【正文】 流程的順序：風(fēng)險(xiǎn)點(diǎn) 1：主網(wǎng)站 存在多個(gè)安全漏洞，入侵者可獲得系統(tǒng)完全控制權(quán)限。3 評(píng)估技術(shù)組人員這次參與滲透測(cè)試服務(wù)的 aaaa 公司人員有一位人員，具體名單如下：姓名 職務(wù) 公司電話XX 安全顧問4 風(fēng)險(xiǎn)報(bào)告評(píng)估報(bào)告內(nèi)容總共劃分為兩部分，一部分為防火墻 DMZ 區(qū)的抽樣評(píng)估報(bào)告，一部分為內(nèi)部網(wǎng)的抽樣評(píng)估報(bào)告。目 錄1 評(píng)估地點(diǎn)....................................................................................................................................................12 評(píng)估范圍....................................................................................................................................................13 評(píng)估技術(shù)組人員........................................................................................................................................14 風(fēng)險(xiǎn)報(bào)告....................................................................................................................................................15 XXXX 省 XXXXXXXXX 風(fēng)險(xiǎn)示意圖 ...................................................................................................26 風(fēng)險(xiǎn)概括描述............................................................................................................................................37 風(fēng)險(xiǎn)細(xì)節(jié)描述............................................................................................................................................4 外部風(fēng)險(xiǎn)點(diǎn)(請(qǐng)參見風(fēng)險(xiǎn)圖中的風(fēng)險(xiǎn)點(diǎn) 1) .............................................................................4 虛擬主機(jī)結(jié)構(gòu)存在巨大的安全風(fēng)險(xiǎn) .......................................................................................4 大量的致命注入漏洞 ...............................................................................................................5 MSSQL 權(quán)限配置存在安全問題 .............................................................................................6 存在大量的跨站漏洞 ...............................................................................................................6 內(nèi)部網(wǎng)風(fēng)險(xiǎn)點(diǎn) ...........................................................................................................................7 核心業(yè)務(wù)的致命安全問題 .......................................................................................................7 多臺(tái)服務(wù)器 IPC 弱口令及 MSSQL 弱口令 (請(qǐng)參見風(fēng)險(xiǎn)圖中的風(fēng)險(xiǎn)點(diǎn) 5)........................9 其他各內(nèi)網(wǎng)主機(jī)多個(gè)嚴(yán)重安全漏洞 (請(qǐng)參見風(fēng)險(xiǎn)圖中的風(fēng)險(xiǎn)點(diǎn) 6)...................................108 安全性總結(jié)..............................................................................................................................................14．已有的安全措施分析： .....................................................................................................................14．安全建議 .............................................................................................................................................15作者博客 1 1 評(píng)估地點(diǎn)xxxxxxxxxxxxx 項(xiàng)目組提供給 aaaa 公司一個(gè)獨(dú)立評(píng)估分析室，并提供了內(nèi)網(wǎng)３個(gè)上網(wǎng)接入點(diǎn)對(duì)評(píng)估目標(biāo)進(jìn)行遠(yuǎn)程評(píng)估，xxxxxxxxxxxxx 項(xiàng)目組的項(xiàng)目組成員在aaaa 公司項(xiàng)目組內(nèi)設(shè)立了一個(gè)項(xiàng)目配合團(tuán)隊(duì)，保證項(xiàng)目成員都能夠有條件及時(shí)的了解評(píng)估過程的情況和評(píng)估進(jìn)展，并對(duì)評(píng)估過程進(jìn)行控制，使評(píng)估工作保證有秩序的進(jìn)行。變更記錄版本 修訂時(shí)間 修訂人 修訂類型 修訂章節(jié) 修訂內(nèi)容*修訂類型分為 A ADDED M MODIFIED D – DELETED版權(quán)說明 3 本文件中出現(xiàn)的全部?jī)?nèi)容，除另有特別注明，版權(quán)均屬 XX（聯(lián)系郵件：）所有。另外還需要標(biāo)明上各風(fēng)險(xiǎn)點(diǎn)的風(fēng)險(xiǎn)指數(shù)等參數(shù)。該文檔僅僅用來提供一個(gè)思路，到 06 年 30 號(hào)為止，目前我和我的同事們、朋友們還沒發(fā)現(xiàn)國(guó)內(nèi)有誰做過或者公開過這樣思路的文檔。2)在閱讀該風(fēng)險(xiǎn)文檔的時(shí)候，只要以風(fēng)險(xiǎn)圖為中心去通篇閱讀該文檔就能非常直觀的了解整體的安全風(fēng)險(xiǎn)。 1 文檔編號(hào)：xxxx安全滲透測(cè)試報(bào)告 2 文檔信息項(xiàng)目名稱 xxxxxxxxxxxxxxxxxxxx 安全服務(wù)項(xiàng)目文檔名稱 安全滲透測(cè)試報(bào)告樣版文檔編號(hào)創(chuàng) 建 人 aaaa 公司 王亮 創(chuàng)建日期審 核 人 審核日期接 收 方 接收日期適用范圍文檔說明1)傳統(tǒng)的安全評(píng)估，滲透測(cè)試工作很多僅僅是發(fā)現(xiàn)漏洞、利用漏洞獲取最高權(quán)限、漏洞統(tǒng)計(jì)等等沒有太