【正文】 聯(lián)系方式 測試環(huán)境本次滲透測試過程中，XX 科技測試小組使用過多個互聯(lián)網(wǎng) IP 地址開展的分析工作，在此通知 XXX 新 XXX 系統(tǒng)相關(guān)人員在對受測試的目標站點服務(wù)器、相應(yīng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)進行安全監(jiān)控和日志分析時，排除以下 IP 地址產(chǎn)生的任何違規(guī)信息，以保證分析結(jié)果的準確有效。 2022 XX 科技 密級：商業(yè)機密 7 工具名稱 XX 科技整理的安全檢測工具集工具用途 跨站及 SQL 注入測試、遠程溢出測試、暴力破解測試、嗅探分析 相關(guān)信息 在具體的分析過程中，XX 科技測試小組在微軟的 Windows 平臺上（涵蓋 2022/Vista），使用了 IE（涵蓋 ）和 Firefox 瀏覽器對指定的測試對象進行的分析、校驗、測試。四. 測試過程詳述 目標信息探測 域名信息滲透測試人員首先通過 nslookup 對主機的 IP 地址、NS 記錄等信息的查詢，對站點進行基本的信息探測：Default Server: Address: //查詢 ns 記錄 set type=ns Server: Address: Nonauthoritative answer: nameserver = server Default Server: Address: //測試區(qū)域傳輸 set type=axfr ls d XXX 系統(tǒng)滲透測試報告169。t list domain : Unspecified errorThe DNS server refused to transfer the zone to your puter. If thisis incorrect, check the zone transfer security settings for on the DNSserver at IP address .//查詢站點 mx 記錄 set type=mx Server: Address: MX preference = 5, mail exchanger = nameserver = //檢查版本信息 set type=txt set class=chaos Server: Address: text = I don39。 2022 XX 科技 密級：商業(yè)機密 9 site: inurl:site: inurl:搜索站點中是否存在后綴為 的文件，即，某些 jsp 的備份文件。查找第三方組件或程序在此過程中，測試人員會對站點進行如下內(nèi)容的搜索：搜索內(nèi)容 說明site: inurl:/fckeditor/site: inurl:/fckeditor/搜索站點是否使用了 fckeditorsite: inurl:jsp?id inurl:ewebeditorsite: inurl:jsp?id inurl:ewebeditor搜索站點是否使用了 eWebEditor通過上述方法測試，測試人沒有在 Google 和 Baidu 等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。 2022 XX 科技 密級：商業(yè)機密 10 site: inurl:examples通過上述方法測試，測試人沒有在 Google 和 Baidu 等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。 服務(wù)信息探測通過端口掃描判斷，遠程目標主機僅有 TCP 443 端口（ WEB 應(yīng)用服務(wù)）可用，因此，后繼的滲透測試工作主要針對 WEB 應(yīng)用本身及運行于 WEB 應(yīng)用上的代碼展開。 2022 XX 科技 密級：商業(yè)機密 11 圖 rint 判斷遠程 WEB 應(yīng)用版本根據(jù) rint 輸出無法判斷遠程主機的 WEB 應(yīng)用。圖 使用 nc 提交 HTTP HEAD 請求通過 nc 手工提交 HTTP OPTIONS 請求，依然無法獲取到目標 WEB 應(yīng)用版本信息。認證和授權(quán)類 命令執(zhí)行類 暴力攻擊 LDAP 注入認證不充分 SSI 注入會話定置 SQL 注入會話期限不充分 Xpath 注入憑證/會話預(yù)測 操作系統(tǒng)命令授權(quán)不充分 格式字符串攻擊邏輯攻擊類 緩沖區(qū)溢出功能濫用 信息泄漏類 拒絕服務(wù) 可預(yù)測資源定位客戶端攻擊類 路徑遍歷跨站點腳本編制 目錄索引內(nèi)容電子欺騙 信息泄露圖 WASC 威脅分類圖由于 XXX 系統(tǒng)區(qū)別于普通的 WEB 系統(tǒng)，因此，測試人員根據(jù) XXX 系統(tǒng)的特點，從實際出發(fā)采用手工測試的方法，對五大類威脅中的部分內(nèi)容進行測試。是一個由安全專家、行業(yè)顧問和諸多組織的代表組成的國際團體。WASC 組織的關(guān)鍵項目之一是“Web 安全威脅分類”，也就是將 Web 應(yīng)用所受到的威脅、攻擊進行說明并歸納成具有共同特征的分類。 2022 XX 科技