2021年06月17日-2021年06月21日软件产品漏洞扫描安全性测试
本报告针对主要针对郑州市xx股份有限公司基于xx虚拟主机提供的网址测试网站主页进行了非破坏性的安全测试。
测试内容
本次“xx虚拟主机”漏洞扫描测试的测试内容如下:
应用系统相关信息收集与分析
XSS跨站脚本攻击测试
CSRF跨站请求伪造测试
SQL注入测试
文件上传漏洞测试
木马上传后的访问行为防御及Html文件篡改行为防御测试
缓冲区溢出攻击测试
本地权限提升测试
逻辑验证攻击测试
Cookies欺骗攻击测试
LDAP注入攻击测试
URL重定向滥用
XML注入攻击测试
XML外部实体注入攻击
XPath注入攻击测试
信息泄露攻击
内容电子欺骗攻击
可预测资源位置攻击
恶意内容测试
格式字符测试攻击
目录索引攻击
空字节注入攻击
路径遍历
远程文件包含攻击
注:对于一些可能导致目标系统业务中断的测试方法将不包含在本次检测工作中。
风险控制措施
本次安全测试由于采用可控制的、非破坏性质的安全测试,因此不会对被测网站及后台虚拟主机造成严重的影响。在安全测试结束后,系统将保持正常运行状态。同时采取以下手段保证安全测试对系统的影响最小化:
1,在安全测试进行之前对系统稳定性进行测试。
2,避免采用大规模探测或DOS攻击方式进行测试。
3,在安全测试结束之后对系统进行测试,验证系统可稳定进行。
4,不采取有损伤性的测试手段和方法。
5,采用空闲时间段,避免了高峰时期的事故影响。
1.1.测试环境
xx虚拟主机软件环境要求如下所示:
终端类别 | 操作系统 | 相关应用软件 |
服务器端 | CentOS Linux release 7.6.1810 | nginx/1.14.2 Apache/2.2.23 |
客户端 | Windows 7 企业版 | IE 11.0 |
测试工具
参与本次测试工作的部分工具如下:
WVS,Nessus,Nmap,X-Scan,APPscan,maltego,Xprobe,Hping,
Metasploit,Cain,John the Ripper。
测试结论和建议
本次测试针对基于xx虚拟主机的互联网Web核心应用系统进行了全面的漏洞扫描检测和分析,共扫描测试用例1121例,其中通过的测试用例为1113例,可能存在问题的用例8例,系统各项安全数据运行稳定,系统可靠,无严重漏洞和安全隐患,高危漏洞拦截率 > 99%,基本满足软件产品安全测试项及安全测试通过准则的要求,达上线标准,可正常使用。
