏洞困难，泄露极少数的其他信息。此等风险等级是具体情况而定。

测试过程

测试人员根据WASC威胁分类，对应用程序从以下类型的安全方面进行测试：

用户认证安全性测试

系统中不同用户权限设置

系统中用户是否出现冲突

系统不应该因用户权限改变而造成混乱

系统用户密码是否加密、是否可复制

是否可以通过绝对途径登录系统

用户退出后是否删除其登录时的相关信息

是否可以使用退出键而不通过输入口令进入系统

网络安全性测试

防护措施是否正确装配完成，系统补丁是否正确

非授权攻击，检查防护策略的正确性

采用各种防外挂工具检查程序外挂漏洞

数据库安全性测试

数据库是否具备备份和恢复的功能

是否对数据进行加密

是否有安全日志文件

用户密码使用强口令

不同用户赋予不同权限

Web安全性测试

输入验证

审核和日志记录

异常管理

参数操作

敏感数据

配置管理

授权

发现问题与

建议

其他建议：

针对WEB平台的渗透测试及定期的评估扫描等方式，均以暴露问题为目标，属于被动的安全手段，而这些方式也大大的增加开发和维护的成本，因此建议xxx系统网站对定制开发的产品从以下几个方面进行相关的考察和关注：

制定以功能和安全兼顾的产品开发需求

将安全作为产品开发项目中的重要参考指标

产品开发过程中的人员安全意识和技能培训

完善的安全开发手册及通用的安全的代码库

在开发每阶段完成后的定期代码审计和扫描

产品整体上线前的审计工作和远程评估工作

测试结论

本次测试覆盖全面，测试数据基础合理，测试有效。SQL注入测试，已执行测试用例，问题回归后测试通过；跨目录测试，已执行测试用例，路径已加密，无漏洞，测试通过；用户权限控制和权限数据控制安全测试，已执行测试用例，问题回归后测试通过，综合以上结论得出本次测试通过。

高级的安全漏洞未有。

已发现的漏洞问题均已解决状态。

测试人员

xxx

测试日期

2020-01-29