渗透测试报告模板V1.1

1、密级：商密 文档编号： 项目代号：YYYY渗透测试报告LOGOXxxx （公司名称）20XX年X月X日保密申明这份文件包含了来自XXXX公司（以下简称“XXXX” ）的可靠、权威的信息, 这些信息作为YYYY正在实施的安全服务项目实施专用，接受这份计划书表示同意 对其内容保密并且未经XXXX书面请求和书面认可，不得复制、泄露或散布这份文 件。如果你不是有意接受者，请注意：对这份项目实施计划书内容的任何形式的 泄露、复制或散布都是被禁止的。文档信息表文档基本信息项目名称YYYY渗透测试报告文档名称YYYY渗透测试报告文档版本是否为正式交付件是创建日期2019-9-16当前修订日期2019-9-1

2、6保密级别商密文档审批要求是文档修订信息版本修正章节日期作者变更记录全部2019-9-16XX创建文档全部2019-9-16XX完成文档摘要本文件是XXXX信息技术有限公司受YYYY委托所撰写的YYYY渗透测试报告 的报告书。这里对本次渗透测试结果所得出的整体安全情况作概括描述，文件正文为 全面的分析。本次渗透测试主要采用专家人工测试的方法，采用了部分工具作为辅助。在渗透 测试中我们发现：系统应用层存在明显的安全问题，多处存在高危漏洞，高危漏洞类 型主要为失效的访问控制、存储型xss。缺乏对输入输出进行的防护和过滤。结论：整体而言，YYYY在本次渗透测试实施期间的安全风险状况为“工（系统安全风

3、险状况等级的含义及说明详见附录A）结果统计简要汇总，如下图0-1、表0-1。系统整体验证测试整改前跟踪统计图35图0T系统整体验证测试整改前跟踪统计图 表0T测试对象整改后结果统计表序号漏洞编号漏洞简要描述及分析危害1yyyy_xss_oi用户编辑文章处存在XSS漏洞，可能会导致管 理员及其他用户的cookie被窃取，从而导致高危恶意用户非法使用相关权限。2yyyy_bac_oi用户编辑文章时，未对用户的身份和权限进行 确认，导致用户可以编辑任意其他用户的文高危一、项目信息委托单位：单位名称YYYY单位地址联系人联系电话邮箱检测单位:单位名称XXXX公司单位地址联系人联系电话邮箱二、项目概述1

4、 .测试目的为了解YYYY公司网络系统的安全现状，在许可及可控的范围内，对XXXX应用 系统开展渗透测试工作，从攻击者的角度检测和发现系统可能存在的漏洞，并针对发 现的漏洞提供加固建议。2 .测试范围渗透测试的范围仅限于经过YYYY公司以书面形式进行授权的服务器、网络设置 被和应用系统。XXXX承诺不会对授权范围之外的网络和主机设备以及数据进行测试、 模拟攻击。1）测试范围表应用系统IP或域名门户网站2）网络拓扑图及接入点无3）接入点JA：公司内网接入JB：互联网接入注，如果从JB无法获取到该信息系统相关漏洞，则漏洞的描述接入点不标注JB, 相关漏洞风险等级可进行适当降级处理（公司员工需有安全

5、意识或接受过安全意识 培训，公司电脑配备杀软且内部网络未发生过安全事故）。三、渗透测试说明1 .测试工具sqlmap> hackbar. burpsuite. AWVSo2 .测试账号账号名称相关详细信息TEST001密码：PassWOrdTestOOlID： 1031绑定手机号：IxxxxxxxxxxTEST002密码：PassW0rdTest002ID： 1032绑定手机号：Ixxxxxxxxxx3 .测试前后系统状态由于采用可控的、非破坏性的渗透测试，不会对被评估的系统造成影响。在渗透 测试结束后，系统将基本保持一致。四、渗透测试漏洞归纳验证测试时模拟来自内外网的用户，针对漏洞扫描

6、工具发现的漏洞，利用工具或 手工方式对结果进行验证，试图非授权访问数据库内容，获得操作系统权限等操作。 主要针对主机、数据库及应用等可能存在的风险进行安全性测试，测试内容及漏洞详 情等如下。1. YYYY网站1)存储型XSS危害等级：高漏洞编号： yyyy_xss_01漏洞 URL/IP:Xxxxxxxx接入点：JB漏洞描述：XSS存储型攻击，恶意代码被保存到目标网站的服务器中，这种攻击具有较强的 稳定性和持久性，比较常见场景是在博客，论坛、OA、CRM等社交网站上，比如：某 CRM系统的客户投诉功能上存在XSS存储型漏洞，黑客提交了恶意攻击代码，当系统 管理员查看投诉信息时恶意代码执行，窃取

7、了客户的资料，然而管理员毫不知情，这 就是典型的XSS存储型攻击。漏洞详情：漏洞位于普通用户权限编辑发布文章处。发布的文章是富文本文章，允许img等 标签，可以尝试触发img标签的事件。服务端对用户发布的内容数据，针对XSS进 行了一定限制，但是限制上存在绕过手段。如将敏感函数alert部分字符进行unicode 编码后(u00611ert)即可绕过。测试流程如下:（1）使用普通用户登录系统，进行文章编辑发布。（2）在发布时抓取数据包，对content字段进行修改，使用img标签的onerror 事件触发XSS,同时修改alert为（u00611ert）进行绕过。（3）测试完整payload如

8、下:此处展示测试截图图4-1（4）测试结果如图4-2所示：此处展示测试截图图4-2修复建议：（1）在表单提交或者url参数传递前，对需要的参数进行严格过滤，检查用户 输入的内容中是否有非法内容。（2）用户提交的数据进行输出时，要进行相应的编码。（3）过滤时要考虑编码转换等方式存在绕过的可能。2）水平权限越权危害等级：高漏洞编号： yyyy_ bac 01漏洞 URI/IP:Xxxxxxxx接入点：JB漏洞描述：攻击者请求操作（增删改查）某条数据时，web应用程序没有判断该条数据的所 属人，或者在判断数据所属人时直接从用户提交的表单参数中获取，例如用户id等。漏洞详情：测试中，用户可以自行修改参

9、数，操作获取不属于自己的数据。测试流程如下：（1）在测试中使用了两个用户，TEST001与TEST002。（2）首先登陆TEST002,进入修改编辑文章界面。然后将URL中的id参数修改 为TEST001的文章id,然后点击确认发布，即可修改TEST001的文章。此处展示测试截图图4-3（3）尝试修改为其他任意文章的id参数，可以编辑修改文章。此处展示测试截图图4-4修复建议：（1）永远不要完全相信来自用户的输入，对于可控参数进行严格的检查与过滤（2）执行关键操作前必须验证用户身份（3）前后端同时校验用户身份及权限（4）调用功能前验证用户是否有权限调用相关功能五、安全状况网站总体安全风险状况：总体风险描述：通过本次规范性测试可以看到，网站具有一定安全防护，对XSS和SQL注入进 行了一定限制。但是对于XSS的过滤不够严格，在恶意用户进行编码构造后依旧可 以出发XSS对于用户权限的确认存在问题，。因此，我们认为在渗透测试期间，此网 站的总体安全状态为高危状态。附录A.安全风险状况等级说明安全风险状况说明1良好状态信息系统处于良好运行状态，没有发现或只存在零星的低风险安全 问题，此时只要保持现有安全策略就满足了本系统的安全等级要求。2预警状态信息系统中存在一些漏洞或安全隐患，此时需根据评估中发现的网 络、主机、应用和管