XXX项目安全测试报告模板
一、开发信息
信息 | 描述 | 备注 |
开发语言 | Java | |
开发框架及版本 | Apache Shiro 1.2.4 | |
数据库类型及版本 | MySQL 5.8 | |
连接数据库框架或函数 | MyBatis | |
域名 | ||
IP | SLB:100.100.100.100 | 若没有EIP则只填SLB的IP。 |
二、域名/IP对外开放端口信息
域名/IP | 端口开放信息 | 备注 |
EIP:100.100.100.100 | Open:22 | |
SLB:200.200.200.200 | Open:80/443 | |
域名:www.XXXX.XXX | Open:80/443 | |
三、敏感信息存储
数据库字段名 | 字段描述 | 敏感级别 | 安全机制 |
ID | 编号 | 不敏感 | 明文存储 |
UserName | 姓名 | 敏感 | SM2非对称加密存储 |
PhoneNumber | 手机号码 | 敏感 | SM2非对称加密存储 |
四、敏感信息展示
场景信息 | 敏感级别 | 安全机制 | 备注 |
个人信息-姓名 | 敏感 | 二次认证后明文展示 | |
个人信息-手机号 | 敏感 | 二次认证后明文展示 | |
五、漏洞扫描
5.1 测试工具
拓扑分析工具:DNS Sweep、Nslookup 等
自动化扫描工具:Nessus、AIScanner 等
端口扫描、服务检测:Nmap、SuperScan 等
嗅探分析工具:Ethereal、Entercap、Dsniff 等
Exploiting 利用工具:Metasploit Framework 等shiro安全框架
应用缺陷分析工具:Gatling 自动化渗透测试系统、SQLMAP 等
5.2 测试结果
测试分类 | 测试项 | 测试结果 |
Web安全 | CC 攻击注入 | 通过 |
Web安全 | 跨站点伪造请求(CSRF) | 通过 |
Web安全 | SQL 注入 | 通过 |
Web安全 | 跨站脚本攻击(XSS) | 通过 |
Web安全 | XML 外部实体(XXE)注入 | 通过 |
Web安全 | 服务器端请求伪造(SSRF) | 通过 |
Web安全 | 任意文件上传 | 通过 |
Web安全 | 任意文件下载或读取 | 通过 |
Web安全 | 任意目录遍历 | 通过 |
Web安全 | 点击劫持 | 通过 |
Web安全 | .svn/.git 源代码泄露 | 通过 |
Web安全 | 信息泄露 | 通过 |
Web安全 | 命令执行注入 | 通过 |
Web安全 | URL 重定向 | 通过 |
Web安全 | Json 劫持 | 通过 |
Web安全 | 第三方组件安全 | 通过 |
Web安全 | 本地/远程文件包含 | 通过 |
Web安全 | 任意代码执行 | 通过 |
Web安全 | Struts2 远程命令执行 | 通过 |
Web安全 | Spring 远程命令执行 | 通过 |
Web安全 | 缺少“X-XSS-Protection”头 | 通过 |
Web安全 | flash 跨域 | 通过 |
Web安全 | HTML 表单无CSRF 保护 | 通过 |
Web安全 | HTTP 明文传输 | 通过 |
Web安全 | 使用GET 方式进行用户名密码传输 | 通过 |
Web安全 | X-Frame-Options Header 未配置 | 通过 |
Web安全 | 任意文件删除 | 通过 |
Web安全 | 绝对路径泄露 | 通过 |
Web安全 | 未设置HTTPONLY | 通过 |
Web安全 | X-Forwarded-For 伪造 | 通过 |
网络传输安全 | 明文传输 | 通过 |
网络传输安全 | 不安全的HTTP Methods | 通过 |
网络传输安全 | 任意文件探测 | 通过 |
网络传输安全 | 加密方式不安全 | 通过 |
网络传输安全 | 使用不安全的telnet 协议 | 通过 |
业务逻辑安全 | 验证码缺陷 | 通过 |
业务逻辑安全 | 反序列化命令执行 | 通过 |
业务逻辑安全 | 用户名枚举 | 通过 |
业务逻辑安全 | 用户密码枚举 | 通过 |
业务逻辑安全 | 会话标志固定攻击 | 通过 |
业务逻辑安全 | 平行越权访问 | 通过 |
业务逻辑安全 | 垂直越权访问 | 通过 |
业务逻辑安全 | 未授权访问 | 通过 |
业务逻辑安全 | 业务逻辑漏洞 | 通过 |
业务逻辑安全 | 短信 | 通过 |
业务逻辑安全 | 接口泄露 | 通过 |
中间件安全 | 中间件配置缺陷 | 通过 |
中间件安全 | DOS | 通过 |
中间件安全 | 中间件弱口令 | 通过 |
中间件安全 | Jboss 反序列化命令执行 | 通过 |
中间件安全 | Websphere 反序列化命令执行 | 通过 |
中间件安全 | Jenkins 反序列命令执行 | 通过 |
中间件安全 | JBoss 远程代码执行 | 通过 |
中间件安全 | Webloigc 反序列化命令执行 | 通过 |
中间件安全 | Apache Tomcat 样例目录 session 操纵 | 通过 |
服务器安全 | 文件解析代码执行 | 通过 |
服务器安全 | 堆溢出 | 通过 |
服务器安全 | 域传送漏洞 | 通过 |
服务器安全 | Redis 未授权访问 | 通过 |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论