信息系統(tǒng)安全測試結果記錄單模板

頁測試基本信息系統(tǒng)名稱域名或者IP是否使用CDN開發(fā)語言數(shù)據(jù)庫類型WEB容器版本號操作系統(tǒng)版本號內(nèi)網(wǎng)or外網(wǎng)測試帳號測試人員測試時間備注

安全風險分析XX風險分析會話重放測試測試編號測試項目是否通過測試定性Web_Conf_04會話重放測試□是×否低危測試過程風險分析加固建議測試通過項明文信息傳輸漏洞測試編號測試項目是否通過測試定性Web_Con_01明文信息傳輸漏洞√是□否中危測試目的驗證通訊過程中的數(shù)據(jù)是否加密。測試步驟抓取數(shù)據(jù)包查看是否存在敏感信息明文傳輸測試結果未檢測到該項風險。敏感信息泄露測試編號測試項目是否通過測試定性Web_Conf_02敏感信息泄露√是□否中危測試目的是否存敏感信息泄露漏洞測試步驟對攔截到的數(shù)據(jù)包進行分析，查看其報錯信息是否含有敏感信息。測試結果未檢測到該項風險。默認賬戶/弱口令測試編號測試項目是否通過測試定性Web_Conf_03默認或可猜解用戶賬戶√是□否中危測試目的測試系統(tǒng)是否存在默認賬戶和弱口令。測試步驟通過對系統(tǒng)存在的登錄頁面進行賬戶、口令測試。測試結果未檢測到該項風險。會話重放測試測試編號測試項目是否通過測試定性Web_Conf_04會話重放測試√是□否低危測試目的測試系統(tǒng)是否存在數(shù)據(jù)包重放問題。測試步驟獲取系統(tǒng)中存在的會話，測試是否可對其進行重放攻擊。測試結果未檢測到該項風險。驗證碼設計缺陷測試編號測試項目是否通過測試定性Web_Conf_05驗證碼缺陷√是□否中危測試目的測試產(chǎn)生的驗證碼是否可以被破解或識別。測試步驟測試驗證碼模塊，查看其是否存在缺陷。測試結果未檢測到該項風險。http方法測試測試編號測試項目是否通過測試定性Web_Conf_06http方法測試√是□否低危測試目的檢測服務器是否開啟了危險的http方法。測試步驟對web服務器的options請求進行測試，測試HTTP是否存在其他請求方式。測試結果未檢測到該項風險。不安全的cookie傳輸測試編號測試項目是否通過測試定性Web_Sess_01不安全的cookie傳輸√是□否中危測試目的測試cookie信息中是否包含敏感信息。測試步驟通過攔截數(shù)據(jù)包，查看cookie信息是否含有敏感字段。測試結果未檢測到該項風險。Csrf漏洞測試測試編號測試項目是否通過測試定性Web_Sess_02Csrf漏洞測試√是□否中危測試目的測試是否存在csrf漏洞。測試步驟通過偽造測試代碼，讓受害人點擊，查看是否出現(xiàn)預期的危害。測試結果未檢測到該項風險。會話設計不合理測試編號測試項目是否通過測試定性Web_Sess_03會話設計缺陷√是□否中危測試目的測試是否存在會話設計缺陷。測試步驟通過對會話是否有效以及會話超時時間進行測試，查看其是否存在設計缺陷。測試結果不存在該風險項。會話定置測試測試編號測試項目是否通過測試定性Web_Sess_04會話定置測試√是□否低危測試目的測試用戶登錄前后會話標識是否更新。測試步驟對比登錄系統(tǒng)前后的會話信息是否相同。測試結果未檢測到該項風險。用戶枚舉測試測試編號測試項目是否通過測試定性Web_Auth_01用戶枚舉測試√是□否中危測試目的測試系統(tǒng)是否可進行用戶枚舉操作。測試步驟測試系統(tǒng)相關頁面，查看是否可進行賬戶枚舉。測試結果未檢測到該項風險。路徑遍歷測試測試編號測試項目是否通過測試定性Web_Auth_02路徑遍歷測試√是□否中危測試目的測試系統(tǒng)是否可通過路徑遍歷下載敏感信息，測試是否存在目錄列表漏洞。測試步驟通過利用../等字符對網(wǎng)絡路徑進行遍歷。測試結果未檢測到該項風險。未授權訪問漏洞測試編號測試項目是否通過測試定性Web_Auth_03未授權訪問測試√是□否中危測試目的測試系統(tǒng)是否存在未授權訪問漏洞。測試步驟查看在用戶未登錄的情況下是否可訪問非授權頁面。測試結果未檢測到該項風險。越權訪問測試測試編號測試項目是否通過測試定性Web_Auth_04越權訪問漏洞√是□否中危測試目的測試系統(tǒng)是否存在特權等級升級到另一個特權等級的問題。測試步驟在測試越權漏洞時，對不同功能項不同權限進行測試。測試結果未檢測到該項風險。任意文件讀取漏洞測試編號測試項目是否通過測試定性Web_Auth_05任意文件讀取√是□否中危測試目的惡意用戶能否查看或下載任意的文件，可以是源代碼文件、敏感文件等。測試步驟抓取應用的相關數(shù)據(jù)包，對path等敏感路徑進行測試，測試是否可查看其他文件。測試結果未檢測到該項風險。設計缺陷/邏輯錯誤測試編號測試項目是否通過測試定性Web_Serv_01設計缺陷/邏輯錯誤√是□否中危測試目的測試系統(tǒng)是否存在設計缺陷漏洞。測試步驟對系統(tǒng)相關功能頁面進行測試，查看是否存在設計缺陷/邏輯錯誤漏洞。測試結果未檢測到該項風險。文件上傳漏洞測試測試編號測試項目是否通過測試定性Web_Risk_01文件上傳漏洞√是□否高危測試目的檢測系統(tǒng)是否存在文件上傳漏洞。測試步驟對存在上傳的頁面進行測試，看是否存在上傳漏洞。測試結果未檢測到該項風險。SQL注入測試測試編號測試項目是否通過測試定性Web_Risk_02SQL注入測試√是□否高危測試目的檢測遠端服務器接口是否存在SQL注入漏洞。測試步驟測試系統(tǒng)相關功能頁面，查看是否能進行數(shù)據(jù)庫查詢獲取相關敏感數(shù)據(jù)。測試結果未檢測到該項風險。XML實體攻擊測試編號測試項目是否通過測試定性Web_Risk_03XML實體攻擊√是□否高危測試目的測試xml是在向服務器端發(fā)送數(shù)據(jù)時是否可以獲取其他信息。測試步驟通過構造xml外部實體參數(shù)，看能否造成xml外部實體攻擊。測試結果未檢測到該項風險。XSS跨站腳本攻擊測試測試編號測試項目是否通過測試定性Web_Risk_04Xss跨站腳本攻擊√是□否高危測試目的測試系統(tǒng)是否存在xss跨站腳本攻擊漏洞。測試步驟攔截數(shù)據(jù)包，對每個可變參數(shù)進行測試，看是否存在xss漏洞。測試結果未檢測到該風險項。代碼注入測試測試編號測試項目是否通過測試定性Web_Risk_05代碼注入測試√是□否高危測試目的檢測能否存在代碼注入測試。測試步驟使用測試語句對傳輸?shù)臄?shù)據(jù)進行測試，插入代碼并嘗試執(zhí)行，測試能否執(zhí)行成功。測試結果未檢測到該風險項。JAVA反序列化漏洞測試編號測試項目是否通過測試定性Web_Fram_01Java反序列化漏洞√是□否高危測試目的測試是否存在java反序列化漏洞。測試步驟對相關中間件進行反序列化測試。測試結果未檢測到該項風險。Struts命令執(zhí)行漏洞測試編號測試項目是否通過測試定性Web_Fram_02Struts命令執(zhí)行漏洞√是□否高危測試目的測試struts框架是否存在漏洞。測試步驟利用相關腳本對struts漏洞進行測試。測試結果未檢測到該項風險。常見中間件漏洞測試編號測試項目是否通過測試定性Web_Fram_03常見中間件漏洞√是□否中危測試目的測試常見中間件是否存在漏洞。測試步驟可通過抓取數(shù)據(jù)包的方式查看系統(tǒng)所采用的中間件，根據(jù)中間件的版本判斷是否有相關漏洞。測試結果未檢測到該項風險。常見CMS漏洞測試編號測試項目是否通過測試定性Web_Fram_04常見CMS漏洞√是□否中危測試目的測試cms是否存安全漏洞。測試步驟進行網(wǎng)站測試時先通過收集網(wǎng)站信息，測試是否存在cms漏洞。測試結果未檢測到該項風險。慢速dos攻擊漏洞測試編號測試項目是否通過測試定性Web_Fram_05慢速dos攻擊漏洞√是□否中危測試目的測試系統(tǒng)是否存在慢速dos攻擊風險。測試步驟利用相關命令進行慢速DOS測試。測試結果未檢測到該項風險。緩沖區(qū)溢出漏洞測試編號測試項目是否通過測試定性Web_Fram_06緩沖區(qū)溢出漏洞√是□否中危測試目的測試是否存緩沖區(qū)溢出漏洞。測試步驟對客戶端或服務器發(fā)送特殊構造的數(shù)據(jù)，發(fā)生溢出攻擊從而獲取系統(tǒng)權限。測試結果未檢測到該項風險。端口開放測試測試編號測試項目是否通過測試定性Web_Depy_01端口開放測試√是□否低危測試目的檢測應用服務器是否開啟了不必要的端口。測試步驟對端口進行探測，查看開放端口情況。測試結果未檢測到該項風險。域名相關測試測試編號測試項目是否通過測試定性Web_Depy_