渗透测试的报告行业内容.docx
- 文档编号:23455664
- 上传时间:2023-05-17
- 格式:DOCX
- 页数:5
- 大小:246.07KB
渗透测试的报告行业内容.docx
《渗透测试的报告行业内容.docx》由会员分享,可在线阅读,更多相关《渗透测试的报告行业内容.docx(5页珍藏版)》请在冰豆网上搜索。
渗透测试的报告行业内容
0x1概述
1.1渗透范围
1.2渗透测试主要内容
0x2脆弱性分析方法
0x3渗透测试过程描述
3.1遍历目录测试
3.2弱口令测试
3.3Sql注入测试
3.4内网渗透
3.5内网嗅探
0x4分析结果与建议
0x1概述
某时段接到xx网络公司授权对该公司网络进行模拟黑客攻击渗透,在xx年xx月xx日-xx年xx月xx日.对xx网络公司的外网服务器和内网集群精心全面脆弱性黑盒测试.完成测试得到此份网络渗透测试报告。
1.1渗透范围
此次渗透测试主要包括对象:
某网络公司外网web服务器.企业邮局服务器,核心商业数据服务器和内网办公网络系统。
1.2渗透测试主要内容
本次渗透中,主要对某网络公司web服务器,邮件服务器进行遍历目录,用户弱口令猜解,sql注入漏洞,数据库挖掘,内网嗅探,以及域服务器安全等几个方面进行渗透测试。
0x2脆弱性分析方法
按照国家工信部is900标准,采用行业内认可的测试软件和技术人员手工操作模拟渗透。
0x3渗透测试过程描述
3.1遍历目录测试
使用载入国内外3万多目录字典的wwwscan对web和邮件服务器进行目录探测。
得到探测结果。
主站不存在遍历目录和敏感目录的情况。
但是同服务器站点存在edit编辑器路径。
该编辑器版本过低。
存在严重漏洞。
如图
3.2用户口令猜解
Nmap收集到外网服务器ftp.使用默认的账号无法连接,于是对web和能登陆的界面进行弱口令测试,具体如下图
3.3sql注入测试
通过手工配合工具检测sql注入得到反馈结果如下图
根据漏洞类别进行统计,如下所示:
漏洞类别
高
中
低
风险值
网站结构分析
-
-
-
3
目录遍历探测
-
-
-
4
隐藏文件探测
-
-
-
3
CGI漏洞扫描
-
-
-
0
用户和密码猜解
-
-
-
10
跨站脚本分析
-
-
-
0
SQL注射漏洞挖掘(含数据库挖掘分析)
-
-
-
10
风险总值
30
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 渗透 测试 报告 行业 内容