1、-_XX 移动 XXX 系统渗透测试报告-_ 版本变更记录时间 版本 说明 修改人-_目 录附录 A 威胁程度分级 .17附录 B 相关资料 .17-_一. 摘要经 XXX 的授权, XX 科技渗透测试小组对 XXX 下属 XXX 系统证书版进行了渗透测试。测试结果如下: 严重问题:4 个 中等问题:1 个 轻度问题:1 个图 1.1 安全风险分布图详细内容如下表:表 1.1 发现问题详细内容问题等级 种类 数量 名称1 个 登录 XXX 系统 USBKey 认证可绕过漏洞1 个 转账汇款 USBKey 认证可绕过漏洞1 个 转账汇款数字签名设计缺陷严重问题 4 种1 个 输入验证机制设计缺陷
2、中等问题 1 种 1 个 缺少第二信道认证轻度问题 1 种 1 个 信息泄露XX 科技认为被测系统当前安全状态是:远程不安全系统-_二. 服务概述本次渗透测试工作是由 XX 科技的渗透测试小组独立完成的。XX 科技渗透测试小组在 2010 年 4 月 xx 日至 2010 年 4 月 xx 日对 XXX 的新 XXX 系统进行了远程渗透测试工作。在此期间,XX 科技渗透测试小组利用部分前沿的攻击技术;使用成熟的黑客攻击手段;集合软件测试技术(标准)对指定网络、系统做入侵攻击测试,希望由此发现网站、应用系统中存在的安全漏洞和风险点。2.1 测试流程XX 科技渗透测试服务流程定义为如下阶段:信息收
3、集:此阶段中,XX 科技测试人员进行必要的信息收集,如 IP 地址、DNS 记录、软件版本信息、IP 段、Google 中的公开信息等。渗透测试:此阶段中,XX 科技测试人员根据第一阶段获得的信息对网络、系统进行渗透测试。此阶段如果成功的话,可能获得普通权限。缺陷利用:此阶段中,XX 科技测试人员尝试由普通权限提升为管理员权限,获得对系统的完全控制权。在时间许可的情况下,必要时从第一阶段重新进行。成果收集:此阶段中,XX 科技测试人员对前期收集的各类弱点、漏洞等问题进行分类整理,集中展示。威胁分析:此阶段中,XX 科技测试人员对发现的上述问题进行威胁分类和分析其影响。输出报告:此阶段中,XX
4、科技测试人员根据测试和分析的结果编写直观的渗透测试服务报告。信息收集缺陷利用成果收集威胁分析循环输出报告渗透测试图 2.1 渗透测试流程-_2.2 风险管理及规避为保障客户系统在渗透测试过程中稳定、安全的运转,我们将提供以下多种方式来进行风险规避。对象的选择为更大程度的避免风险的产生,渗透测试还可选择对备份系统进行测试。因为备份系统与在线系统所安装的应用和承载的数据差异较小,而其稳定性要求又比在线系统低,因此,选择对备份系统进行测试也是规避风险的一种常见方式。时间的控制从时间安排上,测试人员将将尽量避免在数据高峰时进行测试,以此来减小测试工作对被测试系统带来的压力。另外,测试人员在每次测试前也
5、将通过电话、邮件等方式告知相关人员,以防止测试过程中出现意外情况。技术手段XX 科技的渗透测试人员都具有丰富的经验和技能,在每一步测试前都会预估可能带来的后果,对于可能产生影响的测试(如:溢出攻击)将被记录并跳过,并在随后与客户协商决定是否进行测试及测试方法。监控措施针对每一系统进行测试前,测试人员都会告知被测试系统管理员,并且在测试过程中会随时关注目标系统的负荷等信息,一旦出现任何异常,将会停止测试。工具的使用在使用工具测试的过程中,测试人员会通过设置线程、插件数量等参数来减少其对系统的压力,同时还会去除任何可能对目标系统带来危害的插件,如:远程溢出攻击类插件、拒绝服务攻击类插件等等。2.3
6、 测试收益通过实施渗透测试服务,可对贵方的信息化系统起到如下推进作用:明确安全隐患点渗透测试是一个从空间到面再到点的过程,测试人员模拟黑客的入侵,从外部整体切入最终落至某个威胁点并加以利用,最终对整个网络产生威胁,以此明确整体系统中的安全隐患点。提高安全意识-_如上所述,任何的隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果,因此渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险。提高安全技能在测试人员与用户的交互过程中,可提升用户的技能。另外,通过专业的渗透测试报告,也能为用户提供当前流行安全问题的参考。三. 测试目标说明3.1 测试对象测试对象名称 相关域名、对应
7、的 URL新 XXX 系统平台证书版登录https:/ 地址: 114.xx.xx.xx3.2 测试账号测试账号名称 相关详细信息XXX 系统账号账号所有者:XXID:95xxPIN 码:xxXXX 系统登录名 zhdh 密码 xx 账号所有者:xxID:95xx PIN 码:XXXXX 系统登录名 xx 密码 xx3.3 时间测试工作的时间段起始时间 2010-4-xx 结束时间 2010-4-xx本份测试报告分析的各种安全风险,仅限定于在上述时间段内测试反馈信息的整理,不包括非上述时间段内的因系统调整、维护更新后出现的其他变化情况。-_3.4 参与测试人员参测人员名单姓名 所属部门 联系方
8、式姓名 所属部门 联系方式3.5 测试环境本次渗透测试过程中,XX 科技测试小组使用过多个互联网 IP 地址开展的分析工作,在此通知 XXX 新 XXX 系统相关人员在对受测试的目标站点服务器、相应的网络入侵检测系统进行安全监控和日志分析时,排除以下 IP 地址产生的任何违规信息,以保证分析结果的准确有效。IP 地址 IP 地址 IP 地址 IP 地址暂无 暂无3.6 工具及相关资源表 3.1 测试工具:NetCat工具名称 NetCat工具用途 端口连接,数据提交相关信息 http:/joncraton.org/files/nc111nt.zip表 3.2 测试工具:Nmap工具名称 Nma
9、p工具用途 端口扫描,服务识别,操作系统指纹识别相关信息 http:/nmap.org/表 3.3 测试工具:httprint工具名称 Httprint工具用途 通过远程 http 指纹判断 http 服务类型相关信息 http:/- 3.4 测试工具:Tamper IE-_工具名称 Tamper IE工具用途 HTTP 数据包修改、转发工具(Firefox 插件)相关信息 http:/ 3.5 测试工具:安全检测工具集工具名称 XX 科技整理的安全检测工具集工具用途 跨站及 SQL 注入测试、远程溢出测试、暴力破解测试、嗅探分析 相关信息 www.xxS.com在具体的分析过程中,XX 科技
10、测试小组在微软的 Windows 平台上(涵盖 2003/Vista),使用了 IE(涵盖 6.0/7.0/8.0)和 Firefox 浏览器对指定的测试对象进行的分析、校验、测试。因此,漏洞分析检测到的部分安全问题可能与特定的操作系统、软件版本有具体关系,提醒后期实施漏洞修复工作的人员特别注意其中的差异。四. 测试过程详述4.1 目标信息探测4.1.1 域名信息渗透测试人员首先通过 nslookup 对主机的 IP 地址、NS 记录等信息的查询,对站点进行基本的信息探测:Default Server: xd-cache-Address: xx.xx.xx.xx ns 记录 set type
11、=ns Server: Address: 202.106.0.20Non-authoritative answer: nameserver = server hxns1.hua-Default Server: -_Address: 123.127.xx.xx/测试区域传输 set type=axfr ls -d ls: connect: No error* Cant list domain : Unspecified errorThe DNS server refused to transfer the zone to your computer. If thisis incorrect,
12、 check the zone transfer security settings for on the DNSserver at IP address 123.xx.xx.xx./查询站点 mx 记录 set type=mx Server: Address: MX preference = 5, mail exchanger = nameserver = set type=txt set class=chaos version.bindServer: Address: 123.xx.xx.xxversion.bind text =“I dont know!“version.bind nameserver = version.bind对 WWW 目标进行 Whois 的查询,下面是获取到的 Whois 信息如下: = 219.xx.xxx.xx xxxxxx4.1.2 Google Hacking搜索错误的文件后缀
