原创力文档- 0
- 0
- 约3.83千字
- 约 8页
- 2026-03-17 发布于广东
- 举报
目录
服务热线:400-PAGEiii
版权说明
本文档中的所有内容及格式的版权属于北京棉花糖公司(以下简称棉花糖)所有,未经棉花糖许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印?2024棉花糖公司
商标声明
本文档中所谈及的产品名称仅做识别之用。文档中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
棉花糖?棉花糖公司
版本变更记录
版本号
版本日期
相关组织和人员
版本描述
V1.0
2024-05-21
XXX
创建
目录
目录
TOC\o1-4\h\z\u1项目概述 1
1.1服务背景 1
1.2项目目标 1
2测试综述 2
2.1测试对象 2
2.2测试工具 2
2.3实施流程 3
2.4风险定级依据 3
3风险总结 4
4测试详情 4
4.1【高危】FTP弱口令 4
4.2【高危】Solr未授权访问 6
4.3【中危】反射性XSS 6
4.4【低危】Tomcat样例目录session操控 7
4.5【低危】不安全的http方法 7
5安全建议 8
5.1整体安全建议: 8
5.2风险的处理方法 9
xxx渗透测试报告
PAGE
PAGE24
项目概述
服务背景
xxx授权北京棉花糖网络安全技术有限公司对信息系统进行渗透测试。北京棉花糖网络安全技术有限公司的渗透测试工作按照事前制定的渗透测试实施方案进行。
本次渗透测试是由测试人员以黑盒或白盒的形式完成对指定信息系统的测试工作。渗透测试涉及的范围仅包括xxx授权指定的域名,不对任何超于授权范围内的网站域名和IP进行评估。
项目目标
对客户信息系统渗透测试的主要目标是:直观体现信息业务安全风险现状了解当前降低安全风险的初始任务;检验信息系统安全基础设施的有效性,针对渗透成果获得有效处理方案;防止系统入侵安全隐患再次被黑客利用,避免业务经济损失数量持续增加;维护客户业务公众形象与声誉,增强对客户可靠业务环境的信心;最大限度的降低客户安全运营成本,提高信息业务发展安全竞争力。
测试综述
测试对象
应用名称
域名
xxx1
测试工具
工具分类
工具名称
web安全检测工具
棉花糖漏洞扫描系统
系统安全检测工具
棉花糖漏洞扫描系统
端口扫描工具
Nmap
SQL注入检测工具
Sqlmap
数据包分析工具
Fiddler
数据包分析工具
BurpSuite
项目人员
棉花糖项目组成立安全服务小组,项目人员主要包括棉花糖项目管理、实施人员以及甲方配合人员,项目组成员如下:
序号
项目角色
姓名
联系方式
邮箱
1
项目经理
棉花糖mianhuatang@
2
安全服务工程师
/
渗透测试实施
实施流程
风险定级依据
系统安全风险状况等级说明
良好状态
信息系统处于良好运行状态,没有发现或只存在零星的低风险安全问题,此时只要保持现有安全策略就满足了本系统的安全等级要求。
预警状态
信息系统中存在一些漏洞或安全隐患,此时需根据评估中发现的网络、主机、应用和管理等方面的问题对进行有针对性的加固或改进。
严重状态
信息系统中发现存在严重漏洞或可能严重威胁到系统正常运行的安全问题,此时需要立刻采取措施,例如安装补丁或重新部署安全系统进行防护等等。
紧急状态
信息系统面临严峻的网络安全态势,对公司的重大经济利益或政治利益可能造成严重损害。此时需要与其他安全部门通力协作采取紧急防御措施。
风险总结
根据xxx授权内容,对指定域名采用黑盒渗透测试手段,展开全面的渗透测试,共发现安全漏洞x个,其中高危漏洞x个,中危漏洞x个,低危漏洞x个。经过整体安全风险分析,可以判断xxx系统的总体安全风险等级为:严重状态。
测试结果汇总:
序号
应用名称
风险说明
漏洞等级
修复情况
1
xxx
FTP弱口令
高危
/
2
xxx
Solr未授权访问
高危
/
3
xxx
反射型XSS
中危
/
4
xxx
Tomcat样例目录session操控
低危
5
xxx
不安全的http方法
低危
/
测试详情
【中危】反射性XSS
风险URL
http://xxx.xxx.xxx.xxx/cas/login?service=%22%3E%3CScRiPt%3Ealert(1)%3C/ScRiPt%3E
Payload:ScRiPtalert(1)/ScRiPt
风险描述
攻击者可以向网站注入任意的JS代码,来控制其他用户浏览
文档评论(0)