滲透測試報告模版

TITLE滲透測試報告模版目錄滲透測試報告模版 1一.摘要 1二.服務(wù)概述 12.1測試流程 12.2風(fēng)險管理及規(guī)避 32.3測試依據(jù) 3三.測試目標(biāo)說明 53.1測試對象 53.2測試時間 53.3測試人員 53.4測試環(huán)境 53.5工具及相關(guān)資源 5四.測試過程詳述 64.1信息收集 64.1.1Web應(yīng)用發(fā)現(xiàn) 64.1.2Web應(yīng)用識別 74.1.3錯誤代碼分析 74.1.4Robots、爬蟲分析 74.2配置管理測試 74.2.1基礎(chǔ)配置管理測試 74.2.2應(yīng)用管理界面測試 84.2.3HTTP方法測試 84.2.4SSL/TLS測試 84.2.5應(yīng)用配置管理測試 94.2.6過期、備份頁面測試 94.3認(rèn)證測試 94.3.1認(rèn)證模式繞過測試 94.3.2用戶枚舉測試 94.3.3暴力破解測試 104.3.4競爭條件測試 104.3.5圖形驗證碼測試 104.3.6密碼修改點測試 104.3.7密碼重置點測試 104.3.8注銷登錄測試 114.4會話管理測試 114.4.1Cookie測試 114.4.2會話固定測試 114.4.3會話變量泄漏測試 114.4.4CSRF測試 124.5授權(quán)測試 124.5.1繞過授權(quán)模式測試 124.5.2提權(quán)測試 124.5.3路徑遍歷測試 124.5.4業(yè)務(wù)邏輯測試 134.6數(shù)據(jù)驗證測試 134.6.1跨站腳本測試 134.6.2SQL注入測試 134.6.3命令執(zhí)行測試 134.6.4代碼注入漏洞 134.6.5XML注入測試 144.6.6SSI注入測試 144.6.7XPATH注入測試 144.6.8URL跳轉(zhuǎn)測試 144.6.9文件上傳測試 144.6.10文件下載測試 144.7發(fā)現(xiàn)的問題 154.8安全建議 154.9其它建議 15五.測試結(jié)論 15附錄A 威脅程度分級 16PAGE摘要經(jīng)XXX的授權(quán)，XXX滲透測試小組對下述網(wǎng)站進(jìn)行了滲透測試。問題綜述如下：發(fā)現(xiàn)的問題序號漏洞名稱漏洞描述風(fēng)險等級12XXX認(rèn)為被測系統(tǒng)當(dāng)前安全狀態(tài)是：不安全系統(tǒng)。服務(wù)概述測試流程XXX滲透測試服務(wù)主要分為四個階段，包括測試前期準(zhǔn)備階段、測試階段實施、復(fù)測階段實施以及成果匯報階段，如圖：滲透測試流程圖1、前期準(zhǔn)備階段在實施滲透測試工作前，技術(shù)人員會和客戶對滲透測試服務(wù)相關(guān)的技術(shù)細(xì)節(jié)進(jìn)行詳細(xì)溝通。由此確認(rèn)滲透測試的方案，方案內(nèi)容主要包括確認(rèn)的滲透測試范圍、最終對象、測試方式、測試要求的時間等內(nèi)容。同時，客戶簽署滲透測試授權(quán)書。2、測試階段實施在測試實施過程中，XXX測試人員首先使用自動化的安全掃描工具，完成初步的信息收集、服務(wù)判斷、版本判斷、補(bǔ)丁判斷等工作。然后由人工的方式對安全掃描的結(jié)果進(jìn)行人工的確認(rèn)和分析。并且根據(jù)收集的各類信息進(jìn)行人工的進(jìn)一步滲透測試深入。結(jié)合自動化測試和人工測試兩方的結(jié)果，測試人員需整理滲透測試服務(wù)的輸出結(jié)果并編制滲透測試報告，最終提交客戶和對報告內(nèi)容進(jìn)行溝通。3、復(fù)測階段實施在經(jīng)過第一次滲透測試報告提交和溝通后，等待客戶針對滲透測試發(fā)現(xiàn)的問題整改或加固。經(jīng)整改或加固后，測試人員進(jìn)行回歸測試，即二次復(fù)測。復(fù)測結(jié)束后提交給客戶復(fù)測報告和對復(fù)測結(jié)果進(jìn)行溝通。4、成果匯報階段根據(jù)一次滲透測試和二次復(fù)測結(jié)果，整理滲透測試服務(wù)輸出成果，最后匯報項目領(lǐng)導(dǎo)。風(fēng)險管理及規(guī)避為保障客戶系統(tǒng)在滲透測試過程中穩(wěn)定、安全的運(yùn)轉(zhuǎn)，我們將提供以下多種方式來進(jìn)行風(fēng)險規(guī)避。對象的選擇為更大程度的避免風(fēng)險的產(chǎn)生，滲透測試還可選擇對備份系統(tǒng)進(jìn)行測試。因為備份系統(tǒng)與在線系統(tǒng)所安裝的應(yīng)用和承載的數(shù)據(jù)差異較小，而其穩(wěn)定性要求又比在線系統(tǒng)低，因此，選擇對備份系統(tǒng)進(jìn)行測試也是規(guī)避風(fēng)險的一種常見方式。時間的控制從時間安排上，測試人員將將盡量避免在數(shù)據(jù)高峰時進(jìn)行測試，以此來減小測試工作對被測試系統(tǒng)帶來的壓力。另外，測試人員在每次測試前也將通過電話、郵件等方式告知相關(guān)人員，以防止測試過程中出現(xiàn)意外情況。技術(shù)手段XXX的滲透測試人員都具有豐富的經(jīng)驗和技能，在每一步測試前都會預(yù)估可能帶來的后果，對于可能產(chǎn)生影響的測試（如：溢出攻擊）將被記錄并跳過，并在隨后與客戶協(xié)商決定是否進(jìn)行測試及測試方法。監(jiān)控措施針對每一系統(tǒng)進(jìn)行測試前，測試人員都會告知被測試系統(tǒng)管理員，并且在測試過程中會隨時關(guān)注目標(biāo)系統(tǒng)的負(fù)荷等信息，一旦出現(xiàn)任何異常，將會停止測試。工具的使用在使用工具測試的過程中，測試人員會通過設(shè)置線程、插件數(shù)量等參數(shù)來減少其對系統(tǒng)的壓力，同時還會去除任何可能對目標(biāo)系統(tǒng)帶來危害的插件，如：遠(yuǎn)程溢出攻擊類插件、拒絕服務(wù)攻擊類插件等等。測試依據(jù)XXX滲透測試服務(wù)將參考下列國內(nèi)、國際與滲透測試有關(guān)的標(biāo)準(zhǔn)結(jié)合XXX在滲透測試方面的規(guī)范和經(jīng)驗進(jìn)行工作。國內(nèi)可參考的標(biāo)準(zhǔn)、指南或規(guī)范ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息系統(tǒng)規(guī)范與使用指南ISO/IEC13335-1:2004信息技術(shù)-安全技術(shù)-信息技術(shù)安全管理指南ISO/IECTR15443-1:2005信息技術(shù)安全保障框架ISO/IECPDTR19791:2004信息技術(shù)安全技術(shù)運(yùn)行系統(tǒng)安全評估GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB/T19715.1-2005信息技術(shù)-信息技術(shù)安全管理指南GB/T19716-2005信息技術(shù)-信息安全管理實用規(guī)則GB/T18336-2001信息技術(shù)-安全技術(shù)-信息技術(shù)安全性評估準(zhǔn)則GB/T17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB/T20988-2007信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/Z20986-2007信息安全事件分類分級指南XXX滲透測試最佳實踐XXX安全服務(wù)工作規(guī)范、滲透測試實施規(guī)范……國際可參考的標(biāo)準(zhǔn)、指南或規(guī)范信息系統(tǒng)審計標(biāo)準(zhǔn)（ISACA）G3利用計算機(jī)輔助審計技術(shù)信息系統(tǒng)審計標(biāo)準(zhǔn)（ISACA）G7應(yīng)有的職業(yè)謹(jǐn)慎信息系統(tǒng)審計標(biāo)準(zhǔn)（ISACA）G9不正當(dāng)行為的審計考慮信息系統(tǒng)審計標(biāo)準(zhǔn)（ISACA）G18信息系統(tǒng)管理信息系統(tǒng)審計標(biāo)準(zhǔn)（ISACA）G19不正當(dāng)及非法行為信息系統(tǒng)審計標(biāo)準(zhǔn)（ISACA）G33對網(wǎng)絡(luò)使用的總體考慮CESG(CHECK)ITHealthCheck方法OWASPOWASP_Testing_Guide_v3OWASPOWASP_Development_Guide_2005OWASPOWASP_Top_10_2010_Chinese_V1.0OSSTMMOSSTMM_Web_App_AlphaWeb應(yīng)用安全委員會（WASC）WASCThreatClassificationv2……測試目標(biāo)說明測試對象系統(tǒng)名稱相關(guān)域名及URL測試時間測試時間起始時間結(jié)束時間本份測試報告分析的各種安全風(fēng)險，僅限定于在上述時間段內(nèi)測試反饋信息的整理，不包括非上述時間段內(nèi)的因系統(tǒng)調(diào)整、維護(hù)更新后出現(xiàn)的其他變化情況。測試人員測試人員名單姓名所屬部門聯(lián)系方式測試環(huán)境本次滲透測試過程中，XXX測試小組使用過多個互聯(lián)網(wǎng)IP地址開展的分析工作，在此通知山東移動系統(tǒng)相關(guān)人員在對受測試的目標(biāo)站點服務(wù)器、相應(yīng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行安全監(jiān)控和日志分析時，排除以下IP地址產(chǎn)生的任何違規(guī)信息，以保證分析結(jié)果的準(zhǔn)確有效。IP地址IP地址IP地址IP地址工具及相關(guān)資源測試工具：NetCat工具名稱NetCat工具用途端口連接，數(shù)據(jù)提交相關(guān)信息/files/nc111nt.zip測試工具：Nmap工具名稱Nmap工具用途端口掃描，服務(wù)識別，操作系統(tǒng)指紋識別相關(guān)信息/測試工具：httprint工具名稱Httprint工具用途通過遠(yuǎn)程http指紋判斷http服務(wù)類型相關(guān)信息/httprint/測試工具：TamperIE工具名稱TamperIE工具用途HTTP數(shù)據(jù)包修改、轉(zhuǎn)發(fā)工具（Firefox插件）相關(guān)信息/TamperIE/測試工具：安全檢測工具集工具名稱XXX整理的安全檢測工具集工具用途跨站及SQL注入測試、遠(yuǎn)程溢出測試、暴力破解測試、嗅探分析相關(guān)信息測試過程詳述信息收集主要進(jìn)行踩點、信息收集，不涉及具體漏洞。Web應(yīng)用發(fā)現(xiàn)測試方法（1）使用nmap進(jìn)行端口掃描，注意非標(biāo)準(zhǔn)端口提供的web服務(wù)nmap–PN–sT–sV–p1-65535（2）查詢服務(wù)器上是否綁定其他域名//research/reverse-ip//測試結(jié)果Web應(yīng)用識別測試方法使用CURL連接web服務(wù)器，查看版本信息：測試結(jié)果錯誤代碼分析測試方法（1）輸入不存在的目錄或文件名，測試網(wǎng)站是否自定義HTTP404錯誤頁面（找不到頁面）（2）在測試中查看網(wǎng)站是否自定義了HTTP500錯誤頁面（服務(wù)器錯誤）等測試結(jié)果Robots、爬蟲分析測試方法（1）查看網(wǎng)站根目錄下robots.txt文件查看Disallow:字段中是否包含后臺入口等敏感信息，例如：Disallow:/admin（2）使用掃描器爬蟲對網(wǎng)站進(jìn)行探測，掌握網(wǎng)站目錄結(jié)構(gòu)等信息測試結(jié)果配置管理測試基礎(chǔ)配置管理測試測試方法（1）對網(wǎng)站基礎(chǔ)結(jié)構(gòu)的已知漏洞進(jìn)行檢查，例如：Apache漏洞等（2）對網(wǎng)站基礎(chǔ)結(jié)構(gòu)的配置缺陷進(jìn)行檢查，例如：目錄瀏覽等測試結(jié)果應(yīng)用管理界面測試測試方法（1）檢查應(yīng)用服務(wù)器后臺管理界面是否可以訪問，例如：Tomcat控制臺URL：/manager/htmlJboss控制臺URL：/admin-consoleJboss控制臺URL：/jmx-consoleJboss控制臺URL：/jbosswsWebLogic控制臺URL：/consoleWebSphere控制臺URL：/adminAxis2控制臺URL：/axis2-admin/（2）對已發(fā)現(xiàn)的后臺管理界面進(jìn)行密碼破解，檢測是否存在默認(rèn)密碼、弱口令等測試結(jié)果HTTP方法測試測試方法使用netcat連接web服務(wù)器，發(fā)送OPTIONS指令，查看是否存在PUT、DELETE、COPY、MOVE等不安全的HTTP方法測試結(jié)果SSL/TLS測試測試方法（1）檢測應(yīng)用傳輸敏感數(shù)據(jù)時是否采用SSL加密（2）檢測SSL加密的安全性證書通過域名匹配檢查證書通過有效期檢查證書通過吊銷檢查證書通過可信根檢查加密套件和加密強(qiáng)度檢查不安全加密協(xié)議檢查//ssldb/測試結(jié)果應(yīng)用配置管理測試測試方法（1）檢測開發(fā)人員在HTML、javascript等文件的注釋信息中是否包含敏感信息（2）檢測應(yīng)用在部署后是否存在默認(rèn)頁面、測試頁面，例如：phpinfo()等測試結(jié)果過期、備份頁面測試測試方法檢測網(wǎng)站上是否存在過期的、備份的頁面未及時刪除測試結(jié)果認(rèn)證測試認(rèn)證模式繞過測試測試方法（1）檢測是否能直接訪問后臺未授權(quán)的頁面（2）檢測能否通過參數(shù)修改訪問未授權(quán)的頁面，例如：/list?action=view改為/list?action=edit即可編輯內(nèi)容檢測能否通過SQL注入訪問未授權(quán)的頁面，例如：用戶名和密碼輸入admin'or'1'='1即可繞過登錄驗證測試結(jié)果用戶枚舉測試測試方法檢測客戶端提交不存在的用戶名時，服務(wù)端是否會返回“用戶不存在”等類似信息測試結(jié)果暴力破解測試測試方法使用Burpsuit工具進(jìn)行HTTP驗證和HTML表單驗證暴力破解測試結(jié)果競爭條件測試測試方法檢測暴力破解密碼能否造成帳戶鎖定測試結(jié)果圖形驗證碼測試測試方法（1）檢查登錄、注冊等頁面是否存在驗證碼？（2）檢測圖形驗證碼是否容易被程序識別，是否使用純色背景、干擾線？是否可以在HTML代碼或者URL參數(shù)中查看？（3）檢測表單提交時，服務(wù)端是否先檢查驗證碼的正確性，然后再檢查其他字段（4）檢測當(dāng)用戶輸入錯誤驗證碼時，服務(wù)端是否刷新session？驗證碼是否能夠多次使用？測試結(jié)果密碼修改點測試測試方法（1）檢測提交密碼修改請求時服務(wù)端是否驗證舊密碼（2）檢測提交密碼修改請求時是否含用戶名字段，此字段能否篡改為其他用戶，達(dá)到修改其用戶密碼的目的測試結(jié)果密碼重置點測試測試方法（1）檢測密碼重置問題的數(shù)量是否足夠，答案是否容易猜測（2）檢測是否允許無限制的密碼重置（3）檢測密碼找回功能找回的密碼是否為明文顯示在郵件或短信中（4）檢測密碼找回連接是否帶有userID等可修改的內(nèi)容測試結(jié)果注銷登錄測試測試方法（1）檢測網(wǎng)站頁面上是否存在退出按鈕，注銷后重新訪問是否提示用戶重新登錄？（2）檢測用戶登錄后20分鐘不點擊不刷新頁面，是否提示重新登陸？測試結(jié)果會話管理測試Cookie測試測試方法（1）檢查cookie是否正確設(shè)置了過期日期，能否無限期使用（2）檢查cookie中是否保存了明文敏感信息是否加密，例如：用戶密碼。（3）檢查cookie中保存的關(guān)鍵信息是否可猜測，例如：IsAdmin=no，修改這個cookie就能輕易地獲得管理權(quán)限測試結(jié)果會話固定測試測試方法檢查登錄前后sessionID是否發(fā)生變化，避免受到SessionFixation攻擊，攻擊者可以通過一些手段（如構(gòu)造URL）為受害著確定一個會話標(biāo)識，當(dāng)受害者登錄成功后，攻擊者也可以利用這個會話標(biāo)識冒充受害者訪問系統(tǒng)測試結(jié)果會話變量泄漏測試測試方法檢測應(yīng)用是否將SesssionId放到了URL中傳輸，攻擊者能夠誘使被攻擊者訪問特定的資源，例如圖片。在被攻擊者查看資源時獲取該SessionID（在HTTP協(xié)議中Referer標(biāo)題頭中攜帶了來源地址），從而導(dǎo)致身份盜用測試結(jié)果CSRF測試測試方法使用Sqlmap工具加人工測試檢查關(guān)鍵操作是否使用GET請求，例如：/delete?id=111，導(dǎo)致授權(quán)測試?yán)@過授權(quán)模式測試測試方法檢測只有特定用戶、角色能訪問的頁面，是否其他用戶也能訪問測試結(jié)果提權(quán)測試測試方法檢測普通用戶能否進(jìn)入當(dāng)前角色、權(quán)限所不能進(jìn)入的功能，執(zhí)行管理員權(quán)限操作測試結(jié)果路徑遍歷測試測試方法檢測應(yīng)用是否對用戶傳入的變量過濾了../，在調(diào)用文件讀寫文件、包含函數(shù)時需要關(guān)注/index?file=../../../../etc/passwd/index?file=/malicioustxt測試結(jié)果業(yè)務(wù)邏輯測試測試方法檢測業(yè)務(wù)邏輯是否存在安全漏洞，允許用戶做一些業(yè)務(wù)所不允許做的事情。例如：在交易中將轉(zhuǎn)賬金額設(shè)置為負(fù)數(shù)等測試結(jié)果數(shù)據(jù)驗證測試跨站腳本測試測試方法人工提交特殊符合、javascript語句進(jìn)行測試SQL注入測試測試方法使用Sqlmap工具加人工測試命令執(zhí)行測試測試方法檢測特定的系統(tǒng)命令能否提交進(jìn)應(yīng)用執(zhí)行，例如：/index?cmd=ping攻擊者提交：/index?cmd=ping;cat/etc/passwd代碼注入漏洞測試方法使用Sqlmap工具加人工測試檢測特定的代碼能否提交進(jìn)應(yīng)用執(zhí)行，例如：漏洞代碼：$myvar="varname";$x=$_GET['arg'];eval("\$myvar=\$x;");漏洞利用：/index?arg=1;system('id')XML注入測試測試方法使用Sqlmap工具加人工測試SSI注入測試測試方法使用Sqlmap工具加人工測試XPATH注入測試測試方法使用Sqlmap工具加人工測試URL跳轉(zhuǎn)測試測試方法檢測用戶能否修改傳入應(yīng)用的url參數(shù)，使頁面跳轉(zhuǎn)到特定的頁面，例如：/redirect?url=文件上傳測試測試方法檢測用戶能否在文件上傳頁面上傳動態(tài)腳本，例如：jsp、php、asp等，執(zhí)行webshell文件下載測試發(fā)現(xiàn)的問題在本次滲透測試的XXX系統(tǒng)中，XXX滲透測試小組發(fā)現(xiàn)了輕度和嚴(yán)重等級的風(fēng)險漏洞。XXX系統(tǒng)發(fā)現(xiàn)的問題：發(fā)現(xiàn)的問題序號漏洞名稱漏洞描述風(fēng)險等級安全建議針對上述發(fā)現(xiàn)的安全問題，XXX建議立即采取措施進(jìn)行修補(bǔ)，以避免發(fā)生安全問題，下面的安全建議措施可供參考：序號漏洞名稱加固建議其它建議針對WEB平臺的滲透測試及定期的評估掃描等方式，均以暴露問題為目標(biāo)，屬于被動的安全手段