admin 管理员组文章数量: 887053
2023年12月23日发(作者:京东网上商城)
XXX项目安全测试报告模板
一、开发信息
信息
开发语言
开发框架及版本
数据库类型及版本
连接数据库框架或函数
域名
IP
Java
Apache Shiro 1.2.4
MySQL 5.8
MyBatis
SLB:100.100.100.100
描述
若没有EIP则只填SLB的IP。
备注
二、域名/IP对外开放端口信息
域名/IP
EIP:100.100.100.100
SLB:200.200.200.200
域名:
Open:22
Open:80/443
Open:80/443
端口开放信息
备注
三、敏感信息存储
数据库字段名
ID
UserName
字段描述
编号
姓名
敏感级别
不敏感
敏感
安全机制
明文存储
SM2非对称加密存储
- 1 -
数据库字段名
PhoneNumber
字段描述
手机号码
敏感级别
敏感
安全机制
SM2非对称加密存储
四、敏感信息展示
场景信息
个人信息-姓名
个人信息-手机号
敏感级别
敏感
敏感
安全机制
二次认证后明文展示
二次认证后明文展示
备注
五、漏洞扫描
5.1 测试工具
拓扑分析工具:DNS Sweep、Nslookup 等
自动化扫描工具:Nessus、AIScanner 等
端口扫描、服务检测:Nmap、SuperScan 等
嗅探分析工具:Ethereal、Entercap、Dsniff 等
Exploiting 利用工具:Metasploit Framework 等
应用缺陷分析工具:Gatling 自动化渗透测试系统、SQLMAP
等
5.2 测试结果
测试分类
Web安全
Web安全
Web安全
Web安全
- 2 -
测试项
CC 攻击注入
跨站点伪造请求(CSRF)
SQL 注入
跨站脚本攻击(XSS)
测试结果
通过
通过
通过
通过
测试分类
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
Web安全
测试项
XML 外部实体(XXE)注入
服务器端请求伪造(SSRF)
任意文件上传
任意文件下载或读取
任意目录遍历
点击劫持
.svn/.git 源代码泄露
信息泄露
命令执行注入
URL 重定向
Json 劫持
第三方组件安全
本地/远程文件包含
任意代码执行
Struts2 远程命令执行
Spring 远程命令执行
缺少“X-XSS-Protection”头
flash 跨域
HTML 表单无CSRF 保护
HTTP 明文传输
使用GET 方式进行用户名密码传输
X-Frame-Options Header 未配置
任意文件删除
测试结果
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
- 3 -
测试分类
Web安全
Web安全
Web安全
网络传输安全
网络传输安全
网络传输安全
网络传输安全
网络传输安全
业务逻辑安全
业务逻辑安全
业务逻辑安全
业务逻辑安全
业务逻辑安全
业务逻辑安全
业务逻辑安全
业务逻辑安全
业务逻辑安全
业务逻辑安全
业务逻辑安全
中间件安全
中间件安全
中间件安全
中间件安全
测试项
绝对路径泄露
未设置HTTPONLY
X-Forwarded-For 伪造
明文传输
不安全的HTTP Methods
任意文件探测
加密方式不安全
使用不安全的telnet 协议
验证码缺陷
反序列化命令执行
用户名枚举
用户密码枚举
会话标志固定攻击
平行越权访问
垂直越权访问
未授权访问
业务逻辑漏洞
短信炸弹
接口泄露
中间件配置缺陷
DOS
中间件弱口令
Jboss 反序列化命令执行
测试结果
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
- 4 -
测试分类
中间件安全
中间件安全
中间件安全
中间件安全
中间件安全
服务器安全
服务器安全
服务器安全
服务器安全
服务器安全
服务器安全
服务器安全
服务器安全
服务器安全
服务器安全
服务器安全
服务器安全
服务器安全
服务器安全
测试项
Websphere 反序列化命令执行
Jenkins 反序列命令执行
JBoss 远程代码执行
Webloigc 反序列化命令执行
测试结果
通过
通过
通过
通过
Apache Tomcat 样例目录 session 操纵 通过
文件解析代码执行
堆溢出
域传送漏洞
Redis 未授权访问
MongoDB 未授权访问
操作系统弱口令
数据库弱口令
本地权限提升
已存在的脚本木马
mssql 信息探测
windows 操作系统漏洞
数据库远程连接
权限分配不合理
端口开放
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
通过
5.3 安全风险总结
运行环境部署需要进行加固处理,Web应用访问数据库的用户需要采用最小权限原则,防止攻击者利用数据库缺陷进行权限提升等操作,同时对中间件软件,如WEBSPHERE、TOMCAT、JBOSS- 5 -
等,应进行降权运行处理,防止脚本木马直接获 得系统权限;关注各个应用系统所使用程序、组件、第三方插件等安全现状,及时更新相应的补丁版本;加强对敏感服务器、配置文件、目录的访问控制,以免敏感配置信息泄露;加强信息系统安全配置检查工作。
针对开发人员对源代码的管理,应严禁将源代码信息上传至互联网上的网络磁盘或 源代码仓库,如 GITHUB、网盘等;建议建立自运营的代码管理仓库,如有必要上 传至互联网上,应对敏感关键信息进行屏蔽,如 API 地址、IP 地址、数据库密码等,防止信息泄露;
- 6 -
版权声明:本文标题:XXX项目安全测试报告模板 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1703306516h446261.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论