《系统安全测试报告模版V1.0》由会员分享,可在线阅读,更多相关《系统安全测试报告模版V1.0(10页珍藏版)》请在金锄头文库上搜索。
1、国信嘉宁数据技术有限公司XX系统安全测试报告创立人 :x创立时间:x年x月xx日 确认时间:目前版本:V1.0文档变更记录文献状态: 草稿 正式发布 废止文档编号:01目前版本:V1.0编 制:x审 核 人:发布日期:版本编号修订类型修订章节修订内容编制人/日期审核人/日期1.0A全文草稿xx/16808*修订类型分为:AD,MMDIED,-DEEED。目录1.简介41.编写目的41.2.项目背景.3系统简介1.术语定义和缩写词41参照资料4.测试概要52.1测试范畴52.2.测试措施和测试工具52.测试环境与配备3测试组织9.1.测试人员93.测试时间细分及投入人力94测试成果及缺陷分析9.
2、测试执行状况记录分析2遗留缺陷列表测试结论106.测试建议11. 简介 1.1. 编写目的 描述编写本测试报告需要阐明的内容。如:本报告为XX项目的安全测试报告,目的在考察系统安全性、测试结论以及测试建议。1.2. 项目背景 对项目背景进行简要阐明,可从需求文档或测试方案中获取。1.3. 系统简介 对所测试项目进行简要的简介,如果有设计阐明书可以参照设计阐明书,最佳添加上架构图和拓扑图。1.4. 术语定义和缩写词列出设计本系统/项目的专用术语和缩写语商定。对于技术有关的名词和与多义词一定要注明清晰,以便阅读时不会产生歧义。如:漏洞扫描:SQL注入:1.5. 参照资料请列出编写测试报告时所参照的
3、资料、文档。需求、设计、测试案例、手册以及其她项目文档都是范畴内可参照的资料。 测试使用的国标、行业指标、公司规范和质量手册等等。2. 测试概要 测试的概要简介,涉及测试范畴、测试措施、测试工具、测试环境等,重要是测试状况简介。2.1. 测试范畴请在此处阐明本次测试的测试范畴,可以参照安全测试方案中描述的测试范畴。2.2. 测试措施和测试工具简要简介测试中采用的措施和工具示例:Xx系统重要使用了输入安全、访问控制安全、认证与会话管理、缓冲区溢出、回绝服务、不安全的配备管理、注入式漏洞等安全测试方案。针对以上提供的测试方案进行相应的测试用例和测试脚本编写,并使用ebsecriy作为测试工具。.1
4、验证输入安全xx系统重要对没有被验证的输入进行如下测试数据类型(字符串,整型,实数,等)、容许的字符集、最小和最大的长度、与否容许空输入、参数与否是必须的、反复与否容许、数值范畴、特定的值(枚举型)、特定的模式(正则体现式).2.2. 访问控制安全需要验证顾客身份以及权限的页面,复制该页面的url地址,关闭该页面后来,查看与否可以直接进入该复制好的地址例:从一种页面链到另一种页面的间隙可以看到UR地址 直接输入该地址,可以看到自己没有权限的页面信息2.认证与会话管理例:对Grd、Labl、Tre view类的输入框未做验证,输入的内容会按照tml语法解析出来2. 缓冲区溢出没有加密核心数据例:
5、iwsour:ttp地址可以查看源代码在页面输入密码,页面显示的是 *, 右键,查看源文献就可以看见刚刚输入的密码。2.5 回绝服务分析:袭击者可以从一种主机产生足够多的流量来耗尽狠多应用程序,最后使程序陷入瘫痪。需要做负载均衡来对付。2.2.6. 不安全的配备管理分析:Cnfig中的链接字符串以及顾客信息,邮件,数据存储信息都需要加以保护程序员应当作的: 配备所有的安全机制,关掉所有不使用的服务,设立角色权限帐号,使用日记和警报。分析:顾客使用缓冲区溢出来破坏web应用程序的栈,通过发送特别编写的代码到eb程序中,袭击者可以让w应用程序来执行任意代码。2.7 注入式漏洞例:一种验证顾客登陆的
6、页面,如果使用的sql语句为:Slec from tbe A here serme + srmeand psswod. Sql 输入 or 1= 就可以不输入任何ssord进行袭击或者是半角状态下的顾客名与密码均为:or=。2.8. 不恰当的异常解决分析:程序在抛出异常的时候给出了比较具体的内部错误信息,暴露了不应当显示的执行细节,网站存在潜在漏洞。22.9. 不安全的存储分析:帐号列表:系统不应当容许顾客浏览到网站所有的帐号,如果必须要一种顾客列表,推荐使用某种形式的假名(屏幕名)来指向实际的帐号。浏览器缓存:认证和会话数据不应当作为ET的一部分来发送,应当使用PST。2.2.10. 跨站脚
7、本(XSS)分析:袭击者使用跨站脚本来发送歹意代码给没有发现的顾客,窃取她机器上的任意资料 测试措施: TML标签: 转义字符:&(&);();(空格); 脚本语言: Alert() 特殊字符: / 最小和最大的长度 与否容许空输入2.211. 测试工具简介:工具名称用途生产厂商版本 以上为示例内容2.3. 测试环境与配备在本次项目的测试中,所使用到的环境和配备见下表:硬件环境序号服务器厂商/型号配备数量IP操作系统软件环境序号系统软件厂商版本备注3. 测试组织3.1. 测试人员 序号姓名角色职责3.2. 测试时间细分及投入人力如下为测试过程中多种测试轮次的时间和人员安排以及工作内容的简朴描述
8、:测试轮次子系统/子模块起止日期总天数测试人员4. 测试成果及缺陷分析4.1. 测试执行状况记录分析 子系统/子模块测试案例数发现缺陷数4.2. 遗留缺陷列表测试过程共发现问题:x个。共解决问题:xx个。未解决问题:x个。所测试项目中所遗留的缺陷详见下表:缺陷D缺陷概要遗留因素分析避免与改善措施5. 测试结论示例:1、本次测试覆盖全面,测试数据基本合理,测试有效。 、SL注入测试,已执行测试用例,问题回归后测试通过3、跨站脚本测试,测试发现文本框对尖括号、百分号、单引号、圆括号、双引号进行了转义,测试通过。4、跨目录测试,已执行测试用例,途径已加密,无漏洞,测试通过、顾客权限控制和权限数据控制安全测试,已执行测试用例,问题经回归后测试通过。综合以上结论得出本次安全测试通过/不通过6. 测试建议对系统存在问题的阐明,描述测试所揭发的软件缺陷和局限性,以及也许给软件实行和运营带来的影响;也许存在的潜在缺陷和后续工作对缺陷修改和产品设计的建议。
