天翼渗透测试报告-天翼surfing网站系统V0.DOCVIP

天翼surfing网站系统 渗透测试报告 ■ 文档编号 ■ 密级 商业机密 ■ 版本编号 V1.0 ■ 日期 2013-8-12 ? DATE \@ yyyy \* MERGEFORMAT 2013 绿盟科技 ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属天翼电信终端有限公司（简称终端公司）所有，受到有关产权及版权法保护。任何个人、机构未经终端公司的书面授权许可，不得以任何方式复制或引用本文的任何片断。 ■ 版本变更记录 时间 版本 说明 修改人 2013-8-12 V1.0 整理报告 吉军涛 ■ 适用性声明 本文档为北京神州绿盟科技有限公司（以下简称“绿盟科技”）在天翼电信终端有限公司安全服务项目中实施渗透测试服务后提供的测试分析报告，适用于相关技术人员在对发现的漏洞进行安全修复时参考。 - PAGE \* ROMAN - PAGE \* ROMAN III - 目录 TOC \o 2-4 \h \z \t 标题 1,1,附录1,1,附录1（绿盟科技）,1,标题 1（绿盟科技）,1,绿盟科技--标题 1,1 HYPERLINK \l _Toc364082054 一. 摘要 PAGEREF _Toc364082054 \h 1 HYPERLINK \l _Toc364082055 二. 服务概述 PAGEREF _Toc364082055 \h 2 HYPERLINK \l _Toc364082056 2.1 测试流程 PAGEREF _Toc364082056 \h 2 HYPERLINK \l _Toc364082057 2.2 风险管理及规避 PAGEREF _Toc364082057 \h 3 HYPERLINK \l _Toc364082058 2.3 参考依据 PAGEREF _Toc364082058 \h 3 HYPERLINK \l _Toc364082059 2.4 预期收益 PAGEREF _Toc364082059 \h 5 HYPERLINK \l _Toc364082060 三. 测试服务说明 PAGEREF _Toc364082060 \h 6 HYPERLINK \l _Toc364082061 3.1 测试对象与环境 PAGEREF _Toc364082061 \h 6 HYPERLINK \l _Toc364082062 3.2 测试时间与人员 PAGEREF _Toc364082062 \h 6 HYPERLINK \l _Toc364082063 3.3 注意事项提示 PAGEREF _Toc364082063 \h 7 HYPERLINK \l _Toc364082064 3.4 工具及相关资源 PAGEREF _Toc364082064 \h 7 HYPERLINK \l _Toc364082065 四. 测试过程详述 PAGEREF _Toc364082065 \h 9 HYPERLINK \l _Toc364082066 4.1 基础信息探测 PAGEREF _Toc364082066 \h 9 HYPERLINK \l _Toc364082067 4.1.1 域名信息探测 PAGEREF _Toc364082067 \h 9 HYPERLINK \l _Toc364082068 4.1.2 开放端口与服务探测 PAGEREF _Toc364082068 \h 10 HYPERLINK \l _Toc364082069 4.1.3 Google Hacking探测 PAGEREF _Toc364082069 \h 11 HYPERLINK \l _Toc364082070 4.2 测试发现问题整理 PAGEREF _Toc364082070 \h 12 HYPERLINK \l _Toc364082071 4.2.1 存储型跨站脚本漏洞 PAGEREF _Toc364082071 \h 12 HYPERLINK \l _Toc364082072 4.3 测试过程其他说明 PAGEREF _Toc364082072 \h 14 HYPERLINK \l _Toc364082073 五. 测试结果与建议 PAGEREF _Toc364082073 \h 15 HYPERLINK \l _Toc364082074 5.1 测试结果 PAGEREF _Toc364082074 \h 15 HYPERLINK \l _Toc364082075 5.2 安全建议 PAGEREF _Toc364082075 \h 16