渗透检测测验检测测验报告

渗透检测测验检测测验报告

ID:34807711

大小:198.50 KB

页数:19页

时间:2019-03-11

渗透检测测验检测测验报告_第1页
渗透检测测验检测测验报告_第2页
渗透检测测验检测测验报告_第3页
渗透检测测验检测测验报告_第4页
渗透检测测验检测测验报告_第5页
资源描述:

《渗透检测测验检测测验报告》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、XX移动XXX系统渗透测试报告■版本变更记录时间版本说明修改人XXX系统渗透测试报告目录附录A威胁程度分级17附录B相关资料17一.摘要经XXX的授权,XX科技渗透测试小组对XXX下属XXX系统证书版进行了渗透测试。测试结果如下:þ严重问题:4个þ中等问题:1个þ轻度问题:1个图1.1安全风险分布图详细内容如下表:表1.1发现问题详细内容问题等级种类数量名称严重问题4种1个登录XXX系统USBKey认证可绕过漏洞1个转账汇款USBKey认证可绕过漏洞-17-©2010XX科技密级:商业机密XXX系统渗透测试报告1个转账汇款数字签名设计缺陷1个输入验证机制设

2、计缺陷中等问题1种1个缺少第二信道认证轻度问题1种1个信息泄露XX科技认为被测系统当前安全状态是:远程不安全系统一.服务概述本次渗透测试工作是由XX科技的渗透测试小组独立完成的。XX科技渗透测试小组在2010年4月xx日至2010年4月xx日对XXX的新XXX系统进行了远程渗透测试工作。在此期间,XX科技渗透测试小组利用部分前沿的攻击技术;使用成熟的黑客攻击手段;集合软件测试技术(标准)对指定网络、系统做入侵攻击测试,希望由此发现网站、应用系统中存在的安全漏洞和风险点。矚慫润厲钐瘗睞枥庑赖。1.1测试流程XX科技渗透测试服务流程定义为如下阶段:信息收集:此

3、阶段中,XX科技测试人员进行必要的信息收集,如IP地址、DNS记录、软件版本信息、IP段、Google中的公开信息等。聞創沟燴鐺險爱氇谴净。渗透测试:此阶段中,XX科技测试人员根据第一阶段获得的信息对网络、系统进行渗透测试。此阶段如果成功的话,可能获得普通权限。残骛楼諍锩瀨濟溆塹籟。缺陷利用:此阶段中,XX科技测试人员尝试由普通权限提升为管理员权限,获得对系统的完全控制权。在时间许可的情况下,必要时从第一阶段重新进行。酽锕极額閉镇桧猪訣锥。成果收集:此阶段中,XX科技测试人员对前期收集的各类弱点、漏洞等问题进行分类整理,集中展示。威胁分析:此阶段中,XX科

4、技测试人员对发现的上述问题进行威胁分类和分析其影响。输出报告:此阶段中,XX科技测试人员根据测试和分析的结果编写直观的渗透测试服务报告。信息收集缺陷利用成果收集威胁分析循环输出报告渗透测试彈贸摄尔霁毙攬砖卤庑。-17-©2010XX科技密级:商业机密XXX系统渗透测试报告图1.1渗透测试流程1.2风险管理及规避为保障客户系统在渗透测试过程中稳定、安全的运转,我们将提供以下多种方式来进行风险规避。对象的选择为更大程度的避免风险的产生,渗透测试还可选择对备份系统进行测试。因为备份系统与在线系统所安装的应用和承载的数据差异较小,而其稳定性要求又比在线系统低,因此

5、,选择对备份系统进行测试也是规避风险的一种常见方式。謀荞抟箧飆鐸怼类蒋薔。时间的控制从时间安排上,测试人员将将尽量避免在数据高峰时进行测试,以此来减小测试工作对被测试系统带来的压力。另外,测试人员在每次测试前也将通过电话、邮件等方式告知相关人员,以防止测试过程中出现意外情况。技术手段XX科技的渗透测试人员都具有丰富的经验和技能,在每一步测试前都会预估可能带来的后果,对于可能产生影响的测试(如:溢出攻击)将被记录并跳过,并在随后与客户协商决定是否进行测试及测试方法。厦礴恳蹒骈時盡继價骚。监控措施针对每一系统进行测试前,测试人员都会告知被测试系统管理员,并且在

6、测试过程中会随时关注目标系统的负荷等信息,一旦出现任何异常,将会停止测试。茕桢广鳓鯡选块网羈泪。工具的使用在使用工具测试的过程中,测试人员会通过设置线程、插件数量等参数来减少其对系统的压力,同时还会去除任何可能对目标系统带来危害的插件,如:远程溢出攻击类插件、拒绝服务攻击类插件等等。鹅娅尽損鹌惨歷茏鴛賴。1.3测试收益通过实施渗透测试服务,可对贵方的信息化系统起到如下推进作用:明确安全隐患点渗透测试是一个从空间到面再到点的过程,测试人员模拟黑客的入侵,从外部整体切入最终落至某个威胁点并加以利用,最终对整个网络产生威胁,以此明确整体系统中的安全隐患点。籟丛妈

7、羥为贍偾蛏练淨。-17-©2010XX科技密级:商业机密XXX系统渗透测试报告提高安全意识如上所述,任何的隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果,因此渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险。預頌圣鉉儐歲龈讶骅籴。提高安全技能在测试人员与用户的交互过程中,可提升用户的技能。另外,通过专业的渗透测试报告,也能为用户提供当前流行安全问题的参考。渗釤呛俨匀谔鱉调硯錦。一.测试目标说明1.1测试对象测试对象名称相关域名、对应的URL新XXX系统平台证书版登录https://xx.com/IP地址:114.xx.xx.x

8、x1.2测试账号测试账号名称相关详细信息XXX系统账号账号所有者:

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。