系統(tǒng)安全測(cè)試報(bào)告模版V0

1、國(guó)信嘉寧數(shù)據(jù)技術(shù)有限公司XXX系統(tǒng)安全測(cè)試報(bào)告創(chuàng)建人:XXX創(chuàng)建時(shí)間：XXXX 年 XX 月 XX確認(rèn)時(shí)間：當(dāng)前版本：VI. 0文檔變更記錄文件狀態(tài)：V 草稿正式發(fā)布廢止文檔編號(hào)：P01當(dāng)前版本：VI. 0編制：XXX審核人：發(fā)布日期：版本編號(hào)修訂類(lèi)型修訂章節(jié)修訂內(nèi)容編制人/日期審核人/日期VI. 0A全文初稿xxx/160808*修訂類(lèi)型分為：A ADDED Ml- MODIFIED D DELETED目錄1. 簡(jiǎn)介41.1 編寫(xiě)目的41.2. 項(xiàng)目背景41.3. 系統(tǒng)簡(jiǎn)介41.4. 術(shù)語(yǔ)定義和縮寫(xiě)詞41.5. 參考資料42. 測(cè)試概要52.1. 測(cè)試范圍52.2. 測(cè)試方法和測(cè)試工具52.

2、3. 測(cè)試環(huán)境與配置83. 測(cè)試組織83.1. 測(cè)試人員83.2. 測(cè)試時(shí)間細(xì)分及投入人力 84. 測(cè)試結(jié)果及缺陷分析 94.1. 測(cè)試執(zhí)行情況統(tǒng)計(jì)分析94.2. 遺留缺陷列表95. 測(cè)試結(jié)論96. 測(cè)試建議101.簡(jiǎn)介1.1. 編寫(xiě)目的描述編寫(xiě)本測(cè)試報(bào)告需要說(shuō)明的內(nèi)容。如：本報(bào)告為XX項(xiàng)目的安全測(cè)試報(bào)告，目的在考察系統(tǒng)安全性、測(cè)試結(jié)論以及測(cè)試建議。1.2. 項(xiàng)目背景對(duì)項(xiàng)目背景進(jìn)行簡(jiǎn)要說(shuō)明，可從需求文檔或測(cè)試方案中獲取。1.3. 系統(tǒng)簡(jiǎn)介對(duì)所測(cè)試項(xiàng)目進(jìn)行簡(jiǎn)要的介紹，如果有設(shè)計(jì)說(shuō)明書(shū)可以參考設(shè)計(jì)說(shuō)明書(shū)，最好添加上架構(gòu)圖 和拓?fù)鋱D。1.4. 術(shù)語(yǔ)定義和縮寫(xiě)詞列出設(shè)計(jì)本系統(tǒng)/項(xiàng)目的專(zhuān)用術(shù)語(yǔ)和縮寫(xiě)語(yǔ)約

3、定。對(duì)于技術(shù)相關(guān)的名詞和與多義詞一定要注明 清楚，以便閱讀時(shí)不會(huì)產(chǎn)生歧義。如：漏洞掃描：SQL注入：1.5. 參考資料請(qǐng)列出編寫(xiě)測(cè)試報(bào)告時(shí)所參考的資料、文檔。需求、設(shè)計(jì)、測(cè)試案例、手冊(cè)以及其他項(xiàng)目文檔都是范圍內(nèi)可參考的資料。測(cè)試使用的國(guó)家標(biāo)準(zhǔn)、行業(yè)指標(biāo)、公司規(guī)范和質(zhì)量手冊(cè)等等。2.測(cè)試概要 測(cè)試的概要介紹，包括測(cè)試范圍、測(cè)試方法、測(cè)試工具、測(cè)試環(huán)境等，主要是測(cè)試情況簡(jiǎn)介。2.1.測(cè)試范圍請(qǐng)?jiān)诖颂幷f(shuō)明此次測(cè)試的測(cè)試范圍，可以參考安全測(cè)試方案中描述的測(cè)試范圍。22測(cè)試方法和測(cè)試工具 簡(jiǎn)要介紹測(cè)試中釆用的方法和工具 示例：Xxx系統(tǒng)主要使用了輸入安全、訪問(wèn)控制安全、認(rèn)證與會(huì)話管理、緩沖區(qū)溢出、拒絕服

4、 務(wù)、不安全的配置管理、注入式漏洞等安全測(cè)試方案。針對(duì)以上提供的測(cè)試方案進(jìn)行對(duì)應(yīng)的測(cè) 試用例和測(cè)試腳本編寫(xiě)，并使用Websecurify作為測(cè)試 工具。2.2.1 .驗(yàn)證輸入安全Xxx系統(tǒng)主要對(duì)沒(méi)有被驗(yàn)證的輸入進(jìn)行如下測(cè)試數(shù)據(jù)類(lèi)型（字符串，整型，實(shí)數(shù)，等）、允許的字符集、最小和最大的長(zhǎng)度、是否允許 空輸入、參數(shù)是否是必須的、重復(fù)是否允許、數(shù)值范圍、特定的值（枚舉型）、特定的模式（正則表達(dá)式）2.2.2. 訪問(wèn)控制安全需要驗(yàn)證用戶(hù)身份以及權(quán)限的頁(yè)面，復(fù)制該頁(yè)面的url地址，關(guān)閉該頁(yè)面以后，查看是否可以直接進(jìn)入該復(fù)制好的地址例：從一個(gè)頁(yè)面鏈到另一個(gè)頁(yè)面的間隙可以看到URL地址直接輸入該地址，可以看

5、到自己沒(méi)有權(quán)限的頁(yè)面信息2.2.3. 認(rèn)證與會(huì)話管理例：對(duì)Grid、Label、Tree view類(lèi)的輸入框未做驗(yàn)證，輸入的內(nèi)容會(huì)按照html語(yǔ) 法解析出來(lái)2.2.4. 緩沖區(qū)溢出沒(méi)有加密關(guān)鍵數(shù)據(jù)例：view source : http地址可以查看源代碼在頁(yè)面輸入密碼，頁(yè)面顯示的是*,右鍵，查看源文件就可以看見(jiàn)剛才輸入的密 碼。2.2.5. 拒絕服務(wù)分析：攻擊者可以從一個(gè)主機(jī)產(chǎn)生足夠多的流量來(lái)耗盡狠多應(yīng)用程序，最終使程序陷入 癱瘓。需要做負(fù)載均衡來(lái)對(duì)付。2.2.6. 不安全的配置管理分析：Config中的鏈接字符串以及用戶(hù)信息，郵件，數(shù)據(jù)存儲(chǔ)信息都需要加以保護(hù)程序員應(yīng)該作的：配置所有的安全機(jī)制，關(guān)掉所有不使用的服務(wù)，設(shè)置角色權(quán)限帳號(hào)， 使用日志和警報(bào)。分析：用戶(hù)使用緩沖區(qū)溢出來(lái)破壞web應(yīng)用程序的棧，通過(guò)發(fā)送特別編寫(xiě)的代碼到web程 序中，攻擊者可以讓web應(yīng)用程序來(lái)執(zhí)行任意代碼。2.2.7. 注入式漏洞and例：