xx系统-安全评估报告_1

系统-安全评估报告XX中心部-信息安全xx-xx2019—xx—xx系统名称系统所属部门联系人测试部门系统所属信息高危中危低危汇总数

1、主机系统

485.

4.

86.

4.

87.

4.

88.

4.

99.

4.

1.1用途域名ip/Hosl（测试+生产环境）WEB应用系统（测试环境）WEB应用系统（生产环境）表L1-安全检测环境信息汇总表漏洞结果详细2漏洞等级高危中危低危汇总主机系统安全漏洞

2.1初测表操作系统漏洞汇总表

2.1-［漏洞描述］［修复建议］［修复详情］——（相关项目组人员需要填写）具体修复方法请参见主机报表漏洞详情［复测详情］应用系统漏洞风险等级统计（测试+生产环境漏洞）

2.2漏洞等级高危中危低危汇总漏洞数量0000表应用系统漏洞汇总表

2.2-渗透测试检查结果汇总

2.3测试项目测试内容状态描述检查域名管理账号或邮箱是否安全，域名是否可被域名安全域名管理漏洞不存在劫持对网站管理员、it技术人员、客服人员实施社会工管理安全安全管理漏洞不存在程学攻击，检查人员安全意识，看是否存在安全管理漏洞检查网站福利机制、兑换机制、套现机制等，看是疆羊毛漏洞不存在否存在媳羊毛漏洞密码找回漏洞不存在检查密码找回流程，是否存在密码找回漏洞业务安全检查多阶段功能，是否存在跳阶问题，如注册功能多步骤功能漏洞不存在需要4步骤，检查是否可以绕过其中的部分步骤，实现注册检查短信接口是否存在安全漏洞，如短信劫持、短短信接口设计缺陷不存在信轰炸、短信伪造、短信绕过等漏洞等检查验证码接口是否存在问题，如后端直接返回验验证码接口设计缺陷不存在证码、验证码复用、空验证码等检查网站注册功能是否存在漏洞，是否可以注册已注册模块设计缺陷不存在存在用户、null用户等检查网站业务处理流程，看流程中是否存在逻辑不业务逻辑漏洞不存在严谨导致的安全隐患检查网站互动模块是否存在安全漏洞，是否可通过客服、留言互动安全不存在向客服或留言板后台推送恶意代码检查支付交易功能是否存在安全漏洞，是否可通过支付交易流程漏洞不存在篡改交易金额等方式实现0元购物对网站各功能参数进行注入测试，查看是否存在sqlSQL注入漏洞不存在注入漏洞XSS跨站漏洞不存在对核心业务http请求中的各参数进行xss测试OS命令注入不存在检查网站是否存在命令注入漏洞检查用户是否能控制服务器向其他服务器发送请求SSRF漏洞不存在XXE注入漏洞不存在检查网站是否存在xml外部实体注入漏洞反序列化漏洞不存在检查网站是否存在反序列化漏洞代码执行漏洞不存在检查用户是否能操控网站服务器执行后端代码检查网站资源调用模块是否存在文件非法读取漏洞任意文件读取漏洞不存在文件包含漏洞不存在检查网站是否存在包含文件包含漏洞检查网站文件上传写入模块是否允许向服务器写入任意文件上传漏洞不存在代码漏洞Webshell文件检查文件编辑模块是否存在删除、修改任意文件的任意文件修改删除漏洞不存在问题URL跳转漏洞不存在检查网站是否存在URL跳转漏洞检查网站重要表单是否使用图形验证码、短信验证CSRF跨站请求伪造漏洞不存在等随机验证方式来避免CSRF攻击检查网站各个模块用户权限控制问题，是否存在模访问控制漏洞不存在块越权访问、访问控制缺失等问题检查用户认证方式是否安全，登陆口令是否可被爆身份认证漏洞不存在破检查网站会话管理方式是否安全，是否存在固定会会话管理漏洞不存在话、scssionid泄露、登陆超时、cookie错误使用等问题敏感注释信息或代码泄露不存在检查页面注释中是否包含敏感信息或测试代码第三方组件漏洞不存在检查网站是否使用了不安全的第三方组件检查移动端是否对请求进行防篡改签名，签名是否http请求签名绕过不存在可被绕过检查防火墙防护能力，安全策略是否生效，策略是防护策略应用防火墙规则绕过不存在台可以绕过检查是否可通过直接访问网站ip等方式绕过安全应用防火墙防护绕过不存在防护错误页面自定义不存在检查网站是否自定义错误页面控制台弱口令或漏洞不存在检查中间件控制台是否弱口令或存在漏洞中间件配置列目录及其他错误配置不存在检查中间件配置是否合规危险的http方法不存在检查中间件是否开启危险的http方法检查数据库端口是否对外开放，是否允许远程连接数据库允许远程链接不存在数据库安全检查Mongodb、Redis CouchDB等数据库是否存在数据库未授权访问不存在未授权访问漏洞数据库补丁更新不及时不存在检查数据库是否存在已知漏洞http明文传输不存在检查是否使用https加密传输https证书未校验漏洞不存在检查https证书是否校验检查网站关键参数是否使用安全的post方式传输通信安全Get方式传输关键参数不存在中间人劫持漏洞不存在检查网站数据传输是否存在中间人劫持风险检查网站目录中是否存在网站备份文件、说明文件、敏感文件泄露不存在缓存文件、测试文件等，导致网站源码、配置信息泄露后台地址泄露不存在检查网站后台路径是否进行隐藏信息泄露检查搜索引擎、网盘、社区等是否收录网站重要的Google Hacking不存在敏感数据，如用户session、网站日志、其他敏感数据检查代码管理方式是否存在信息泄露等安全隐患，Git、svn、cvs安全不存在是否在互联网上泄露源码信息非业务端口开放不存在检查接口是否开放危险的非业务端口开放检查服务器是否及时更新补丁，是否存在可利用高服务器补丁检查不存在危漏洞服务器安全SSI注入不存在检查网站是否存在SSI注入检查远程管理软件口令策略是否安全，是否存在弱远程管理口令安全不存在口令、口令爆破等问题渗透测试结果分析:

242.

4.1［漏洞级别］［相关链接］测试环境生产环境［效果及截图］［修复建议］［修复详情］——（相关项目组人员需要填写）［复测详情］

2.

4.2［漏洞级别］［相关链接］测试环境生产环境［效果及截图］［修复建议］［修复详情］——（相关项目组人员需要填写）［复测详情］

2.

4.3［漏洞级别］［相关链接］测试环境生产环境［效果及截图］［修复建议］［修复详情］——（相关项目组人员需要填写）［复测详情］

2.

4.4［漏洞级别］［相关链接］测试环境生产环境［效果及截图］［修复建议］［修复详情］——（相关项目组人员需要填写）［复测详情］

2.

4.5［漏洞级别］［相关链接］测试环境生产环境［效果及截图］［修复建议］［修复详情］——（相关项目组人员需要填写）［复测详情］。