admin 管理员组

文章数量: 887053


2023年12月23日发(作者:京东网上商城)

XXX项目安全测试报告模板

一、开发信息

信息

开发语言

开发框架及版本

数据库类型及版本

连接数据库框架或函数

域名

IP

Java

Apache Shiro 1.2.4

MySQL 5.8

MyBatis

SLB:100.100.100.100

描述

若没有EIP则只填SLB的IP。

备注

二、域名/IP对外开放端口信息

域名/IP

EIP:100.100.100.100

SLB:200.200.200.200

域名:

Open:22

Open:80/443

Open:80/443

端口开放信息

备注

三、敏感信息存储

数据库字段名

ID

UserName

字段描述

编号

姓名

敏感级别

不敏感

敏感

安全机制

明文存储

SM2非对称加密存储

- 1 -

数据库字段名

PhoneNumber

字段描述

手机号码

敏感级别

敏感

安全机制

SM2非对称加密存储

四、敏感信息展示

场景信息

个人信息-姓名

个人信息-手机号

敏感级别

敏感

敏感

安全机制

二次认证后明文展示

二次认证后明文展示

备注

五、漏洞扫描

5.1 测试工具

拓扑分析工具:DNS Sweep、Nslookup 等

自动化扫描工具:Nessus、AIScanner 等

端口扫描、服务检测:Nmap、SuperScan 等

嗅探分析工具:Ethereal、Entercap、Dsniff 等

Exploiting 利用工具:Metasploit Framework 等

应用缺陷分析工具:Gatling 自动化渗透测试系统、SQLMAP

5.2 测试结果

测试分类

Web安全

Web安全

Web安全

Web安全

- 2 -

测试项

CC 攻击注入

跨站点伪造请求(CSRF)

SQL 注入

跨站脚本攻击(XSS)

测试结果

通过

通过

通过

通过

测试分类

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

Web安全

测试项

XML 外部实体(XXE)注入

服务器端请求伪造(SSRF)

任意文件上传

任意文件下载或读取

任意目录遍历

点击劫持

.svn/.git 源代码泄露

信息泄露

命令执行注入

URL 重定向

Json 劫持

第三方组件安全

本地/远程文件包含

任意代码执行

Struts2 远程命令执行

Spring 远程命令执行

缺少“X-XSS-Protection”头

flash 跨域

HTML 表单无CSRF 保护

HTTP 明文传输

使用GET 方式进行用户名密码传输

X-Frame-Options Header 未配置

任意文件删除

测试结果

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

- 3 -

测试分类

Web安全

Web安全

Web安全

网络传输安全

网络传输安全

网络传输安全

网络传输安全

网络传输安全

业务逻辑安全

业务逻辑安全

业务逻辑安全

业务逻辑安全

业务逻辑安全

业务逻辑安全

业务逻辑安全

业务逻辑安全

业务逻辑安全

业务逻辑安全

业务逻辑安全

中间件安全

中间件安全

中间件安全

中间件安全

测试项

绝对路径泄露

未设置HTTPONLY

X-Forwarded-For 伪造

明文传输

不安全的HTTP Methods

任意文件探测

加密方式不安全

使用不安全的telnet 协议

验证码缺陷

反序列化命令执行

用户名枚举

用户密码枚举

会话标志固定攻击

平行越权访问

垂直越权访问

未授权访问

业务逻辑漏洞

短信炸弹

接口泄露

中间件配置缺陷

DOS

中间件弱口令

Jboss 反序列化命令执行

测试结果

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

- 4 -

测试分类

中间件安全

中间件安全

中间件安全

中间件安全

中间件安全

服务器安全

服务器安全

服务器安全

服务器安全

服务器安全

服务器安全

服务器安全

服务器安全

服务器安全

服务器安全

服务器安全

服务器安全

服务器安全

服务器安全

测试项

Websphere 反序列化命令执行

Jenkins 反序列命令执行

JBoss 远程代码执行

Webloigc 反序列化命令执行

测试结果

通过

通过

通过

通过

Apache Tomcat 样例目录 session 操纵 通过

文件解析代码执行

堆溢出

域传送漏洞

Redis 未授权访问

MongoDB 未授权访问

操作系统弱口令

数据库弱口令

本地权限提升

已存在的脚本木马

mssql 信息探测

windows 操作系统漏洞

数据库远程连接

权限分配不合理

端口开放

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

通过

5.3 安全风险总结

运行环境部署需要进行加固处理,Web应用访问数据库的用户需要采用最小权限原则,防止攻击者利用数据库缺陷进行权限提升等操作,同时对中间件软件,如WEBSPHERE、TOMCAT、JBOSS- 5 -

等,应进行降权运行处理,防止脚本木马直接获 得系统权限;关注各个应用系统所使用程序、组件、第三方插件等安全现状,及时更新相应的补丁版本;加强对敏感服务器、配置文件、目录的访问控制,以免敏感配置信息泄露;加强信息系统安全配置检查工作。

针对开发人员对源代码的管理,应严禁将源代码信息上传至互联网上的网络磁盘或 源代码仓库,如 GITHUB、网盘等;建议建立自运营的代码管理仓库,如有必要上 传至互联网上,应对敏感关键信息进行屏蔽,如 API 地址、IP 地址、数据库密码等,防止信息泄露;

- 6 -


本文标签: 信息 数据库 进行 权限 文件