返回
51CTO下载-安全系统渗透测试报告材料实用模板

51CTO下载-安全系统渗透测试报告材料实用模板

ID:47269303

大小:477.30 KB

页数:18页

时间:2019-08-21

51CTO下载-安全系统渗透测试报告材料实用模板_第1页
51CTO下载-安全系统渗透测试报告材料实用模板_第2页
51CTO下载-安全系统渗透测试报告材料实用模板_第3页
51CTO下载-安全系统渗透测试报告材料实用模板_第4页
51CTO下载-安全系统渗透测试报告材料实用模板_第5页
资源描述:

《51CTO下载-安全系统渗透测试报告材料实用模板》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、实用文档文档编号:xxxx安全渗透测试报告文案大全实用文档文档信息项目名称xxxxxxxxxxxxxxxxxxxx安全服务项目文档名称安全渗透测试报告样版文档编号创建人aaaa公司王亮创建日期审核人审核日期接收方接收日期适用范围文档说明1)传统的安全评估,渗透测试工作很多仅仅是发现漏洞、利用漏洞获取最高权限、漏洞统计等等没有太大意义的工作。经过在实践当中的摸索,我发现利用风险图与漏洞说明细节关联的方法能非常直观的表现出客户网络的风险,而且在风险图上可以很直观的看到客户最关心的业务风险,这样就能非常有说服力,而

2、非仅仅像以前的安全评估工作大多是从漏洞数量、从漏洞危害、从获取的控制权上说明风险。2)在阅读该风险文档的时候,只要以风险图为中心去通篇阅读该文档就能非常直观的了解整体的安全风险。当然还可以考虑进一步完善,比如用另一张风险图来描述安全策略控制点等等。该文档仅仅用来提供一个思路,到06年30号为止,目前我和我的同事们、朋友们还没发现国内有谁做过或者公开过这样思路的文档。我想放出来给大家讨论讨论该方法是否可行,是否是一个不错的好思路,我希望能对将来的评估或渗透工作起到一点好的作用,同时我非常欢迎大家来信与我交流:r

3、oot@21cn.com3)该文档只是一个渗透文档,如果是做评估的话可以把攻击路径画出来,不同路径能够带来的风险,路径风险可分两大类,一种是可能的风险线是推演出来的并不一定发生或可以立即证明,第二种是通过技术手段证实的客观存在的风险线。另外还需要标明上各风险点的风险指数等参数。4)该文档只是演示思路,事实上我去掉了大量的内容并修改了很多内容。变更记录版本修订时间修订人修订类型修订章节修订内容*修订类型分为A-ADDEDM-MODIFIEDD–DELETED版权说明本文件中出现的全部内容,除另有特别注明,版权均

4、属XX(联系邮件:root@21cn.com)所有。任何个人、机构未经王亮的书面授权许可,不得以任何方式复制、破解或引用文件的任何片断。文案大全实用文档目录1评估地点12评估范围13评估技术组人员14风险报告15XXXX省XXXXXXXXX风险示意图26风险概括描述37风险细节描述47.1外部风险点(请参见风险图中的风险点1)47.1.1虚拟主机结构存在巨大的安全风险47.1.2大量的致命注入漏洞57.1.3MSSQL权限配置存在安全问题67.1.4存在大量的跨站漏洞67.2内部网风险点77.2.1核心业务的

5、致命安全问题77.2.2多台服务器IPC弱口令及MSSQL弱口令(请参见风险图中的风险点5)97.2.3其他各内网主机多个严重安全漏洞(请参见风险图中的风险点6)108安全性总结148.1.已有的安全措施分析:148.2.安全建议15文案大全实用文档1评估地点xxxxxxxxxxxxx项目组提供给aaaa公司一个独立评估分析室,并提供了内网3个上网接入点对评估目标进行远程评估,xxxxxxxxxxxxx项目组的项目组成员在aaaa公司项目组内设立了一个项目配合团队,保证项目成员都能够有条件及时的了解评估过程的

6、情况和评估进展,并对评估过程进行控制,使评估工作保证有秩序的进行。2评估范围评估范围按照资产列表(请见附件)的内容进行评估,由于本次评估主要是围绕业务安全进行评估,所以我们从资产列表中以资产重要级边高的服务器或工作机做为主要评估渗透的对象,因此本次报告反映了业务安全有关的详细安全总结报告。3评估技术组人员这次参与渗透测试服务的aaaa公司人员有一位人员,具体名单如下:姓名职务公司电话XX安全顾问4风险报告评估报告内容总共划分为两部分,一部分为防火墙DMZ区的抽样评估报告,一部分为内部网的抽样评估报告。网络系统

7、评估报告首先根据所有的安全评估报告描绘出具体的网络风险图,该风险图上可以直观的看到影响客户关键网络资产的客观存在的所有安全风险,然后再把安全报告与风险图进行关联性描述,这一部分构成了风险描述内容,用以解释风险图所描述的每一步骤的具体测试数据证实其风险图的整体可靠性。文案大全实用文档1xxxx省xxxxxxxxx风险示意图以下为渗透测试工程师通过一系列安全漏洞入侵到内网直至拿到核心数据库资料的过程示意及相关风险点示意图:(注:鼠标悬停于风险点可显示漏洞信息,按住Ctrl单击风险点可查看详细信息)内网大量主机及服

8、务器风险点5风险点6风险点4风险点3风险点2风险点1把以上所有风险点进行编号获得共6个编号,但是编号不代表实际安全评估流程的顺序:风险点1:主网站www.abc.xxx.cn存在多个安全漏洞,入侵者可获得系统完全控制权限。取得此系统控制权限后,可通过其进一步渗透进入内网,控制多台服务器或主机,拿到最核心的数据资料。风险点2:企业电子支付系统存在数据库及弱密码漏洞,可获得系统完全控制权限。此漏洞虽不能

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。