滲透測試的報告_第1頁
滲透測試的報告_第2頁
滲透測試的報告_第3頁
滲透測試的報告_第4頁
滲透測試的報告_第5頁
已閱讀5頁,還剩19頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

目錄0x1概述滲透范圍滲透測試主要內(nèi)容0x2脆弱性分析方法0x3滲透測試過程描述遍歷目錄測試弱口令測試Sql注入測試內(nèi)網(wǎng)滲透內(nèi)網(wǎng)嗅探0x4分析結(jié)果與建議0x1概述某時段接到xx網(wǎng)絡(luò)公司授權(quán)對該公司網(wǎng)絡(luò)進行模擬黑客攻擊滲透,在xx年xx月xx日-xx年xx月xx日.對xx網(wǎng)絡(luò)公司的外網(wǎng)服務器和內(nèi)網(wǎng)集群精心全面脆弱性黑盒測試.完成測試得到此份網(wǎng)絡(luò)滲透測試報告。滲透范圍此次滲透測試主要包括對象:某網(wǎng)絡(luò)公司外網(wǎng)web服務器.企業(yè)郵局服務器,核心商業(yè)數(shù)據(jù)服務器和內(nèi)網(wǎng)辦公網(wǎng)絡(luò)系統(tǒng)。滲透測試主要內(nèi)容本次滲透中,主要對某網(wǎng)絡(luò)公司web服務器,郵件服務器進行遍歷目錄,用戶弱口令猜解,sql注入漏洞,數(shù)據(jù)庫挖掘,內(nèi)網(wǎng)嗅探,以及域服務器安全等幾個方面進行滲透測試。0x2脆弱性分析方法按照國家工信部is900標準,采用行業(yè)內(nèi)認可的測試軟件和技術(shù)人員手工操作模擬滲透。0x3滲透測試過程描述3.1遍歷目錄測試使用載入國內(nèi)外3萬多目錄字典的wwwscan對web和郵件服務器進行目錄探測。得到探測結(jié)果。主站不存在遍歷目錄和敏感目錄的情況。但是同服務器站點存在edit編輯器路徑。該編輯器版本過低。存在嚴重漏洞。如圖3.2用戶口令猜解Nmap收集到外網(wǎng)服務器ftp.使用默認的賬號無法連接,于是對web和能登陸的界面進行弱口令測試,具體如下圖3.3sql注入測試通過手工配合工具檢測sql注入得到反饋結(jié)果如下圖根據(jù)漏洞類別進行統(tǒng)計,如下所示:漏洞類別高中低風險值網(wǎng)站結(jié)構(gòu)分析---3目錄遍歷探測---4隱藏文件探測---3CGI漏洞掃描---0用戶和密碼猜解---10跨站腳本分析---0SQL注射漏洞挖掘(含數(shù)據(jù)庫挖掘分析)---10風險總值303.4內(nèi)網(wǎng)滲透當通過外圍安全一些列檢測。通過弱口令和注入2中方式進入管理后臺。抓包上傳webshell得到后門開始提升權(quán)限。當發(fā)現(xiàn)web服務器處于內(nèi)網(wǎng)。也正好是在公司內(nèi)部。于是收集了域的信息。想從web入手抓取域管理Hash破解,無果。所以只能尋找內(nèi)網(wǎng)其他域管理密碼。內(nèi)外通過ipc漏洞控制了2個機器。獲取到域管hash。用metasploitsmb溢出也得到內(nèi)網(wǎng)機器權(quán)限同樣也獲得域內(nèi)管理hash。用域管理hash登陸域服務器。內(nèi)網(wǎng)的權(quán)限全部到手。3.5內(nèi)網(wǎng)嗅探當?shù)玫絻?nèi)網(wǎng)權(quán)限其實就可以得到許多信息。但是主要是針對商業(yè)數(shù)據(jù)保密的原則。就還需要對內(nèi)網(wǎng)數(shù)據(jù)傳輸進行一個安全檢測。于是在內(nèi)網(wǎng)某機器上安裝cain進行嗅探得到一部分電子郵件內(nèi)容信息和一些網(wǎng)絡(luò)賬號.具體看下圖0x4分析結(jié)果與建議通過本次滲透測試可以看出.xx網(wǎng)絡(luò)公司網(wǎng)絡(luò)的安全防護結(jié)果不是很理想,在防注入和內(nèi)網(wǎng)權(quán)限中存在多處漏洞或者權(quán)限策略做的不夠得當。本次滲透的突破口主要是分為內(nèi)網(wǎng)和外網(wǎng),外網(wǎng)設(shè)備存在多處注入和弱口令破解。還有一方面原因是使用第三方editweb編輯器產(chǎn)生破解賬號的風險。內(nèi)網(wǎng)由于arp防火墻和域管得策略做的不是很嚴密。導致內(nèi)網(wǎng)淪陷。因此。對本次滲透得出的結(jié)論Xx網(wǎng)絡(luò)公司的網(wǎng)絡(luò)”十分危險”第一章五金行業(yè)概述 21五金行業(yè)簡介 22五金行業(yè)特性 23五金行業(yè)典型組織架構(gòu) 4第二章五金行業(yè)現(xiàn)狀和問題分析 7五金行業(yè)存在的管理特點 7五金行業(yè)管理重點與常見的困擾、 8第三章高格ANYV五金行業(yè)解決方案 131總體目標 132應用策略 132.1指導思想 132.2應用要求 132.3實施方法論 133方案特色 144總體架構(gòu) 154.1技術(shù)架構(gòu) 154.2業(yè)務架構(gòu) 165工程技術(shù)基礎(chǔ)數(shù)據(jù)管理 175.1關(guān)鍵需求分析 185.2關(guān)鍵需求方案 195.3業(yè)務流程 205.4關(guān)鍵業(yè)務控制 255.5關(guān)鍵信息處理 255.6應用效益 276銷售訂單管理 276.1關(guān)鍵需求分析 276.2業(yè)務流程 286.3關(guān)鍵業(yè)務控制 306.4關(guān)鍵信息處理 377出口管理 387.1關(guān)鍵需求分析 387.2關(guān)鍵需求處理 387.3業(yè)務流程 397.4關(guān)鍵業(yè)務控制 467.5關(guān)鍵信息處理 468供應商與采購管理 468.1關(guān)鍵需求分析 468.2業(yè)務流程 478.3關(guān)鍵業(yè)務控制 518.4關(guān)鍵信息處理 529倉存管理流程 529.1關(guān)鍵需求分析 529.2關(guān)鍵需求方案 539.3業(yè)務流程 549.4關(guān)鍵業(yè)務控制 659.5關(guān)鍵信息處理 739.6應用效益 7310計劃管理流程 7410.1關(guān)鍵需求分析 7410.2關(guān)鍵需求方案 7510.3業(yè)務流程 7510.4關(guān)鍵業(yè)務控制 7910.5關(guān)鍵信息處理 8010.6應用效益 8111生產(chǎn)任務及工序管理流程 8211.1關(guān)鍵需求分析 8211.2關(guān)鍵需求方案 8311.3業(yè)務流程 8311.4關(guān)鍵業(yè)務控制 8611.5關(guān)鍵信息處理 8711.6應用效益 8712委外加工作業(yè)流程 8912.1關(guān)鍵需求分析 8912.2關(guān)鍵需求方案 9012.3業(yè)務流程 9012.4關(guān)鍵業(yè)務控制 9212.5關(guān)鍵信息處理 9212.6應用效益 9313品質(zhì)管理 9313.1關(guān)鍵需求分析 9313.2關(guān)鍵需求方案 9413.3關(guān)鍵業(yè)務流程 9513.4關(guān)鍵業(yè)務控制 9613.5關(guān)鍵信息處理 10013.6應用效益 10014賬款管理 10214.1關(guān)鍵需求分析 10214.2關(guān)鍵需求方案 10314.3業(yè)務流程 10414.4關(guān)鍵信息處理 10714.5應用效益 10815發(fā)票管理 10915.1關(guān)鍵需求分析 10915.2關(guān)鍵需求方案 10915.3關(guān)鍵業(yè)務流程 11015.4關(guān)鍵信息處理 11515.5應用效益 11616固資管理 11716.1業(yè)務流程 11716.2關(guān)鍵業(yè)務控制 11816.3關(guān)鍵信息處理 11916.4應用效益 11917總賬系統(tǒng) 12017.1業(yè)務流程 12017.2關(guān)鍵業(yè)務控制 12317.3關(guān)鍵信息處理 12417.4應用效益 12518出納系統(tǒng) 12718.1關(guān)鍵需求分析 12718.2關(guān)鍵需求解決 12718.3業(yè)務流程 12718.4關(guān)鍵業(yè)務處理 13718.5關(guān)鍵信息處理 13719人薪管理 13719.1關(guān)鍵需求分析 13719.2關(guān)鍵需求方案 13819.3業(yè)務流程 13819.4關(guān)鍵業(yè)務控制 14319.5關(guān)鍵業(yè)務處理 14320成本管理 14420.1關(guān)鍵需求分析 14420.2關(guān)鍵需求方案 14420.3業(yè)務流程 14420.4關(guān)鍵業(yè)務控制 159第四章維護平臺介紹 1634高格管理配置平臺VOS-(AnyvOperationSystem)簡述 1635高格管理配置平臺VOS產(chǎn)品架構(gòu)圖 1636用戶應用自定義配置功能(VOSUD-UserDefineTools) 1646.1自定義報表 1646.2查詢方案配置 1666.3消息提醒配置(含短信) 1676.4自動偵錯功能 1686.5權(quán)限配置 1687用戶管理員工具(VOSAT-AdministratorTools) 1707.1系統(tǒng)參數(shù)字定義 1707.2作業(yè)流程SOP自定義 1717.3專案腳本語言 1717.4資料庫更新工具 1727.5工作流引擎(WorkflowEngine) 1737.6帳套與規(guī)格設(shè)定 1757.7數(shù)據(jù)備份與還原工具 1768系統(tǒng)建模實施工具(VOSDP-DesignPlatform) 1778.1欄位自定義工具 1778.2功能菜單自定義 1798.3單據(jù)拋轉(zhuǎn)自定 1809快速二次開發(fā)平臺(FD-fasterdevelopmentpaltform) 18110數(shù)據(jù)交換引擎(XME) 18210.1數(shù)據(jù)導入導出工具 18210.2XMN數(shù)據(jù)傳輸中間件(集群版專用) 183第五章公司介紹 1841.11關(guān)于高格 18

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論