- 1、本文档共19页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
精品文档
精品文档
PAGE / NUMPAGES
精品文档
XX TITLE 移动XXX系统渗透测试报告
■ 版本变更记录
时间
版本
说明
修改人
目 录
TOC \h \z \t 附录1〔绿盟科技〕,1,附录2〔绿盟科技〕,2,附录3〔绿盟科技〕,3,附录4〔绿盟科技〕,4,标题 1〔绿盟科技〕,1,标题 2〔绿盟科技〕,2,标题 3〔绿盟科技〕,3 附录A 威逼程度分级 17
附录B 相关资料 17
摘要
经XXX的授权,XX科技渗透测试小组对XXX下属XXX系统证书版进行了渗透测试。测试结果如下:
严峻问题:4个
中等问题:1个
轻度问题:1个
平安风险分布图
具体内容如下表:
觉察问题具体内容
问题等级
种类
数量
名称
严峻问题
4种
1个
登录XXX系统USBKey认证可绕过漏洞
1个
转账汇款USBKey认证可绕过漏洞
1个
转账汇款数字签名设计缺陷
1个
输入验证机制设计缺陷
中等问题
1种
1个
缺少第二信道认证
轻度问题
1种
1个
信息泄露
XX科技认为被测系统当前平安状态是:远程担忧全系统
效劳概述
本次渗透测试工作是由XX科技的渗透测试小组独立完成的。
XX科技渗透测试小组在2021年4月xx日至2021年4月xx日对XXX的新XXX系统进行了远程渗透测试工作。在此期间,XX科技渗透测试小组利用局部前沿的攻击技术;使用成熟的黑客攻击手段;集合软件测试技术〔标准〕对指定网络、系统做入侵攻击测试,期望由此觉察网站、应用系统中存在的平安漏洞和风险点。
测试流程
XX科技渗透测试效劳流程定义为如下阶段:
信息收集:此阶段中,XX科技测试人员进行必要的信息收集,如 IP 地址、DNS 记录、软件版本信息、IP 段、Google中的公开信息等。
渗透测试:此阶段中,XX科技测试人员依据第一阶段获得的信息对网络、系统进行渗透测试。此阶段假设成功的话,可能获得一般权限。
缺陷利用:此阶段中,XX科技测试人员尝试由一般权限提升为管理员权限,获得对系统的完全把握权。在时间许可的状况下,必要时从第一阶段重新进行。
成果收集:此阶段中,XX科技测试人员对前期收集的各类弱点、漏洞等问题进行分类整理,集中呈现。
威逼分析:此阶段中,XX科技测试人员对觉察的上述问题进行威逼分类和分析其影响。
输出报告:此阶段中,XX科技测试人员依据测试和分析的结果编写直观的渗透测试效劳报告。
信息收
信息
收集
缺陷
利用
成果
收集
威逼
分析
循
环
输出
报告
渗透
测试
渗透测试流程
风险管理及躲避
为保障客户系统在渗透测试过程中稳定、平安的运转,我们将供给以下多种方式来进行风险躲避。
对象的选择
为更大程度的避开风险的产生,渗透测试还可选择对备份系统进行测试。因为备份系统与在线系统所安装的应用和承载的数据差异较小,而其稳定性要求又比在线系统低,因此,选择对备份系统进行测试也是躲避风险的一种常见方式。
时间的把握
从时间支配上,测试人员将将尽量避开在数据顶峰时进行测试,以此来减小测试工作对被测试系统带来的压力。
另外,测试人员在每次测试前也将通过 、邮件等方式告知相关人员,以防止测试过程中消灭意外状况。
技术手段
XX科技的渗透测试人员都具有丰富的阅历和技能,在每一步测试前都会预估可能带来的后果,对于可能产生影响的测试〔如:溢出攻击〕将被记录并跳过,并在随后与客户协商打算是否进行测试及测试方法。
监控措施
针对每一系统进行测试前,测试人员都会告知被测试系统管理员,并且在测试过程中会随时关注目标系统的负荷等信息,一旦消灭任何特别,将会停止测试。
工具的使用
在使用工具测试的过程中,测试人员会通过设置线程、插件数量等参数来削减其对系统的压力,同时还会去除任何可能对目标系统带来危害的插件,如:远程溢出攻击类插件、拒绝效劳攻击类插件等等。
测试收益
通过实施渗透测试效劳,可对贵方的信息化系统起到如下推动作用:
明确平安隐患点
渗透测试是一个从空间到面再到点的过程,测试人员模拟黑客的入侵,从外部整体切入最终落至某个威逼点并加以利用,最终对整个网络产生威逼,以此明确整体系统中的平安隐患点。
提高平安意识
如上所述,任何的隐患在渗透测试效劳中都可能造成“千里之堤溃于蚁穴〞的效果,因此渗透测试效劳可有效催促管理人员杜绝任何一处小的缺陷,从而降低整体风险。
提高平安技能
在测试人员与用户的交互过程中,可提升用户的技能。另外,通过专业的渗透测试报告,也能为用户供给当前流行平安问题的参考。
测试目标说明
测试对象
测试对象名称
相关域名、对应的URL
新XXX系统平台
证书版登录
s://xx /
IP地址:114.xx.xx.xx
测试账号
测试账号名
您可能关注的文档
最近下载
- 孤独症康复教育人员上岗培训课程考试题题库.docx VIP
- 抖音短视频运营部门各岗位KPI关键绩效考核指标.pptx
- 数媒艺术概论:第1章 数媒基础.ppt
- 一种室内燃气管道暗埋系统.pdf VIP
- 部编版小学语文六年级上册第六单元整体解读与教学规划.pdf VIP
- 2024年时事政治点题库选择题300道a4版.docx
- 新苏科版七年级上册生物全册电子教案.doc
- KA_T 20.5-2024 非煤矿山建设项目安全设施设计编写提纲 第5部分:尾矿库建设项目安全设施重大变更设计编写提纲.docx VIP
- SAE AMS2355-1965(R2017) 铝合金和镁合金制品(锻坯除外)及轧制、锻造或闪光焊环的质量保证、取样和试验.pdf
- 北京旅游攻略 4日具体行程(国外英文资料).doc
文档评论(0)