系統(tǒng)安全測試報告模版V

值嘉寧數(shù)據(jù)技術(shù)有限公司XXX系統(tǒng)安全測試報告創(chuàng)建人：xxx創(chuàng)建時間：xxxx年xx月xx日確認(rèn)時間：當(dāng)前版本：V1.0文檔變更記錄文件狀態(tài)：[”]草稿文檔編號：P01當(dāng)前版本：V1.0L」正式發(fā)布[]廢止編制：xxx審核人：發(fā)布日期：版本編號修訂類型修訂章節(jié)修訂內(nèi)容編制人/日期審核人/日期V1.0A全文初稿xxx/160808*修訂類型分為：A-ADDED,M-MODIFIED,D—DELETED。TOC\o"1-5"\h\z\o"CurrentDocument"簡介4\o"CurrentDocument"編寫目的4\o"CurrentDocument"項目背景4\o"CurrentDocument"系統(tǒng)簡介4\o"CurrentDocument"術(shù)語定義和縮寫詞4\o"CurrentDocument"參考資料4\o"CurrentDocument"測試概要5測試范圍5\o"CurrentDocument"測試方法和測試工具5\o"CurrentDocument"測試環(huán)境與配置8\o"CurrentDocument"測試組織8\o"CurrentDocument"測試人員8\o"CurrentDocument"測試時間細(xì)分及投入人力8\o"CurrentDocument"測試結(jié)果及缺陷分析9\o"CurrentDocument"測試執(zhí)行情況統(tǒng)計分析9\o"CurrentDocument"遺留缺陷列表9\o"CurrentDocument"測試結(jié)論9\o"CurrentDocument"測試建議10簡介編寫目的描述編寫本測試報告需要說明的內(nèi)容。如：本報告為XX項目的安全測試報告，目的在考察系統(tǒng)安全性、測試結(jié)論以及測試建議。項目背景對項目背景進行簡要說明，可從需求文檔或測試方案中獲取。系統(tǒng)簡介對所測試項目進行簡要的介紹，如果有設(shè)計說明書可以參考設(shè)計說明書，最好添加上架構(gòu)圖和拓?fù)鋱D。術(shù)語定義和縮寫詞列出設(shè)計本系統(tǒng)/項目的專用術(shù)語和縮寫語約定。對于技術(shù)相關(guān)的名詞和與多義詞一定要注明清楚，以便閱讀時不會產(chǎn)生歧義。如：漏洞掃描：SQL注入：參考資料請列出編寫測試報告時所參考的資料、文檔。需求、設(shè)計、測試案例、手冊以及其他項目文檔都是范圍內(nèi)可參考的資料。測試使用的國家標(biāo)準(zhǔn)、行業(yè)指標(biāo)、公司規(guī)范和質(zhì)量手冊等等。測試概要測試的概要介紹，包括測試范圍、測試方法、測試工具、測試環(huán)境等，主要是測試情況簡介。請在此處說明此次測試的測試范圍，可以參考安全測試方案中描述的測試范圍。測試方法和測試工具簡要介紹測試中采用的方法和工具示例：Xxx系統(tǒng)主要使用了輸入安全、訪問控制安全、認(rèn)證與會話管理、緩沖區(qū)溢出、拒絕服務(wù)、不安全的配置管理、注入式漏洞等安全測試方案。針對以上提供的測試方案進行對應(yīng)的測試用例和測試腳本編寫，并使用Websecurify作為測試工具。2.2.1.驗證輸入安全Xxx系統(tǒng)主要對沒有被驗證的輸入進行如下測試數(shù)據(jù)類型（字符串，整型，實數(shù)，等）允許的字符集、最小和最大的長度、是否允許空輸入、參數(shù)是否是必須的、重復(fù)是否允許、數(shù)值范圍、特定的值（枚舉型）、特定的模式（正則表達(dá)式）訪問控制安全需要驗證用戶身份以及權(quán)限的頁面，復(fù)制該頁面的url地址，關(guān)閉該頁面以后，查看是否可以直接進入該復(fù)制好的地址例：從一個頁面鏈到另一個頁面的間隙可以看到URL地址直接輸入該地址，可以看到自己沒有權(quán)限的頁面信息認(rèn)證與會話管理例：對Grid、Label、Treeview類的輸入框未做驗證，輸入的內(nèi)容會按照html語法解析出來緩沖區(qū)溢出沒有加密關(guān)鍵數(shù)據(jù)例：view-source：http地址可以查看源代碼在頁面輸入密碼，頁面顯示的是*****,右鍵，查看源文件就可以看見剛才輸入的密碼。拒絕服務(wù)分析：攻擊者可以從一個主機產(chǎn)生足夠多的流量來耗盡狠多應(yīng)用程序，最終使程序陷入癱瘓。需要做負(fù)載均衡來對付。不安全的配置管理分析：Config中的鏈接字符串以及用戶信息，郵件，數(shù)據(jù)存儲信息都需要加以保護程序員應(yīng)該作的：配置所有的安全機制，關(guān)掉所有不使用的服務(wù)，設(shè)置角色權(quán)限帳號，使用日志和警報。分析：用戶使用緩沖區(qū)溢出來破壞web應(yīng)用程序的棧，通過發(fā)送特別編寫的代碼到web程序中，攻擊者可以讓web應(yīng)用程序來執(zhí)行任意代碼。注入式漏洞例：一個驗證用戶登陸的頁面，如果使用的sql語句為：Select*fromtableAwhereusername=''+username+''andpassword.??..Sql輸入‘or1=1就可以不輸入任何password進行攻擊或者是半角狀態(tài)下的用戶名與密碼均為：'or''=’。不恰當(dāng)?shù)漠惓Ｌ幚矸治觯撼绦蛟趻伋霎惓５臅r候給出了比較詳細(xì)的內(nèi)部錯誤信息，暴露了不應(yīng)該顯示的執(zhí)行細(xì)節(jié)，網(wǎng)站存在潛在漏洞。不安全的存儲分析：帳號列表：系統(tǒng)不應(yīng)該允許用戶瀏覽到網(wǎng)站所有的帳號，如果必須要一個用戶列表，推薦使用某種形式的假名(屏幕名)來指向?qū)嶋H的帳號。瀏覽器緩存：認(rèn)證和會話數(shù)據(jù)不應(yīng)該作為GET的一部分來發(fā)送，應(yīng)該使用POST?？缯灸_本(XSS)分析：攻擊者使用跨站腳本來發(fā)送惡意代碼給沒有發(fā)覺的用戶，竊取他機器上的任意資料測試方法：?HTML標(biāo)簽：〈…〉???</???>?轉(zhuǎn)義字符：&(&);<(<);>(>);(空格);?腳本語言：〈script.language='javascript'〉???Alert('')</script>?特殊字符：''<>/?最小和最大的長度?是否允許空輸入2.2.11.測試工具介紹:工具名稱用途工具名稱用途生產(chǎn)廠商版本以上為示例內(nèi)容測試環(huán)境與配置在此次項目的測試中，所使用到的環(huán)境和配置見下表:硬件環(huán)境序號服務(wù)器廠商/型號配置/數(shù)量IP操作系統(tǒng)軟件環(huán)境序號系統(tǒng)軟件廠商版本備注測試組織測試人員序號姓名角色職責(zé)序號姓名角色職責(zé)測試時間細(xì)分及投入人力以下為測試過程中多個測試輪次的時間和人員安排以及工作內(nèi)容的簡單描述:測試輪次子系統(tǒng)/子模塊起止日期總天數(shù)測試人員測試結(jié)果及缺陷分析4.1.測試執(zhí)行情況統(tǒng)計分析子系統(tǒng)/子模塊測試案例數(shù)發(fā)現(xiàn)缺陷數(shù)遺留缺陷列表測試過程共發(fā)現(xiàn)問題：XX個。共解決問題：xx個。未解決問題：xx個。所測試項目中所遺留的缺陷詳見下表:缺陷ID缺陷概要遺留原因分析預(yù)防與改進措施測試結(jié)論示例：1、本次測試覆蓋全面，測試數(shù)據(jù)基礎(chǔ)合理，測試有效。2、SQL注入測試，已執(zhí)行測試用例，問題回歸后測試通過3、跨站腳本測試，測試發(fā)現(xiàn)文本框?qū)饫ㄌ枴俜痔?、單引號、圓括號、雙引號進行了轉(zhuǎn)義，測試通過。4