【正文】 實(shí)施系統(tǒng)權(quán)限提升操作時(shí)，突遇系統(tǒng)停電，再次重啟時(shí)可能會(huì)出現(xiàn)系統(tǒng)無法啟動(dòng)的故障等。成都國(guó)信安信息產(chǎn)業(yè)基地有限公司第 4 頁 共 16 頁. 人員分配本次測(cè)試組織機(jī)構(gòu)和人員分配如下：項(xiàng)目管理組：楊方秀現(xiàn)場(chǎng)測(cè)試組：屈緋穎、王洪斌、項(xiàng)目文檔組：龔正質(zhì)量控制組：楊方秀、屈緋穎. 測(cè)試設(shè)備序號(hào) 設(shè)備或儀器名稱 功能描述 數(shù)量 產(chǎn)地 備注1. TestManager 測(cè)試管理 1 IBM2. ClearQuest 缺陷跟蹤 1 IBM3. xscan用于安全測(cè)試的漏洞掃描工具14. 測(cè)試機(jī) 測(cè)試機(jī) 2 國(guó)產(chǎn)成都國(guó)信安信息產(chǎn)業(yè)基地有限公司第 5 頁 共 16 頁檢測(cè)分類 檢測(cè)范圍SQL 注入XSS 跨站腳本網(wǎng)頁掛馬緩沖區(qū)溢出文件上傳漏洞源代碼泄露目錄瀏覽、遍歷漏洞數(shù)據(jù)庫泄露弱口令越權(quán)訪問會(huì)話驗(yàn)證繞過管理地址泄露輿論信息檢測(cè)中間件漏洞支付安全驗(yàn)證Web 網(wǎng)站其他（如：寫入控制,防止批量添加數(shù)據(jù),是否使用驗(yàn)證碼等）SOA 服務(wù)端 SQL 注入成都國(guó)信安信息產(chǎn)業(yè)基地有限公司第 6 頁 共 16 頁緩沖區(qū)溢出文件上傳漏洞目錄瀏覽、遍歷漏洞弱口令越權(quán)訪問會(huì)話驗(yàn)證繞過中間件漏洞其他（如：寫入控制,防止批量添加數(shù)據(jù),是否使用驗(yàn)證碼等）組件安全檢測(cè)代碼安全檢測(cè)內(nèi)存安全檢測(cè)數(shù)據(jù)安全檢測(cè)業(yè)務(wù)安全檢測(cè)APP 源生客戶端應(yīng)用管理檢測(cè)身份鑒別自主訪問控制強(qiáng)制訪問控制可信路徑安全審計(jì)剩余信息保護(hù)服務(wù)器入侵防范成都國(guó)信安信息產(chǎn)業(yè)基地有限公司第 7 頁 共 16 頁惡意代碼防范資源控制數(shù)據(jù)庫數(shù)據(jù)安全成都國(guó)信安信息產(chǎn)業(yè)基地有限公司第 8 頁 共 16 頁檢測(cè)項(xiàng)目 檢測(cè)子類 類型 掃描測(cè)試 滲透測(cè)試前端 SSO 單點(diǎn)登錄網(wǎng)站 WEB √ √后端 SSO 單點(diǎn)登錄網(wǎng)站 WEB √ √當(dāng)日達(dá)商城 4 期前臺(tái)網(wǎng)站 WEB √ √當(dāng)日達(dá)商城 3 期后臺(tái) WEB √ √當(dāng)日達(dá)商城 4 期后臺(tái) WEB √ √砸金蛋活動(dòng) WEB √砸金蛋后臺(tái) WEB √一元云購 WEB √月月?lián)屔衿?WEB √滴滴貼膜 WEB √快遞查詢（PC 端） WEB √快遞查詢（移動(dòng)端） WEB √中國(guó)人民不斷電 WEB √ √當(dāng)日達(dá)千城通 APP APP √千機(jī)團(tuán) 網(wǎng)站+APP WEB+APP √ √IMS 進(jìn)銷存系統(tǒng) WEB √ √進(jìn)銷存IMS 進(jìn)銷存管理工具 WEB √ √品勝云 路由器固件升級(jí)后臺(tái)管理 WEB √ √成都國(guó)信安信息產(chǎn)業(yè)基地有限公司第 9 頁 共 16 頁品勝云 （手機(jī)版） APP √品勝云 （IPAD 版） APP √品勝云 （手機(jī)版） APP √品勝商城 APP √文件上傳服務(wù) WebService √ √當(dāng)日達(dá)商城 3 期后臺(tái)服務(wù) WebService √ √千城通 APP 調(diào)用服務(wù) WebService √ √品勝云服務(wù) WebService √ √品勝商城服務(wù) WebService √ √WEB 服務(wù)路由器固件升級(jí)服務(wù) WebService √ √CentOS 64bit (3 臺(tái)) Server √CentOS 64bit (3 臺(tái)) Server √Windows Server 2022 (2 臺(tái)) Server √服務(wù)器Windows Server 2022 (8 臺(tái)) Server √成都國(guó)信安信息產(chǎn)業(yè)基地有限公司第 10 頁 共 16 頁針對(duì)本次項(xiàng)目的測(cè)試范圍和內(nèi)容，我公司采取滲透測(cè)試的方法對(duì)整體系統(tǒng)進(jìn)行安全性評(píng)估。本次測(cè)試內(nèi)容為滲透測(cè)試。最后由滲透測(cè)試人員清除中間數(shù)據(jù)。滲透測(cè)試是站在實(shí)戰(zhàn)角度對(duì)業(yè)主單位指定的目標(biāo)系統(tǒng)進(jìn)行的安全評(píng)估，可以讓業(yè)主單位相關(guān)人員直觀的了解到自己網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用中隱含的漏洞和危害發(fā)生時(shí)可能導(dǎo)致的損失。并且結(jié)合不同的漏洞也提出相應(yīng)的修補(bǔ)建議供用戶借鑒。成都國(guó)信安信息產(chǎn)業(yè)基地有限公司第 14 頁 共 16 頁我公司有滲透測(cè)試優(yōu)勢(shì)專業(yè)化的滲透測(cè)試團(tuán)隊(duì)。? 測(cè)試策略： 為了防范測(cè)試導(dǎo)致業(yè)務(wù)的中斷，可以不做一些拒絕