安全性测试与评估报告 1 客户信息 XX 2 测试过程示意图 本测试主要包括主动模式和被动模式两种
在被动模式中,测试人员尽可能的了解应用逻辑:比如用工具分析所有的HTTP请求及响应,以便测试人员掌握应用程序所有的接入点(包括HTTP头,参数,cookies等);在主动模式中,测试人员试图以黑客的身份来对应用及其系统、后台等进行渗透测试,其可能造成的影响主要是数据破坏、拒绝服务等
一般测试人员需要先熟悉目标系统,即被动模式下的测试,然后再开展进一步的分析,即主动模式下的测试
主动测试会与被测目标进行直接的数据交互,而被动测试不需要
3 测试漏洞级别说明 一个安全漏洞的风险程度受危害程度和概率的影响,我们定义了如下所示的关系: 危害程度 发生概率 高 中 低 高 高 高 中 中 高 中 低 低 中 低 低 表1 风险等级界定表 造成的影响 主动 模式 被动模式 初始化 完成 Web结构获取 权限测试 归档测试 参数分析 异常处理 注入测试 命令执行 文件包含 跨站脚本 信息窃取 备份文件 后台查找 目录列表 会话管理 信息泄漏 数据破坏 拒绝服务 信息获取 熟悉业务逻辑 Go o gle Hackin g 接口测试 认证测试 暴力破解 认证绕过 逻辑处理 越权操作 身份仿冒 日志检查 拒绝服务 上传下载 4 测试周期 本次安全测试,Sobug提供了核心白帽子XX名,测试周期X个月,对整个目标业务系统进行了详细的渗透测试
测试后的详细测试报告已经交由客户,并提供详细的顾问咨询服务,帮助客户整改
5 测试报告汇总 测试项 实际测试人天 测试结果 端口扫描 0
5 OK 自动化Web漏洞扫描工具测试 0
5 OK 文件、目录测试 0
5 OK Robots方式的敏感接口查找 1 OK 目录列表测试 1 OK 文件归档测试 1 OK 认证测试 3 OK 会话管理测试 5 OK 权