信息系统安全测试报告模板

页工作内容本项目的安全测试对象为XXX，安全测试可以帮助其对目前所有系统、应用的缺陷有相对直观的认识和了解。安全测试是以第三方角度对用户站点安全性进行检查，可以让用户了解从外部网络漏洞被利用的情况。安全测试的作用在于解释所用工具在探查过程中所得到的结果并把得到的结果与已有的安全措施进行比对。安全测试原理安全测试主要依据CVE（CommonVulnerabilities&Exposures公共漏洞和暴露）已经发现的安全漏洞以及隐患漏洞，模拟入侵者的攻击方法对应用系统、服务器系统和网络设备进行非破坏性质的攻击性测试。安全测试的必要性安全测试利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师对网络中的核心服务器及重要网络设备，包括服务器、网络设备、防火墙等进行非破坏性质的模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。人工测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题；安全测试需要投入的人力资源较大、对测试者的专业技能要求很高（测试报告的价值直接依赖于测试者的专业技能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。由于采用可控制的、非破坏性质的安全测试，因此不会对被评估的客户信息系统造成严重的影响。在安全测试结束后，客户信息系统将基本保持一致。安全测试的工作范围本项目的检测对象如下表：名称站点目录测试工作安排名称测试安排测试时间测试人员测试环境测试设备测试软件burpsuite、wireshark、Appscan、sqlmap、nmap、python、metasploit、nexpose、kali、IDApro、Ollydbg等安全测试流程信息收集分析信息收集是每一步安全测试的前提，通过信息收集可以有针对性地制定模拟攻击测试计划，提高模拟攻击的成功率，同时可以有效的降低攻击测试对系统正常运行造成的不利影响。信息收集的方法包括PingSweep、DNSSweep、DNSzonetransfer、操作系统指纹判别、应用判别、账号扫描、配置判别等。信息收集常用的工具包括商业网络安全漏洞扫描软件，免费安全测试工具（如NMAP、NESSUS等）。操作系统内置的许多功能（如TELNET、NSLOOKUP、IE等）也可以作为信息收集的有效工具。取得权限、提升权限通过初步的信息收集分析，存在两种可能性，一种是目标系统存在重大的安全弱点，测试可以直接控制目标系统；另一种是目标系统不存在重大的安全弱点，但是可以获得普通用户权限，这时可以通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机资料信息，寻求本地权限提升的机会。这样不停的进行信息收集分析、权限提升的结果形成了整个的安全测试过程。生成报告安全测试之后，针对检测结果提供详细测试报告。报告详细的说明安全测试过程中的得到的数据和信息、并且将会详细的纪录整个安全测试的全部操作。安全测试的技术手段安全测试流程图：安全测试流程图信息的收集和分析伴随着每一个安全测试步骤，每一个步骤又有三个组成部分：操作、响应和结果分析。网络信息搜集使用PINGSweep、DNSSweep、SNMPSweep、Tracert的手段对主机存活情况、DNS、网络链路等进行信息收集。可以对目标的网络情况、拓扑情况、应用情况有一个大致的了解，为更深层次的安全测试提供资料。端口扫描通过对目标地址的TCP/UDP端口扫描，确定其所开放的服务的数量和类型，这是所有安全测试的基础。通过端口扫描，可以基本确定一个系统的基本信息，结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点，为进行深层次的检测提供依据。远程溢出这是当前出现的频率最高、威胁最严重，同时又是最容易实现的一种攻击方法，一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。对于在防火墙内的系统存在同样的风险，只要对跨接防火墙内外的一台主机攻击成功，那么通过这台主机对防火墙内的主机进行攻击就易如反掌。口令猜测口令猜测也是一种出现概率很高的风险，几乎不需要任何攻击工具，利用一个简单的暴力攻击程序和一个比较完善的字典，就可以猜测口令。对一个系统账号的猜测通常包括两个方面：首先是对用户名的猜测，其次是对密码的猜测。本地溢出所谓本地溢出是指在拥有了一个普通用户的账号之后，通过一段特殊的指令代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户的密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。多年的实践证明，在经过前期的口令猜测阶段获取的普通账号登录系统之后，对系统实施本地溢出攻击，就能获取不进行主动安全防御的系统的控制管理权限。脚本测试脚本测试专门针对Web服务器进行。根据最新的技术统计，脚本安全弱点为当前Web系统尤其存在动态内容的Web系统存在的主要比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限，重则将有可能取得系统的控制权限。因此对于含有动态页面的Web系统，脚本测试将是必不可少的一个环节。

信息系统安全测试项配置管理与潜在威胁测试编号测试项目本次是否测试测试定性Web_Conf_01明文信息传输漏洞√是□否中危Web_Conf_02敏感信息泄露√是□否中危Web_Conf_03默认或可猜解用户账户√是□否中危Web_Conf_04会话重放攻击测试√是□否低危Web_Conf_05验证码缺陷√是□否中危Web_Conf_06http方法测试√是□否低危会话管理与潜在威胁测试编号测试项目本次是否测试测试定性Web_Sess_01不安全的cookie传输√是□否中危Web_Sess_02Csrf漏洞测试√是□否中危Web_Sess_03会话设计缺陷√是□否中危Web_Sess_04会话定置测试√是□否低危用户权限与潜在威胁测试编号测试项目本次是否测试测试定性Web_Auth_01用户枚举测试√是□否中危Web_Auth_02路径遍历测试√是□否中危Web_Auth_03未授权访问漏洞√是□否中危Web_Auth_04越权访问漏洞√是□否中危Web_Auth_05任意文件读取√是□否中危业务逻辑与潜在威胁测试编号测试项目本次是否测试测试定性Web_Serv_01设计缺陷/逻辑错误√是□否中危Web页面与潜在威胁测试编号测试项目本次是否测试测试定性Web_Risk_01文件上传漏洞√是□否高危Web_Risk_02SQL注入测试√是□否高危Web_Risk_03XML实体攻击√是□否高危Web_Risk_04Xss跨站脚本攻击√是□否高危Web_Risk_05命令注入测试√是□否高危基础架构/中间件与潜在威胁测试编号测试项目本次是否测试测试定性Web_Fram_01Java反序列化漏洞√是□否高危Web_Fram_02Struts命令执行漏洞√是□否高危Web_Fram_03常见中间件漏洞√是□否中危Web_Fram_04常见CMS漏洞√是□否中危Web_Fram_05慢速dos攻击漏洞√是□否中危Web_Fram_06缓冲区溢出漏洞√是□否中危系统部署/操作系统与潜在威胁测试编号测试项目本次是否测试测试定性Web_Depy_01端口开放测试√是□否低危Web_Depy_02域名相关测试√是□否中危Web_Depy_03其他测试√是□否高危

安全风险分析安全风险项 会话可进行重放测试编号测试项目是否通过测试定性Web_Conf_04会话重放测试□是×否低危测试过程风险分析加固建议已加固风险项SSLv3-Poodle攻击漏洞测试编号测试项目是否通过测试定性Web_Depy_03支持SSLV3协议√是□否中危测试过程风险分析加固复测 测试通过项暴力破解测试测试编号测试项目是否通过测试定性Web_Conf_04暴力破解测试√是□否中危测试目的能否通过暴力破解的方式获取当前账户或密码测试步骤通过拦截登录的数据包请求，通过对用户名、密码加载字典的方式，对登录数据包进行重放。经过三次重放，系统将用户状态锁定，无法继续进行暴力破解。测试结果未检测到该项风险。文件上传漏洞测试测试编号测试项目是否通过测试定性Web_Risk_01文件上传漏洞√是□否高危测试目的检测能否上传Web脚本，服务器的Web容器解析并且执行了用户上传的脚本，导致代码被执行。测试步骤找到系统存在文件上传模块，上传扩展名为JSP的脚本文件，系统提示禁止上传。修改上传数据包，将扩展名修改为。Xls系统提示文件解析失败。可以看出系统不能解析任意脚本文件，不存在任意文件上传漏洞测试结果未检测到该项风险。测试不适用项测试编号测试项目不适用说明Web_Risk_01文件上传漏洞系统不包含文件上传模块

测试结论本次测试主要以手工测试为主，软件扫描为辅，测试过程中未给系统造成安全威胁。测试发现XXX系统已经采用了有效的安全防护措施，在外网边界部署了防火墙、waf等安全设备，在数据防护方面将用户数据放在内网并关闭了服务器上相关非安全服务与端口，在运维管理方面定期对应用代码、服务器进行定期巡检并对出现的问题做及时修复更新。（可选描述）系统已经采用了有效的安全防护措施，可有效防范SQL注入、跨站脚本编制、敏感信息泄露、源代码泄露等安全漏洞；系统通过账号、密码等方式进行用户身份鉴别，启用统一的登录服务；系统将重要安全相关事件记录到日志中，保障日志的可追溯性；系统在数据传输过程进行加密处理，保障数据传输的安全性。但XXX系统在代码设计方面仍然存在部分安全问题，给XXX系统造成一定的安全威胁，具体问题如下：编号安全风险数量风险级别