2021年06月17日-2021年06月21日軟件產(chǎn)品漏洞掃描安全性測試

      本報告針對主要針對鄭州市xx股份有限公司基于xx虛擬主機提供的網(wǎng)址測試網(wǎng)站主頁進行了非破壞性的安全測試。

測試內(nèi)容

本次“xx虛擬主機”漏洞掃描測試的測試內(nèi)容如下：

?應(yīng)用系統(tǒng)相關(guān)信息收集與分析

?XSS跨站腳本攻擊測試

?CSRF跨站請求偽造測試

?SQL注入測試

?文件上傳漏洞測試

?木馬上傳后的訪問行為防御及Html文件篡改行為防御測試

?緩沖區(qū)溢出攻擊測試

?本地權(quán)限提升測試

?邏輯驗證攻擊測試

?Cookies欺騙攻擊測試

?LDAP注入攻擊測試

?URL重定向濫用

?XML注入攻擊測試

?XML外部實體注入攻擊

?XPath注入攻擊測試

?信息泄露攻擊

?內(nèi)容電子欺騙攻擊

?可預(yù)測資源位置攻擊

?惡意內(nèi)容測試

?格式字符測試攻擊

?目錄索引攻擊

?空字節(jié)注入攻擊

?路徑遍歷

?遠程文件包含攻擊

注：對于一些可能導(dǎo)致目標系統(tǒng)業(yè)務(wù)中斷的測試方法將不包含在本次檢測工作中。

風險控制措施

       本次安全測試由于采用可控制的、非破壞性質(zhì)的安全測試，因此不會對被測網(wǎng)站及后臺虛擬主機造成嚴重的影響。在安全測試結(jié)束后，系統(tǒng)將保持正常運行狀態(tài)。同時采取以下手段保證安全測試對系統(tǒng)的影響最小化：

1，在安全測試進行之前對系統(tǒng)穩(wěn)定性進行測試。

2，避免采用大規(guī)模探測或DOS攻擊方式進行測試。

3，在安全測試結(jié)束之后對系統(tǒng)進行測試，驗證系統(tǒng)可穩(wěn)定進行。

4，不采取有損傷性的測試手段和方法。

5，采用空閑時間段，避免了高峰時期的事故影響。

1.1.測試環(huán)境

xx虛擬主機軟件環(huán)境要求如下所示：

測試工具

參與本次測試工作的部分工具如下：

    WVS，Nessus，Nmap，X-Scan，APPscan，maltego，Xprobe，Hping，

    Metasploit，Cain，John the Ripper。

測試結(jié)論和建議

       本次測試針對基于xx虛擬主機的互聯(lián)網(wǎng)Web核心應(yīng)用系統(tǒng)進行了全面的漏洞掃描檢測和分析，共掃描測試用例1121例，其中通過的測試用例為1113例，可能存在問題的用例8例，系統(tǒng)各項安全數(shù)據(jù)運行穩(wěn)定，系統(tǒng)可靠，無嚴重漏洞和安全隱患，高危漏洞攔截率 > 99%，基本滿足軟件產(chǎn)品安全測試項及安全測試通過準則的要求，達上線標準，可正常使用。