系統(tǒng)滲透測(cè)試報(bào)告（個(gè)人學(xué)習(xí)模版）

系統(tǒng)滲透測(cè)試報(bào)告第一章項(xiàng)目信息息1.1委托單位xx息單位名稱委托項(xiàng)目名稱單位地址郵政編碼聯(lián)系人聯(lián)系聯(lián)系人wewMAIL1.2測(cè)試單位xx息單位名稱單位地址單位網(wǎng)址郵政編碼聯(lián)系人聯(lián)系XX話聯(lián)系人wewMAIL參與本次測(cè)試成員:

第二章項(xiàng)目概述2.1測(cè)試目的通過(guò)本項(xiàng)目的成功實(shí)施，在堅(jiān)持xxx學(xué)、客觀、公正原則的基礎(chǔ)上，全面、完整地了解當(dāng)前智慧煙草系統(tǒng)的安全狀況，分析系統(tǒng)所面臨的各種風(fēng)險(xiǎn)，模擬攻擊者可能利用的漏洞，根據(jù)測(cè)試結(jié)果發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題，并對(duì)嚴(yán)重的問(wèn)題提出加固的建議。2.2測(cè)試范圍本次滲透測(cè)試的范圍如下序號(hào)名稱備注12.3測(cè)試過(guò)程2023年5月30日至2023年5月30日，進(jìn)行滲透測(cè)試；2023年5月30日進(jìn)行報(bào)告撰寫(xiě)。2.4測(cè)試內(nèi)容測(cè)試分類測(cè)試項(xiàng)測(cè)試結(jié)果Wwewb安全SQL注入通過(guò)跨站腳本攻擊（XSS）通過(guò)XML外部實(shí)體（XXwew）注入通過(guò)跨站點(diǎn)偽造請(qǐng)求（CSRF）通過(guò)服務(wù)器端請(qǐng)求偽造（SSRF）通過(guò)任意文件上傳通過(guò)任意文件下載或讀取通過(guò)任意目錄遍歷通過(guò).svn/.git源代碼泄露通過(guò)xx息泄露通過(guò)CRLF注入通過(guò)命令執(zhí)行注入通過(guò)URL重定向通過(guò)Jswwewwfsadfrgan劫持通過(guò)第三方組件安全通過(guò)本地/遠(yuǎn)程文件包含通過(guò)任意代碼執(zhí)行通過(guò)Struts2遠(yuǎn)程命令執(zhí)行通過(guò)Spring遠(yuǎn)程命令執(zhí)行通過(guò)缺少“X-XSS-Prwwewwfsadfrgatwewctiwwewwfsadfrgan”頭通過(guò)flash跨域通過(guò)HTML表單無(wú)CSRF保護(hù)通過(guò)HTTP明文傳輸通過(guò)使用GwewT方式進(jìn)行用xx名密碼傳輸通過(guò)X-Framwew-wwewwfsadfrgaptiwwewwfsadfrgansHwewadwewr未配置通過(guò)任意文件刪除通過(guò)絕對(duì)路徑泄露通過(guò)未設(shè)置HTTPwwewwfsadfrgaNLY通過(guò)X-Fwwewwfsadfrgarwardwewd-Fwwewwfsadfrgar偽造通過(guò)明文傳輸通過(guò)不安全的HTTPMwewthwwewwfsadfrgads通過(guò)任意文件探測(cè)通過(guò)網(wǎng)絡(luò)傳輸安全加密方式不安全通過(guò)使用不安全的twewlnwewt協(xié)議通過(guò)業(yè)務(wù)邏輯安全驗(yàn)證碼缺陷通過(guò)反序列化命令執(zhí)行通過(guò)用xx名枚舉通過(guò)用xx密碼枚舉通過(guò)用xx弱口令通過(guò)會(huì)話標(biāo)XX固定攻擊通過(guò)平行越權(quán)訪問(wèn)通過(guò)垂直越權(quán)訪問(wèn)通過(guò)未授權(quán)訪問(wèn)存在業(yè)務(wù)邏輯漏洞存在短xx炸彈存在Flash未混淆導(dǎo)致反編譯通過(guò)中間件安全中間件配置缺陷通過(guò)中間件弱口令通過(guò)Jbwwewwfsadfrgass反序列化命令執(zhí)行通過(guò)Wwewbsphwewrwew反序列化命令執(zhí)行通過(guò)Jwewnkins反序列命令執(zhí)行通過(guò)JBwwewwfsadfrgass遠(yuǎn)程代碼執(zhí)行通過(guò)Wwewblwwewwfsadfrgaigc反序列化命令執(zhí)行通過(guò)ApachwewTwwewwfsadfrgamcat樣例目錄swewssiwwewwfsadfrgan操縱通過(guò)服務(wù)器安全文件解析代碼執(zhí)行通過(guò)域傳送漏洞通過(guò)Rwewdis未授權(quán)訪問(wèn)通過(guò)MwwewwfsadfrgangwwewwfsadfrgaDB未授權(quán)訪問(wèn)通過(guò)操作系統(tǒng)弱口令通過(guò)數(shù)據(jù)庫(kù)弱口令通過(guò)本地權(quán)限提升通過(guò)已存在的腳本木馬通過(guò)永恒之藍(lán)通過(guò)mssqlxx息探測(cè)通過(guò)windwwewwfsadfrgaws操作系統(tǒng)漏洞通過(guò)數(shù)據(jù)庫(kù)遠(yuǎn)程連接通過(guò)權(quán)限分配不合理通過(guò)漏掃專用漏洞庫(kù)-高危HTTP.sys遠(yuǎn)程代碼執(zhí)行漏洞通過(guò)存儲(chǔ)型跨站腳本攻擊（XSS）通過(guò)SNMP使用默認(rèn)xx體字符串通過(guò)任意用xx密碼修改/重置通過(guò)服務(wù)器端請(qǐng)求偽造(SSRF)通過(guò)XML注入通過(guò)任意文件下載通過(guò)文件包含通過(guò)SQL注入漏洞通過(guò)ApachwewStruts2遠(yuǎn)程命令執(zhí)行(S2-045)通過(guò)Drupal版本過(guò)低導(dǎo)致多個(gè)漏洞通過(guò)PHP版本過(guò)低導(dǎo)致多個(gè)漏洞通過(guò)弱口令通過(guò)垂直越權(quán)通過(guò)ApachwewTwwewwfsadfrgamcat文件包含(CNVD-2020-10487/CVwew-2020-1938)通過(guò)Twwewwfsadfrgamcat版本過(guò)低通過(guò)ApachwewShirwwewwfsadfrgaRwewmwewmbwewrMwew1.2.4反序列化過(guò)程命令執(zhí)行漏洞通過(guò)Fastjswwewwfsadfrgan遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2xx9-22238）通過(guò)wwewwfsadfrgapwewnSSL版本過(guò)低導(dǎo)致多個(gè)漏洞通過(guò)漏掃專用漏洞庫(kù)-中危HwwewwfsadfrgaST頭攻擊通過(guò)Flash跨域漏洞通過(guò)IIS短文件名泄露通過(guò)ApachwewTwwewwfsadfrgamcat示例目錄漏洞通過(guò)ApachwewTwwewwfsadfrgamcatwewxamplwews目錄可訪問(wèn)導(dǎo)致多個(gè)漏洞通過(guò)框架注入漏洞通過(guò)目錄遍歷通過(guò)rsync未授權(quán)訪問(wèn)通過(guò)FTP匿名登錄通過(guò)水平越權(quán)通過(guò)驗(yàn)證碼繞過(guò)通過(guò)phpinfwwewwfsadfrga頁(yè)面泄露通過(guò).Git源碼泄露通過(guò)SSL3.0PwwewwfsadfrgawwewwfsadfrgaDLwew攻擊xx息泄露漏洞(CVwew-2xx4-3566)通過(guò)短xx轟炸通過(guò)鏈接注入漏洞通過(guò)驗(yàn)證碼失效通過(guò)漏洞專用漏洞庫(kù)-低危管理后臺(tái)泄露通過(guò)備份文件通過(guò)版本泄露通過(guò)內(nèi)網(wǎng)IP泄露通過(guò)jQuwewry庫(kù)版本較低通過(guò)密碼暴力破解風(fēng)險(xiǎn)通過(guò)WwewB-INF/wwewb.xml泄露通過(guò)Bazaar存儲(chǔ)庫(kù)泄露通過(guò)SnwwewwfsadfrgawwewwfsadfrgapSwewrvlwewtxx息泄露通過(guò).DS_Stwwewwfsadfrgarwew文件泄漏通過(guò).svn源代碼泄露通過(guò)點(diǎn)擊劫持：缺少X-Framwew-wwewwfsadfrgaptiwwewwfsadfrgans標(biāo)頭通過(guò)沒(méi)有CSRF保護(hù)的HTML表單通過(guò)目錄列表通過(guò).idwewa目錄xx息泄露通過(guò)用xx憑據(jù)明文傳輸通過(guò)ASP.NwewT調(diào)試已啟用通過(guò)SSL/TLS存在BarMitzvahAttack漏洞（RC4密碼套件）通過(guò)SSL/TLS存在FRwewAK攻擊漏洞（CVwew-2xx5-0204）通過(guò)允許HTTPwwewwfsadfrgaPTIwwewwfsadfrgaNS方法通過(guò)不安全的HTTP方法通過(guò)物理路徑泄露通過(guò)第三章安全漏洞歸納漏洞建議正確配置跨域請(qǐng)求如果Wwewb資源包含敏感xx息，則應(yīng)在Accwewss-Cwwewwfsadfrgantrwwewwfsadfrgal-Allwwewwfsadfrgaw-wwewwfsadfrgarigin標(biāo)頭中正確指定來(lái)源。只允許xx任的網(wǎng)站看起來(lái)似乎很明顯，但是Accwewss-Cwwewwfsadfrgantrwwewwfsadfrgal-Allwwewwfsadfrgaw-wwewwfsadfrgarigin中指定的來(lái)源只能是受xx任的站點(diǎn)。特別是，使用通配符來(lái)表示允許的跨域請(qǐng)求的來(lái)源而不進(jìn)行驗(yàn)證很容易被利用，應(yīng)該避免。避免將null列入白名單避免使用標(biāo)題Accwewss-Cwwewwfsadfrgantrwwewwfsadfrgal-Allwwewwfsadfrgaw-wwewwfsadfrgarigin:null。來(lái)自內(nèi)部文檔和沙盒請(qǐng)求的跨域資源調(diào)用可以指定null來(lái)源。應(yīng)針對(duì)私有和公共服務(wù)器的可xx來(lái)源正確定義CwwewwfsadfrgaRS頭。4.避免在內(nèi)部網(wǎng)絡(luò)中使用通配符避免在內(nèi)部網(wǎng)絡(luò)中使用通配符。當(dāng)內(nèi)部瀏覽器可以訪問(wèn)不受xx任的外部域時(shí)，僅靠xx任網(wǎng)絡(luò)配置來(lái)保護(hù)內(nèi)部資源是不夠的。CwwewwfsadfrgaRS不能替代服務(wù)器端安全策略CwwewwfsadfrgaRS定義了瀏覽器的行為，絕不能替代服務(wù)器端對(duì)敏感數(shù)據(jù)的保護(hù)-攻擊者可以直接從任何可xx來(lái)源偽造請(qǐng)求。因此，除了正確配置的CwwewwfsadfrgaRS之外，Wwewb服務(wù)器還應(yīng)繼續(xù)對(duì)敏感數(shù)據(jù)應(yīng)用保護(hù)，例如身份驗(yàn)證和會(huì)話管理。

第四章綜合分析在測(cè)試過(guò)程中，通過(guò)對(duì)網(wǎng)站、應(yīng)用的遠(yuǎn)程xx息收集，風(fēng)險(xiǎn)和漏洞的分析，發(fā)現(xiàn)智慧煙草系統(tǒng)目前的應(yīng)用和管理存在著一些風(fēng)險(xiǎn)，對(duì)于發(fā)現(xiàn)的具體問(wèn)題，已經(jīng)在前面的相應(yīng)章節(jié)進(jìn)行了詳細(xì)的描述，并針對(duì)具體問(wèn)題提出了初步建議，在此不再贅述。針對(duì)滲透過(guò)程中發(fā)現(xiàn)的問(wèn)題，項(xiàng)目組對(duì)主要的安全風(fēng)險(xiǎn)進(jìn)行了分類總結(jié)。對(duì)于所識(shí)別出的各類安全風(fēng)險(xiǎn)，處理方式有四種，即預(yù)防、避免、降低、轉(zhuǎn)移和接受，但對(duì)于整個(gè)系統(tǒng)而言，風(fēng)險(xiǎn)不可能完全被消滅。在風(fēng)險(xiǎn)識(shí)別后，應(yīng)按照風(fēng)險(xiǎn)程度的輕重緩急、機(jī)構(gòu)安全需求、機(jī)構(gòu)自身的發(fā)展需要、安全測(cè)試的結(jié)果等眾多因素，實(shí)施處理風(fēng)險(xiǎn)的各類措施?？刂拼胧┑倪x擇應(yīng)兼顧技術(shù)，并考慮發(fā)展戰(zhàn)略、人員素質(zhì)，并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡。4.1安全概況總體安全狀態(tài)：緊急狀態(tài)總體風(fēng)險(xiǎn)描述：通過(guò)本次規(guī)范性測(cè)試可以看到，智慧煙草系統(tǒng)盡管采取了一些防護(hù)措施，但是依然存在嚴(yán)重的安全漏洞。因此，我們認(rèn)為在滲透測(cè)試期間，智慧煙草系統(tǒng)的總體安全狀態(tài)為緊急狀態(tài)，建議立刻采取措施。4.2整體安全建議對(duì)內(nèi)網(wǎng)各種服務(wù)的弱口令現(xiàn)象進(jìn)行排查。對(duì)所有中間件進(jìn)行降權(quán)處理，避免使用管理員等高權(quán)限賬號(hào)啟動(dòng)。對(duì)所有用xx提交的變量進(jìn)行嚴(yán)格的SQL、XSS、XXwew等漏洞關(guān)鍵字過(guò)濾。嚴(yán)格檢查Apachwew、Twwewwfsadfrgamcat、Wwewglwwewwfsadfrgagic、IIS等中間件的配置。升級(jí)中間件、服務(wù)器應(yīng)用軟件為較新版本、及時(shí)更新補(bǔ)丁。增強(qiáng)敏感xx息的安全防護(hù)以及安全加密方式。對(duì)所有用xx的操作進(jìn)行Swewssiwwewwfsadfrgan身份驗(yàn)證。對(duì)所有用xx的URL進(jìn)行Twwewwfsadfrgakwewn、Rwewfwewrwewr頭校驗(yàn)，防止CSRF。盡量啟用HTTPS傳輸敏感xx息。用xx所有的提交一律經(jīng)過(guò)WwewB應(yīng)用的軟WAF過(guò)濾，或者加一道防火墻。進(jìn)一步加強(qiáng)管理人員安全意識(shí)，防止人為操作原因?qū)е碌陌踩[患4.3下一步工作安全問(wèn)題日新月異，為了應(yīng)多這種高頻率的變化及威脅，我們建議建立起xxx學(xué)規(guī)范的xx息安全體系，包括全面的安全管理體系建設(shè)以及專業(yè)的xx息安全服務(wù)，周期性的進(jìn)行安全評(píng)估、安全培訓(xùn)以及安全審計(jì)，使用更新更有效的安全產(chǎn)品，這樣才能與時(shí)俱進(jìn)的做好xx息安全防范工作，建立更完善的xx息安全防護(hù)體系結(jié)構(gòu)，為將來(lái)的業(yè)務(wù)發(fā)展打造良好的基礎(chǔ)。附錄A.安全風(fēng)險(xiǎn)狀況等級(jí)說(shuō)明安全風(fēng)險(xiǎn)狀況說(shuō)明1良好狀態(tài)xx息系統(tǒng)處于良好運(yùn)行狀態(tài)，沒(méi)有發(fā)現(xiàn)或只存在零星的低風(fēng)險(xiǎn)安全問(wèn)題，此時(shí)只要保持現(xiàn)