还剩11页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
国信嘉宁数据技术有限公司系统XXX安全测试报告创建人XXX创建时间年月日确认时间:当XXXX XX XX前版本VLO
3.测试组织
3.
1.测试人员序号姓名角色职责
3.
2.测试时间细分及投入人力以下为测试过程中多个测试轮次的时间和人员安排以及工作内容的简单描述测试轮次子系统/子模块起止日期总天数测试人员
4.测试结果及缺陷分析
4.
1.测试执行情况统计分析子系统/子模块测试案例数发现缺陷数
4.
2.遗留缺陷列表测试过程共发现问题个共解决问题个未解决问题个XXXXXX所测试项目中所遗留的缺陷详见下表缺陷缺陷概要遗留原因分析预防与改进措施ID
5.测试结论示例:、本次测试覆盖全面,测试数据基础合理,测试有效
1、注入测试,已执行测试用例,问题回归后测试通过2SQL、跨站脚本测试,测试发现文本框对尖括号、百分号、单引号、圆括号、双引号进3行了转义,测试通过、跨目录测试,已执行测试用例,路径已加密,无漏洞,测试通过
4、用户权限控制和权限数据控制安全测试,已执行测试用例,问题经回归后测试通5过综合以上结论得出本次安全测试通过/不通过
6.测试建议对系统存在问题的说明,描述测试所揭露的软件缺陷和不足,以及可能给软件实施和运行带来的影响,可能存在的潜在缺陷和后续工作对缺陷修改和产品设计的•建议文档变更记录文档编号文件状态W]当前版本草稿P01[]正式发布编制V
1.0XXX[]废止审核人发布日期版本编号修订类型修订章节修订内容编制人/日期审核人/日期全文初稿V
1.0A xxx/160808*修订类型分为A-ADDED,M-MODIFIED,D-DELETED简介编写目的
1.4项目背景
1.
1.4系统简介
1.
2.4术语定义和缩写词
1.
3.4参考资料
1.
4.4测试概要
1.
5.5测试范围
2.5测试方法和测试工具
2.
1.5测试环境与配置
2.
2.5测试组织
2.
3.9测试人员
3.10测试时间细分及投入人力
3.
1.10测试结果及缺陷分析
3.
2.10测试执行情况统计分析
4.10遗留缺陷列表
4.
1.10测试结论
4.
2.11测试建议
5.
116.
121.简介
1.
1.编写目的描述编写本测试报告需要说明的内容如本报告为项目的安全测试报告,目的在考察系统安全性、测试结论以及测试建议XX
1.
2.项目背景对项目背景进行简要说明,可从需求文档或测试方案中获取
1.
3.系统简介对所测试项目进行简要的介绍,如果有设计说明书可以参考设计说明书,最好添加上架构图和拓扑图
1.
4.术语定义和缩写词列出设计本系统/项目的专用术语和缩写语约定对于技术相关的名词和与多义词一定要注明清楚,以便阅读时不会产生歧义如漏洞扫描注入SQL
1.
5.参考资料请列出编写测试报告时所参考的资料、文档需求、设计、测试案例、手册以及其他项目文档都是范围内可参考的资料测试使用的国家标准、行业指标、公司规范和质量手册等等
2.测试概要测试的概要介绍,包括测试范围、测试方法、测试工具、测试环境等,主要是测试情况简介
2.
1.测试范围请在此处说明此次测试的测试范围,可以参考安全测试方案中描述的测试范围
2.
2.测试方法和测试工具简要介绍测试中采用的方法和工具示例系统主要使用了输入安全、访问控制安全、认证与会话管理、缓冲区溢出、拒绝Xxx服务、不安全的配置管理、注入式漏洞等安全测试方案针对以上提供的测试方案进行对应的测试用例和测试脚本编写,并使用作为测试Websecurify工具
221.验证输入安全系统主要对没有被验证的输入进行如下测试Xxx数据类型(字符串,整型,实数,等)、允许的字符集、最小和最大的长度、是否允许空输入、参数是否是必须的、重复是否允许、数值范围、特定的值(枚举型)、特定的模式(正则表达式)
2.
2.
2.访问控制安全需要验证用户身份以及权限的页面,复制该页面的地址,关闭该页面以url后,查看是否可以直接进入该复制好的地址例从一个页面链到另一个页面的间隙可以看到地址URL直接输入该地址,可以看到自己没有权限的页面信息
2.
2.
3.认证与会话管理例对、、类的输入框未做验证,输入的内容会按照Grid LabelTree viewhtml语法解析出来
2.2A缓冲区溢出没有加密关键数据在页面输入密码,页面显示的是*****,右键,查看源文件就可以看见刚才例地址可以查看源代码view-source:http输入的密码
2.
2.
5.拒绝服务分析攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序,最终使程序陷入瘫痪需要做负载均衡来对付
2.
2.
6.不安全的配置管理分析中的链接字符串以及用户信息,邮件,数据存储信息都需要加以保护Config程序员应该作的配置所有的安全机制,关掉所有不使用的服务,设置角色权限帐号,使用日志和警报分析用户使用缓冲区溢出来破坏应用程序的栈,通过发送特别编写的代码到web web程序中,攻击者可以让应用程序来执行任意代码web
2.
2.
7.注入式漏洞例一个验证用户登陆的页面,如果使用的语句为sql,Select*from tableA whereusername=+username+and password•••..输入就可以不输入任何进行攻击Sql or1=1password或者是半角状态下的用户名与密码均为or=
2.
2.
8.不恰当的异常处理分析程序在抛出异常的时候给出了比较详细的内部错误信息,暴露了不应该显示的执行细节,网站存在潜在漏洞
2.
2.
9.不安全的存储分析帐号列表系统不应该允许用户浏览到网站所有的帐号,如果必须要一个用户列表,推荐使用某种形式的假名屏幕名来指向实际的帐号浏览器缓存认证和会话数据不应该作为的一部分来发送,应该使用GET POSTo
2.
2.
10.跨站脚本XSS分析攻击者使用跨站脚本来发送恶意代码给没有发觉的用户,窃取他机器上的任意资料测试方法标签/•HTML•••••••转义字符:;;;空格;•脚本语言•〈script,language=javascript-Alert/script特殊字符/•最小和最大的长度•是否允许空输入•测试工具介绍工具名称用途生产厂商版本以上为示例内容
2.
3.测试环境与配置在此次项目的测试中,所使用到的环境和配置见下表:硬件环境配置/数序号服务器厂商/型号IP操作系统量软件环境序号系统软件厂商版本备注。