安全性测试与评估报告 1 客户信息 XX 2 测试过程示意图 本测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑:比如用工具分析所有的HTTP请求及响应,以便测试人员掌握应用程序所有的接入点(包括HTTP头,参数,cookies等);在主动模式中,测试人员试图以黑客的身份来对应用及其系统、后台等进行渗透测试,其可能造成的影响主要是数据破坏、拒绝服务等。一般测试人员需要先熟悉目标系统,即被动模式下的测试,然后再开展进一步的分析,即主动模式下的测试。主动测试会与被测目标进行直接的数据交互,而被动测试不需要。 3 测试漏洞级别说明 一个安全漏洞的风险程度受危害程度和概率的影响,我们定义了如下所示的关系: 危害程度 发生概率 高 中 低 高 高 高 中 中 高 中 低 低 中 低 低 表1 风险等级界定表 造成的影响 主动 模式 被动模式 初始化 完成 Web结构获取 权限测试 归档测试 参数分析 异常处理 注入测试 命令执行 文件包含 跨站脚本 信息窃取 备份文件 后台查找 目录列表 会话管理 信息泄漏 数据破坏 拒绝服务 信息获取 熟悉业务逻辑 Go o gle Hackin g 接口测试 认证测试 暴力破解 认证绕过 逻辑处理 越权操作 身份仿冒 日志检查 拒绝服务 上传下载 4 测试周期 本次安全测试,Sobug提供了核心白帽子XX名,测试周期X个月,对整个目标业务系统进行了详细的渗透测试。测试后的详细测试报告已经交由客户,并提供详细的顾问咨询服务,帮助客户整改。 5 测试报告汇总 测试项 实际测试人天 测试结果 端口扫描 0.5 OK 自动化Web漏洞扫描工具测试 0.5 OK 文件、目录测试 0.5 OK Robots方式的敏感接口查找 1 OK 目录列表测试 1 OK 文件归档测试 1 OK 认证测试 3 OK 会话管理测试 5 OK 权限管理测试 5 OK 文件上传下载测试 1 OK 信息泄漏测试 5 OK 输入数据测试 2 OK 跨站脚本测试 5 OK 6 关于Sobug Sobug白帽众测是以众多安全专家的测试结果为导向的技术众包平台,帮助厂商在产品上线前对安全问题进行全面,有效的审计,同样也适用于上线后对安全问题的周期性巡检。 Sobug安全测试优势: •安全的授 权,平台双 方均 在授 权下才 能 完 成 此 测试过 程 ,厂商需 要 签 订 合 同,安全专家需 要 实名。 •行 为 的 审 计 , 对 于 保 密 性 要 求 较 ...