XX移动XXX系统渗透测试报告■版本变更记录时间版本说明修改人目录附录A威胁程度分级 ............................................................................................................................... 附录B相关资料 .......................................................................................................................................一. 摘要经XXX的授权，XX科技渗透测试小组对XXX下属XXX系统证书版进行了渗透测试。

测试结果如下：☑严重问题：4个☑中等问题：1个☑轻度问题：1个图 1.1 安全风险分布图详细内容如下表：表 1.1 发现问题详细内容XX科技认为被测系统当前安全状态是：远程不安全系统二. 服务概述本次渗透测试工作是由XX科技的渗透测试小组独立完成的。

XX 科技渗透测试小组在2010年4月xx 日至2010年4月xx 日对XXX 的新XXX 系统进行了远程渗透测试工作。

在此期间，XX 科技渗透测试小组利用部分前沿的攻击技术；使用成熟的黑客攻击手段；集合软件测试技术（标准）对指定网络、系统做入侵攻击测试，希望由此发现网站、应用系统中存在的安全漏洞和风险点。

2.1 测试流程XX 科技渗透测试服务流程定义为如下阶段：信息收集：此阶段中，XX 科技测试人员进行必要的信息收集，如 IP 地址、DNS 记录、软件版本信息、IP 段、Google 中的公开信息等。

渗透测试：此阶段中，XX 科技测试人员根据第一阶段获得的信息对网络、系统进行渗透测试。

此阶段如果成功的话，可能获得普通权限。

缺陷利用：此阶段中，XX 科技测试人员尝试由普通权限提升为管理员权限，获得对系统的完全控制权。

在时间许可的情况下，必要时从第一阶段重新进行。

成果收集：此阶段中，XX 科技测试人员对前期收集的各类弱点、漏洞等问题进行分类整理，集中展示。

威胁分析：此阶段中，XX 科技测试人员对发现的上述问题进行威胁分类和分析其影响。

输出报告：此阶段中，XX 科技测试人员根据测试和分析的结果编写直观的渗透测试服务报告。

图 2.1 渗透测试流程2.2 风险管理及规避为保障客户系统在渗透测试过程中稳定、安全的运转，我们将提供以下多种方式来进行风险规避。

对象的选择为更大程度的避免风险的产生，渗透测试还可选择对备份系统进行测试。

因为备份系统与在线系统所安装的应用和承载的数据差异较小，而其稳定性要求又比在线系统低，因此，选择对备份系统进行测试也是规避风险的一种常见方式。

时间的控制从时间安排上，测试人员将将尽量避免在数据高峰时进行测试，以此来减小测试工作对被测试系统带来的压力。

另外，测试人员在每次测试前也将通过电话、邮件等方式告知相关人员，以防止测试过程中出现意外情况。

技术手段XX科技的渗透测试人员都具有丰富的经验和技能，在每一步测试前都会预估可能带来的后果，对于可能产生影响的测试（如：溢出攻击）将被记录并跳过，并在随后与客户协商决定是否进行测试及测试方法。

监控措施针对每一系统进行测试前，测试人员都会告知被测试系统管理员，并且在测试过程中会随时关注目标系统的负荷等信息，一旦出现任何异常，将会停止测试。

工具的使用在使用工具测试的过程中，测试人员会通过设置线程、插件数量等参数来减少其对系统的压力，同时还会去除任何可能对目标系统带来危害的插件，如：远程溢出攻击类插件、拒绝服务攻击类插件等等。

2.3 测试收益通过实施渗透测试服务，可对贵方的信息化系统起到如下推进作用：明确安全隐患点渗透测试是一个从空间到面再到点的过程，测试人员模拟黑客的入侵，从外部整体切入最终落至某个威胁点并加以利用，最终对整个网络产生威胁，以此明确整体系统中的安全隐患点。

提高安全意识如上所述，任何的隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果，因此渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷，从而降低整体风险。

提高安全技能在测试人员与用户的交互过程中，可提升用户的技能。

另外，通过专业的渗透测试报告，也能为用户提供当前流行安全问题的参考。

三. 测试目标说明3.1 测试对象3.2 测试账号3.3 时间本份测试报告分析的各种安全风险，仅限定于在上述时间段内测试反馈信息的整理，不包括非上述时间段内的因系统调整、维护更新后出现的其他变化情况。

3.4 参与测试人员3.5 测试环境本次渗透测试过程中，XX科技测试小组使用过多个互联网IP地址开展的分析工作，在此通知XXX新XXX系统相关人员在对受测试的目标站点服务器、相应的网络入侵检测系统进行安全监控和日志分析时，排除以下IP地址产生的任何违规信息，以保证分析结果的准确有效。

3.6 工具及相关资源表 3.1 测试工具：NetCat表 3.2 测试工具：Nmap表 3.3 测试工具：httprint表 3.5 测试工具：安全检测工具集在具体的分析过程中，XX科技测试小组在微软的Windows平台上（涵盖2003/Vista），使用了IE（涵盖6.0/7.0/8.0）和Firefox浏览器对指定的测试对象进行的分析、校验、测试。

因此，漏洞分析检测到的部分安全问题可能与特定的操作系统、软件版本有具体关系，提醒后期实施漏洞修复工作的人员特别注意其中的差异。

四. 测试过程详述4.1 目标信息探测4.1.1 域名信息渗透测试人员首先通过nslookup对主机的IP地址、NS记录等信息的查询，对站点进行基本的信息探测：对WWW目标进行Whois的查询，下面是获取到的Whois信息如下：4.1.2 Google Hacking搜索错误的文件后缀在此过程中，测试人员会对站点进行如下内容的搜索：通过上述方法测试，测试人没有在Google和Baidu等互联网公共搜索服务商搜索出与之相关的敏感信息。

查找第三方组件或程序在此过程中，测试人员会对站点进行如下内容的搜索：通过上述方法测试，测试人没有在Google和Baidu等互联网公共搜索服务商搜索出与之相关的敏感信息。

搜索错误的配置在此过程中，测试人员会对站点进行如下内容的搜索：通过上述方法测试，测试人没有在Google和Baidu等互联网公共搜索服务商搜索出与之相关的敏感信息。

4.2 对系统的测试4.2.1 端口扫描通过使用Nmap端口扫描工具对主机在Internet上的端口开放情况进行检查：图 4.1 Nmap扫描结果通过Nmap扫描报告，确认主机开放两个端口：TCP 21（用于FTP服务） TCP 443（用于 WEB 服务） 通过使用 nc（NetCat）对主机的 TCP 21 进行端口连接性测试，发现 在连接成功后较长时间内端口无反应：图 4.2 使用 nc 连接 TCP 21再次通过使用 ftp 客户端对目标系统发起 FTP 连接请求，得到信息 “Connection closed by remote host.”：图 4.3 使用 ftp 客户端对目标主机进行验证由此可确认 TCP 21 虽开放，但应在网络层有相关的 ACL 限制，因此无 法从 Internet 对其 FTP 服务发起连接请求。

4.2.2 服务信息探测通过端口扫描判断，远程目标主机仅有 TCP 443 端口（WEB 应用服务） 可用，因此，后继的渗透测试工作主要针对 WEB 应用本身及运行于 WEB 应用上的代码展开。

首先使用 httprint 对远程主机的 WEB 应用版本进行判断：图 4.4 httprint 判断远程 WEB 应用版本根据 httprint 输出无法判断远程主机的 WEB 应用。

通过 nc 手工提交 HTTP HEAD 请求，依然无法获取到目标 WEB 应用版本信息。

图 4.5 使用 nc 提交 HTTP HEAD 请求通过 nc 手工提交 HTTP OPTIONS 请求，依然无法获取到目标 WEB应用版本信息。

图 4.6 使用 nc 提交 HTTP OPTIONS 请求4.3 对应用的测试测试人员根据 WASC 威胁分类①，对应用程序的渗透测试从五个类型的安全方面进行测试， 这五个威胁类型包括：认证和授权、命令执行、逻辑攻击、客户端攻击、信息泄露。

暴力攻击LDAP 注入认证不充分SSI 注入会话定置SQL 注入会话期限不充分 Xpath 注入凭证/会话预测 操作系统命令授权不充分 格式字符串攻击缓冲区溢出功能滥用拒绝服务可预测资源定位路径遍历跨站点脚本编制目录索引内容电子欺骗信息泄露图 4.7 WASC 威胁分类图由于 XXX 系统区别于普通的 WEB 系统，因此，测试人员根据 XXX 系统的特点，从实际出发采用手工测试的方法，对五大类威胁中的部分内容进行测试。

4.3.2 认证和授权类由于 XXX 系统的特殊性②，测试人员没有对 XXX 系统登录账号进行暴力攻击的尝试，而是采 用使用证书方式对证书的有效性进行测试。

此次测试 XX 新 XXX 系统采用硬件 USBKe（y 即 XX），首先，测试人员对正常情况使用 USBKey 登录 XXX 系统进行记录和分析。

图 4.8 使用 USBKey 登录信息① WASC 即 Web Application Security Consortium。

是一个由安全专家、行业顾问和诸多组织的代表组成的 国际团体。

他们负责为 WWW 制定被广为接受的应用安全标准。

WASC 组织的关键项目之一是“Web 安全 威胁分类”，也就是将 Web 应用所受到的威胁、攻击进行说明并归纳成具有共同特征的分类。

② 账号及密码信息错误将导致账号锁定。

在没有插入 USBKey 的情况下，测试人员使用其他银行的“软证书”①进行登录：图 4.9 使用其他银行“软证书”进行登录通过使用 Tamper IE 截取登录过程提交的数据包，来对登录信息进行替换。

测试人员将使用其他银行“软证书”产生的信息替换为正常使用 USBKey登录产生的 dn 和 sn 信息进行欺骗。

Dn 和 sn 信息如下：Dn 信息 ：xxSn 信息 ：xx（威胁点）图 4.10 替换登录过程的数据信息经上述测试发现，XXX 证书版 USBKey 登录过程中，由 XXX 系统盾证书认证的相关信息 SN 为固定信息，任何提交者均可通过登录认证，存在“绕过登录 XX 新 XXX 系统的漏洞” （威胁点，附录像）。

同时，测试人员通过枚举表单的方式，同样可以获取登录过程中的相关认证信息，例如：dn、sn 信息。