2021年06月17日-2021年06月21日軟件產品漏洞掃描安全性測試

      本報告針對主要針對鄭州市xx股份有限公司基于xx虛擬主機提供的網址測試網站主頁進行了非破壞性的安全測試。

測試內容

本次“xx虛擬主機”漏洞掃描測試的測試內容如下：

?應用系統相關信息收集與分析

?XSS跨站腳本攻擊測試

?CSRF跨站請求偽造測試

?SQL注入測試

?文件上傳漏洞測試

?木馬上傳后的訪問行為防御及Html文件篡改行為防御測試

?緩沖區溢出攻擊測試

?本地權限提升測試

?邏輯驗證攻擊測試

?Cookies欺騙攻擊測試

?LDAP注入攻擊測試

?URL重定向濫用

?XML注入攻擊測試

?XML外部實體注入攻擊

?XPath注入攻擊測試

?信息泄露攻擊

?內容電子欺騙攻擊

?可預測資源位置攻擊

?惡意內容測試

?格式字符測試攻擊

?目錄索引攻擊

?空字節注入攻擊

?路徑遍歷

?遠程文件包含攻擊

注：對于一些可能導致目標系統業務中斷的測試方法將不包含在本次檢測工作中。

風險控制措施

       本次安全測試由于采用可控制的、非破壞性質的安全測試，因此不會對被測網站及后臺虛擬主機造成嚴重的影響。在安全測試結束后，系統將保持正常運行狀態。同時采取以下手段保證安全測試對系統的影響最小化：

1，在安全測試進行之前對系統穩定性進行測試。

2，避免采用大規模探測或DOS攻擊方式進行測試。

3，在安全測試結束之后對系統進行測試，驗證系統可穩定進行。

4，不采取有損傷性的測試手段和方法。

5，采用空閑時間段，避免了高峰時期的事故影響。

1.1.測試環境

xx虛擬主機軟件環境要求如下所示：

測試工具

參與本次測試工作的部分工具如下：

    WVS，Nessus，Nmap，X-Scan，APPscan，maltego，Xprobe，Hping，

    Metasploit，Cain，John the Ripper。

測試結論和建議

       本次測試針對基于xx虛擬主機的互聯網Web核心應用系統進行了全面的漏洞掃描檢測和分析，共掃描測試用例1121例，其中通過的測試用例為1113例，可能存在問題的用例8例，系統各項安全數據運行穩定，系統可靠，無嚴重漏洞和安全隱患，高危漏洞攔截率 > 99%，基本滿足軟件產品安全測試項及安全測試通過準則的要求，達上線標準，可正常使用。