XXX项目安全测试报告模板
一、开发信息
信息
描述
备注
开发语言
Java
开发框架及版本
Apache Shiro 1.2.4
数据库类型及版本
MySQL 5.8
连接数据库框架或函数
MyBatis
域名
IP
SLB:100.100.100.100
若没有EIP则只填SLB的IP。
二、域名/IP对外开放端口信息
域名/IP
端口开放信息
备注
EIP:100.100.100.100
Open:22
SLB:200.200.200.200
Open:80/443
域名:www.XXXX.XXX
Open:80/443
三、敏感信息存储
数据库字段名
字段描述
敏感级别
安全机制
ID
编号
不敏感
明文存储
UserName
姓名
敏感
SM2非对称加密存储
PhoneNumber
手机号码
敏感
SM2非对称加密存储
四、敏感信息展示
场景信息
敏感级别
安全机制
备注
个人信息-姓名
敏感
二次认证后明文展示
个人信息-手机号
敏感
二次认证后明文展示
五、漏洞扫描
5.1 测试工具
拓扑分析工具:DNS Sweep、Nslookup 等
自动化扫描工具:Nessus、AIScanner 等
端口扫描、服务检测:Nmap、SuperScan 等
嗅探分析工具:Ethereal、Entercap、Dsniff 等
Exploiting 利用工具:Metasploit Framework 等shiro安全框架
应用缺陷分析工具:Gatling 自动化渗透测试系统、SQLMAP 等
5.2 测试结果
测试分类
测试项
测试结果
Web安全
CC 攻击注入
通过
Web安全
跨站点伪造请求(CSRF)
通过
Web安全
SQL 注入
通过
Web安全
跨站脚本攻击(XSS)
通过
Web安全
XML 外部实体(XXE)注入
通过
Web安全
服务器端请求伪造(SSRF)
通过
Web安全
任意文件上传
通过
Web安全
任意文件下载或读取
通过
Web安全
任意目录遍历
通过
Web安全
点击劫持
通过
Web安全
.svn/.git 源代码泄露
通过
Web安全
信息泄露
通过
Web安全
命令执行注入
通过
Web安全
URL 重定向
通过
Web安全
Json 劫持
通过
Web安全
第三方组件安全
通过
Web安全
本地/远程文件包含
通过
Web安全
任意代码执行
通过
Web安全
Struts2 远程命令执行
通过
Web安全
Spring 远程命令执行
通过
Web安全
缺少“X-XSS-Protection”头
通过
Web安全
flash 跨域
通过
Web安全
HTML 表单无CSRF 保护
通过
Web安全
HTTP 明文传输
通过
Web安全
使用GET 方式进行用户名密码传输
通过
Web安全
X-Frame-Options Header 未配置
通过
Web安全
任意文件删除
通过
Web安全
绝对路径泄露
通过
Web安全
未设置HTTPONLY
通过
Web安全
X-Forwarded-For 伪造
通过
网络传输安全
明文传输
通过
网络传输安全
不安全的HTTP Methods
通过
网络传输安全
任意文件探测
通过
网络传输安全
加密方式不安全
通过
网络传输安全
使用不安全的telnet 协议
通过
业务逻辑安全
验证码缺陷
通过
业务逻辑安全
反序列化命令执行
通过
业务逻辑安全
用户名枚举
通过
业务逻辑安全
用户密码枚举
通过
业务逻辑安全
会话标志固定攻击
通过
业务逻辑安全
平行越权访问
通过
业务逻辑安全
垂直越权访问
通过
业务逻辑安全
未授权访问
通过
业务逻辑安全
业务逻辑漏洞
通过
业务逻辑安全
短信
通过
业务逻辑安全
接口泄露
通过
中间件安全
中间件配置缺陷
通过
中间件安全
DOS
通过
中间件安全
中间件弱口令
通过
中间件安全
Jboss 反序列化命令执行
通过
中间件安全
Websphere 反序列化命令执行
通过
中间件安全
Jenkins 反序列命令执行
通过
中间件安全
JBoss 远程代码执行
通过
中间件安全
Webloigc 反序列化命令执行
通过
中间件安全
Apache Tomcat 样例目录 session 操纵
通过
服务器安全
文件解析代码执行
通过
服务器安全
堆溢出
通过
服务器安全
域传送漏洞
通过
服务器安全
Redis 未授权访问
通过

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。