密级:商密 文档编号: 项目代号: YYYY 渗 透 测 试 报 告 LOGO Xxxx(公司名称) 20XX年X月X日 保密申明 这份文件包含了来自XXXX公司(以下简称“XXXX”)的可靠、权威的信息,这些信息作为YYYY正在实施的安全服务项目实施专用,接受这份计划书表示同意对其内容保密并且未经XXXX书面请求和书面认可,不得复制、泄露或散布这份文件。如果你不是有意接受者,请注意:对这份项目实施计划书内容的任何形式的泄露、复制或散布都是被禁止的。 文档信息表 文档基本信息 项目名称 YYYY渗透测试报告 文档名称 YYYY渗透测试报告 文档版本 1.1 是否为正式交付件 是 创建日期 2019-9-16 当前修订日期 2019-9-16 保密级别 商密 文档审批要求 是 文档修订信息 版本 修正章节 日期 作者 变更记录 1.0 全部 2019-9-16 XX 创建文档 1.0 全部 2019-9-16 XX 完成文档 摘要 本文件是XXXX 信息技术有限公司受YYYY 委托所撰写的《YYYY 渗透测试报告》的报告书。这里对本次渗透测试结果所得出的整体安全情况作概括描述,文件正文为全面的分析。 本次渗透测试主要采用专家人工测试的方法,采用了部分工具作为辅助。在渗透测试中我们发现:系统应用层存在明显的安全问题,多处存在高危漏洞,高危漏洞类型主要为失效的访问控制、存储型xss。缺乏对输入输出进行的防护和过滤。 结论:整体而言,YYYY 在本次渗透测试实施期间的安全风险状况为“严重状态”。 (系统安全风险状况等级的含义及说明详见附录A) 结果统计简要汇总,如下图 0-1、表0-1。 图0-1 系统整体验证测试整改前跟踪统计图 表0-1 测试对象整改后结果统计表 序号 漏洞编号 漏洞简要描述及分析 危害 1 yyyy_20191008_用户编辑文章处存在XSS 漏洞,可能 会 导 致 管理 员 及其 他 用户的cookie 被 窃 取 ,从 而导 致高危 xss_01 恶意用户非法使用相关权限。 2 yyyy_20191008_bac_01 用户编辑文章时,未对用户的身份和权限进行确认,导致用户可以编辑任意其他用户的文章。 高危 一、 项目信息 委托单位: 单位名称 YYYY 单位地址 联系人 联系电话 邮箱 检测单位: 单位名称 XXXX 公司 单位地址 联系人 联系电话 邮箱 二、 项目概述 1. 测试目的 为了解YYYY 公司网络系统的安全现状,在许可及可控的范围内,对XXXX 应用系统开展渗透测试工作,从攻击者的角度检测和发现系统可能存在的漏洞,并...
