freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

滲透測(cè)試測(cè)試報(bào)告(編輯修改稿)

2025-04-22 02:34 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 ing搜索錯(cuò)誤的文件后綴在此過程中,測(cè)試人員會(huì)對(duì)站點(diǎn)進(jìn)行如下內(nèi)容的搜索:搜索內(nèi)容 說明XXX 系統(tǒng)滲透測(cè)試報(bào)告169。 2022 XX 科技 密級(jí):商業(yè)機(jī)密 9 site: inurl:site: inurl:搜索站點(diǎn)中是否存在后綴為 的文件,即,某些 jsp 的備份文件。site: filetype:sqlsite: filetype:sql搜索站點(diǎn)中是否存在 SQL 腳本文件site: filetype:txtsite: filetype:txt查找站點(diǎn)中是否有包含敏感信息的 txt 文件site: filetype:confsite: filetype:conf查找站點(diǎn)中是否有包含敏感信息的 conf文件通過上述方法測(cè)試,測(cè)試人沒有在 Google 和 Baidu 等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。查找第三方組件或程序在此過程中,測(cè)試人員會(huì)對(duì)站點(diǎn)進(jìn)行如下內(nèi)容的搜索:搜索內(nèi)容 說明site: inurl:/fckeditor/site: inurl:/fckeditor/搜索站點(diǎn)是否使用了 fckeditorsite: inurl:jsp?id inurl:ewebeditorsite: inurl:jsp?id inurl:ewebeditor搜索站點(diǎn)是否使用了 eWebEditor通過上述方法測(cè)試,測(cè)試人沒有在 Google 和 Baidu 等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。搜索錯(cuò)誤的配置在此過程中,測(cè)試人員會(huì)對(duì)站點(diǎn)進(jìn)行如下內(nèi)容的搜索:搜索內(nèi)容 說明site: intitle:”index of /”site: intitle:”index of /”搜索站點(diǎn)是否使用了列目錄功能site: intitle:Apache Tomcat intitle:Error Report搜索站點(diǎn)是否存在 TOMCAT 錯(cuò)誤信息,通過錯(cuò)誤信息可判斷 TOMCAT 版本site: inurl:examples 搜索站點(diǎn)中是否存在測(cè)試代碼XXX 系統(tǒng)滲透測(cè)試報(bào)告169。 2022 XX 科技 密級(jí):商業(yè)機(jī)密 10 site: inurl:examples通過上述方法測(cè)試,測(cè)試人沒有在 Google 和 Baidu 等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。 對(duì)系統(tǒng)的測(cè)試 端口掃描通過使用 Nmap 端口掃描工具對(duì)主機(jī)在 Inter 上的端口開放情況進(jìn)行檢查:圖 Nmap 掃描結(jié)果通過 Nmap 掃描報(bào)告,確認(rèn)主機(jī)開放兩個(gè)端口:? TCP 21(用于 FTP 服務(wù))? TCP 443(用于 WEB 服務(wù))通過使用 nc(NetCat)對(duì)主機(jī)的 TCP 21 進(jìn)行端口連接性測(cè)試,發(fā)現(xiàn)在連接成功后較長(zhǎng)時(shí)間內(nèi)端口無反應(yīng):圖 使用 nc 連接 TCP 21再次通過使用 ftp 客戶端對(duì)目標(biāo)系統(tǒng)發(fā)起 FTP 連接請(qǐng)求,得到信息“Connection closed by remote host.”:圖 使用 ftp 客戶端對(duì)目標(biāo)主機(jī)進(jìn)行驗(yàn)證由此可確認(rèn) TCP 21 雖開放,但應(yīng)在網(wǎng)絡(luò)層有相關(guān)的 ACL 限制,因此無法從 Inter對(duì)其 FTP 服務(wù)發(fā)起連接請(qǐng)求。 服務(wù)信息探測(cè)通過端口掃描判斷,遠(yuǎn)程目標(biāo)主機(jī)僅有 TCP 443 端口( WEB 應(yīng)用服務(wù))可用,因此,后繼的滲透測(cè)試工作主要針對(duì) WEB 應(yīng)用本身及運(yùn)行于 WEB 應(yīng)用上的代碼展開。首先使用 rint 對(duì)遠(yuǎn)程主機(jī)的 WEB 應(yīng)用版本進(jìn)行判斷:XXX 系統(tǒng)滲透測(cè)試報(bào)告169。 2022 XX 科技 密級(jí):商業(yè)機(jī)密 11 圖 rint 判斷遠(yuǎn)程 WEB 應(yīng)用版本根據(jù) rint 輸出無法判斷遠(yuǎn)程主機(jī)的 WEB 應(yīng)用。通過 nc 手工提交 HTTP HEAD 請(qǐng)求,依然無法獲取到目標(biāo) WEB 應(yīng)用版本信息。圖 使用 nc 提交 HTTP HEAD 請(qǐng)求通過 nc 手工提交 HTTP OPTIONS 請(qǐng)求,依然無法獲取到目標(biāo) WEB 應(yīng)用版本信息。圖 使用 nc 提交 HTTP OPTIONS 請(qǐng)求 對(duì)應(yīng)用的測(cè)試測(cè)試人員根據(jù) WASC 威脅分類 1,對(duì)應(yīng)用程序的滲透測(cè)試從五個(gè)類型的安全方面進(jìn)行測(cè)試,這五個(gè)威脅類型包括:認(rèn)證和授權(quán)、命令執(zhí)行、邏輯攻擊、客戶端攻擊、信息泄露。認(rèn)證和授權(quán)類 命令執(zhí)行類 暴力攻擊 LDAP 注入認(rèn)證不充分 SSI 注入會(huì)話定置 SQL 注入會(huì)話期限不充分 Xpath 注入憑證/會(huì)話預(yù)測(cè) 操作系統(tǒng)命令授權(quán)不充分 格式字符串攻擊邏輯攻擊類 緩沖區(qū)溢出功能濫用 信息泄漏類 拒絕服務(wù) 可預(yù)測(cè)資源定位客戶端攻擊類 路徑遍歷跨站點(diǎn)腳本編制 目錄索引內(nèi)容電子欺騙 信息泄露圖 WASC 威脅分類圖由于 XXX 系統(tǒng)區(qū)別于普通的 WEB 系統(tǒng),因此,測(cè)試人員根據(jù) XXX 系統(tǒng)的特點(diǎn),從實(shí)際出發(fā)采用手工測(cè)試的方法,對(duì)五大類威脅中的部分內(nèi)容進(jìn)行測(cè)試。1 WASC 即 Web Application Security Consortium。是一個(gè)由安全專家、行業(yè)顧問和諸多組織的代表組成的國(guó)際團(tuán)體。他們負(fù)責(zé)為 WWW 制定
點(diǎn)擊復(fù)制文檔內(nèi)容
公司管理相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1