系統(tǒng)安全測試報告模版V0_第1頁
系統(tǒng)安全測試報告模版V0_第2頁
系統(tǒng)安全測試報告模版V0_第3頁
系統(tǒng)安全測試報告模版V0_第4頁
系統(tǒng)安全測試報告模版V0_第5頁
已閱讀5頁,還剩3頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、國信嘉寧數(shù)據(jù)技術(shù)有限公司XXX系統(tǒng)安全測試報告創(chuàng)建人:XXX創(chuàng)建時間:XXXX 年 XX 月 XX確認(rèn)時間:當(dāng)前版本:VI. 0文檔變更記錄文件狀態(tài):V 草稿正式發(fā)布廢止文檔編號:P01當(dāng)前版本:VI. 0編制:XXX審核人:發(fā)布日期:版本編號修訂類型修訂章節(jié)修訂內(nèi)容編制人/日期審核人/日期VI. 0A全文初稿xxx/160808*修訂類型分為:A ADDED Ml- MODIFIED D DELETED目錄1. 簡介41.1 編寫目的41.2. 項目背景41.3. 系統(tǒng)簡介41.4. 術(shù)語定義和縮寫詞41.5. 參考資料42. 測試概要52.1. 測試范圍52.2. 測試方法和測試工具52.

2、3. 測試環(huán)境與配置83. 測試組織83.1. 測試人員83.2. 測試時間細(xì)分及投入人力 84. 測試結(jié)果及缺陷分析 94.1. 測試執(zhí)行情況統(tǒng)計分析94.2. 遺留缺陷列表95. 測試結(jié)論96. 測試建議101.簡介1.1. 編寫目的描述編寫本測試報告需要說明的內(nèi)容。如:本報告為XX項目的安全測試報告,目的在考察系統(tǒng)安全性、測試結(jié)論以及測試建議。1.2. 項目背景對項目背景進(jìn)行簡要說明,可從需求文檔或測試方案中獲取。1.3. 系統(tǒng)簡介對所測試項目進(jìn)行簡要的介紹,如果有設(shè)計說明書可以參考設(shè)計說明書,最好添加上架構(gòu)圖 和拓?fù)鋱D。1.4. 術(shù)語定義和縮寫詞列出設(shè)計本系統(tǒng)/項目的專用術(shù)語和縮寫語約

3、定。對于技術(shù)相關(guān)的名詞和與多義詞一定要注明 清楚,以便閱讀時不會產(chǎn)生歧義。如:漏洞掃描:SQL注入:1.5. 參考資料請列出編寫測試報告時所參考的資料、文檔。需求、設(shè)計、測試案例、手冊以及其他項目文檔都是范圍內(nèi)可參考的資料。測試使用的國家標(biāo)準(zhǔn)、行業(yè)指標(biāo)、公司規(guī)范和質(zhì)量手冊等等。2.測試概要 測試的概要介紹,包括測試范圍、測試方法、測試工具、測試環(huán)境等,主要是測試情況簡介。2.1.測試范圍請在此處說明此次測試的測試范圍,可以參考安全測試方案中描述的測試范圍。22測試方法和測試工具 簡要介紹測試中釆用的方法和工具 示例:Xxx系統(tǒng)主要使用了輸入安全、訪問控制安全、認(rèn)證與會話管理、緩沖區(qū)溢出、拒絕服

4、 務(wù)、不安全的配置管理、注入式漏洞等安全測試方案。針對以上提供的測試方案進(jìn)行對應(yīng)的測 試用例和測試腳本編寫,并使用Websecurify作為測試 工具。2.2.1 .驗(yàn)證輸入安全Xxx系統(tǒng)主要對沒有被驗(yàn)證的輸入進(jìn)行如下測試數(shù)據(jù)類型(字符串,整型,實(shí)數(shù),等)、允許的字符集、最小和最大的長度、是否允許 空輸入、參數(shù)是否是必須的、重復(fù)是否允許、數(shù)值范圍、特定的值(枚舉型)、特定的模式(正則表達(dá)式)2.2.2. 訪問控制安全需要驗(yàn)證用戶身份以及權(quán)限的頁面,復(fù)制該頁面的url地址,關(guān)閉該頁面以后,查看是否可以直接進(jìn)入該復(fù)制好的地址例:從一個頁面鏈到另一個頁面的間隙可以看到URL地址直接輸入該地址,可以看

5、到自己沒有權(quán)限的頁面信息2.2.3. 認(rèn)證與會話管理例:對Grid、Label、Tree view類的輸入框未做驗(yàn)證,輸入的內(nèi)容會按照html語 法解析出來2.2.4. 緩沖區(qū)溢出沒有加密關(guān)鍵數(shù)據(jù)例:view source : http地址可以查看源代碼在頁面輸入密碼,頁面顯示的是*,右鍵,查看源文件就可以看見剛才輸入的密 碼。2.2.5. 拒絕服務(wù)分析:攻擊者可以從一個主機(jī)產(chǎn)生足夠多的流量來耗盡狠多應(yīng)用程序,最終使程序陷入 癱瘓。需要做負(fù)載均衡來對付。2.2.6. 不安全的配置管理分析:Config中的鏈接字符串以及用戶信息,郵件,數(shù)據(jù)存儲信息都需要加以保護(hù)程序員應(yīng)該作的:配置所有的安全機(jī)制,關(guān)掉所有不使用的服務(wù),設(shè)置角色權(quán)限帳號, 使用日志和警報。分析:用戶使用緩沖區(qū)溢出來破壞web應(yīng)用程序的棧,通過發(fā)送特別編寫的代碼到web程 序中,攻擊者可以讓web應(yīng)用程序來執(zhí)行任意代碼。2.2.7. 注入式漏洞and例:

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論