2021年06月17日-2021年06月21日软件产品漏洞扫描安全性测试

      本报告针对主要针对郑州市xx股份有限公司基于xx虚拟主机提供的网址测试网站主页进行了非破坏性的安全测试。

测试内容

本次“xx虚拟主机”漏洞扫描测试的测试内容如下：

应用系统相关信息收集与分析

XSS跨站脚本攻击测试

CSRF跨站请求伪造测试

SQL注入测试

文件上传漏洞测试

木马上传后的访问行为防御及Html文件篡改行为防御测试

缓冲区溢出攻击测试

本地权限提升测试

逻辑验证攻击测试

Cookies欺骗攻击测试

LDAP注入攻击测试

URL重定向滥用

XML注入攻击测试

XML外部实体注入攻击

XPath注入攻击测试

信息泄露攻击

内容电子欺骗攻击

可预测资源位置攻击

恶意内容测试

格式字符测试攻击

目录索引攻击

空字节注入攻击

路径遍历

远程文件包含攻击

注：对于一些可能导致目标系统业务中断的测试方法将不包含在本次检测工作中。

风险控制措施

       本次安全测试由于采用可控制的、非破坏性质的安全测试，因此不会对被测网站及后台虚拟主机造成严重的影响。在安全测试结束后，系统将保持正常运行状态。同时采取以下手段保证安全测试对系统的影响最小化：

1，在安全测试进行之前对系统稳定性进行测试。

2，避免采用大规模探测或DOS攻击方式进行测试。

3，在安全测试结束之后对系统进行测试，验证系统可稳定进行。

4，不采取有损伤性的测试手段和方法。

5，采用空闲时间段，避免了高峰时期的事故影响。

1.1.测试环境

xx虚拟主机软件环境要求如下所示：

测试工具

参与本次测试工作的部分工具如下：

    WVS，Nessus，Nmap，X-Scan，APPscan，maltego，Xprobe，Hping，

    Metasploit，Cain，John the Ripper。

测试结论和建议

       本次测试针对基于xx虚拟主机的互联网Web核心应用系统进行了全面的漏洞扫描检测和分析，共扫描测试用例1121例，其中通过的测试用例为1113例，可能存在问题的用例8例，系统各项安全数据运行稳定，系统可靠，无严重漏洞和安全隐患，高危漏洞拦截率 > 99%，基本满足软件产品安全测试项及安全测试通过准则的要求，达上线标准，可正常使用。