2021年06月17日-2021年06月21日軟件產(chǎn)品漏洞掃描安全性測(cè)試

      本報(bào)告針對(duì)主要針對(duì)鄭州市xx股份有限公司基于xx虛擬主機(jī)提供的網(wǎng)址測(cè)試網(wǎng)站主頁進(jìn)行了非破壞性的安全測(cè)試。

測(cè)試內(nèi)容

本次“xx虛擬主機(jī)”漏洞掃描測(cè)試的測(cè)試內(nèi)容如下：

?應(yīng)用系統(tǒng)相關(guān)信息收集與分析

?XSS跨站腳本攻擊測(cè)試

?CSRF跨站請(qǐng)求偽造測(cè)試

?SQL注入測(cè)試

?文件上傳漏洞測(cè)試

?木馬上傳后的訪問行為防御及Html文件篡改行為防御測(cè)試

?緩沖區(qū)溢出攻擊測(cè)試

?本地權(quán)限提升測(cè)試

?邏輯驗(yàn)證攻擊測(cè)試

?Cookies欺騙攻擊測(cè)試

?LDAP注入攻擊測(cè)試

?URL重定向?yàn)E用

?XML注入攻擊測(cè)試

?XML外部實(shí)體注入攻擊

?XPath注入攻擊測(cè)試

?信息泄露攻擊

?內(nèi)容電子欺騙攻擊

?可預(yù)測(cè)資源位置攻擊

?惡意內(nèi)容測(cè)試

?格式字符測(cè)試攻擊

?目錄索引攻擊

?空字節(jié)注入攻擊

?路徑遍歷

?遠(yuǎn)程文件包含攻擊

注：對(duì)于一些可能導(dǎo)致目標(biāo)系統(tǒng)業(yè)務(wù)中斷的測(cè)試方法將不包含在本次檢測(cè)工作中。

風(fēng)險(xiǎn)控制措施

       本次安全測(cè)試由于采用可控制的、非破壞性質(zhì)的安全測(cè)試，因此不會(huì)對(duì)被測(cè)網(wǎng)站及后臺(tái)虛擬主機(jī)造成嚴(yán)重的影響。在安全測(cè)試結(jié)束后，系統(tǒng)將保持正常運(yùn)行狀態(tài)。同時(shí)采取以下手段保證安全測(cè)試對(duì)系統(tǒng)的影響最小化：

1，在安全測(cè)試進(jìn)行之前對(duì)系統(tǒng)穩(wěn)定性進(jìn)行測(cè)試。

2，避免采用大規(guī)模探測(cè)或DOS攻擊方式進(jìn)行測(cè)試。

3，在安全測(cè)試結(jié)束之后對(duì)系統(tǒng)進(jìn)行測(cè)試，驗(yàn)證系統(tǒng)可穩(wěn)定進(jìn)行。

4，不采取有損傷性的測(cè)試手段和方法。

5，采用空閑時(shí)間段，避免了高峰時(shí)期的事故影響。

1.1.測(cè)試環(huán)境

xx虛擬主機(jī)軟件環(huán)境要求如下所示：

測(cè)試工具

參與本次測(cè)試工作的部分工具如下：

    WVS，Nessus，Nmap，X-Scan，APPscan，maltego，Xprobe，Hping，

    Metasploit，Cain，John the Ripper。

測(cè)試結(jié)論和建議

       本次測(cè)試針對(duì)基于xx虛擬主機(jī)的互聯(lián)網(wǎng)Web核心應(yīng)用系統(tǒng)進(jìn)行了全面的漏洞掃描檢測(cè)和分析，共掃描測(cè)試用例1121例，其中通過的測(cè)試用例為1113例，可能存在問題的用例8例，系統(tǒng)各項(xiàng)安全數(shù)據(jù)運(yùn)行穩(wěn)定，系統(tǒng)可靠，無嚴(yán)重漏洞和安全隱患，高危漏洞攔截率 > 99%，基本滿足軟件產(chǎn)品安全測(cè)試項(xiàng)及安全測(cè)試通過準(zhǔn)則的要求，達(dá)上線標(biāo)準(zhǔn)，可正常使用。