2021年06月17日-2021年06月21日軟件產(chǎn)品漏洞掃描安全性測試

      本報告針對主要針對鄭州市xx股份有限公司基于xx虛擬主機(jī)提供的網(wǎng)址測試網(wǎng)站主頁進(jìn)行了非破壞性的安全測試。

測試內(nèi)容

本次“xx虛擬主機(jī)”漏洞掃描測試的測試內(nèi)容如下：

?應(yīng)用系統(tǒng)相關(guān)信息收集與分析

?XSS跨站腳本攻擊測試

?CSRF跨站請求偽造測試

?SQL注入測試

?文件上傳漏洞測試

?木馬上傳后的訪問行為防御及Html文件篡改行為防御測試

?緩沖區(qū)溢出攻擊測試

?本地權(quán)限提升測試

?邏輯驗證攻擊測試

?Cookies欺騙攻擊測試

?LDAP注入攻擊測試

?URL重定向濫用

?XML注入攻擊測試

?XML外部實體注入攻擊

?XPath注入攻擊測試

?信息泄露攻擊

?內(nèi)容電子欺騙攻擊

?可預(yù)測資源位置攻擊

?惡意內(nèi)容測試

?格式字符測試攻擊

?目錄索引攻擊

?空字節(jié)注入攻擊

?路徑遍歷

?遠(yuǎn)程文件包含攻擊

注：對于一些可能導(dǎo)致目標(biāo)系統(tǒng)業(yè)務(wù)中斷的測試方法將不包含在本次檢測工作中。

風(fēng)險控制措施

       本次安全測試由于采用可控制的、非破壞性質(zhì)的安全測試，因此不會對被測網(wǎng)站及后臺虛擬主機(jī)造成嚴(yán)重的影響。在安全測試結(jié)束后，系統(tǒng)將保持正常運(yùn)行狀態(tài)。同時采取以下手段保證安全測試對系統(tǒng)的影響最小化：

1，在安全測試進(jìn)行之前對系統(tǒng)穩(wěn)定性進(jìn)行測試。

2，避免采用大規(guī)模探測或DOS攻擊方式進(jìn)行測試。

3，在安全測試結(jié)束之后對系統(tǒng)進(jìn)行測試，驗證系統(tǒng)可穩(wěn)定進(jìn)行。

4，不采取有損傷性的測試手段和方法。

5，采用空閑時間段，避免了高峰時期的事故影響。

1.1.測試環(huán)境

xx虛擬主機(jī)軟件環(huán)境要求如下所示：

測試工具

參與本次測試工作的部分工具如下：

    WVS，Nessus，Nmap，X-Scan，APPscan，maltego，Xprobe，Hping，

    Metasploit，Cain，John the Ripper。

測試結(jié)論和建議

       本次測試針對基于xx虛擬主機(jī)的互聯(lián)網(wǎng)Web核心應(yīng)用系統(tǒng)進(jìn)行了全面的漏洞掃描檢測和分析，共掃描測試用例1121例，其中通過的測試用例為1113例，可能存在問題的用例8例，系統(tǒng)各項安全數(shù)據(jù)運(yùn)行穩(wěn)定，系統(tǒng)可靠，無嚴(yán)重漏洞和安全隱患，高危漏洞攔截率 > 99%，基本滿足軟件產(chǎn)品安全測試項及安全測試通過準(zhǔn)則的要求，達(dá)上線標(biāo)準(zhǔn)，可正常使用。