安全渗透测试报告模板.doc_安全渗透测试报告,一份完整的渗透测试报告资源-CSDN文库

软件测试

5星 · 超过95%的资源需积分: 47 198 浏览量 2011-10-12 12:59:27 上传评论 7 收藏 551KB DOC 举报

资源推荐

资源详情

资源评论

作者博客 http://root2005.spaces.msn.com

文档编号：xxxx

安全渗透测试报告

Version 1.0

2005 年 2 月

- 1 -

作者博客 http://root2005.spaces.msn.com

文档信息

项目名称 xxxxxxxxxxxxxxxxxxxx 安全服务项目

文档名称安全渗透测试报告样版

文档编号

创建人 aaaa 公司王亮创建日期

审核人审核日期

接收方接收日期

适用范围

文档说明

1)传统的安全评估，渗透测试工作很多仅仅是发现漏洞、利用漏洞获取

最高权限、漏洞统计等等没有太大意义的工作。经过在实践当中的摸

索，我发现利用风险图与漏洞说明细节关联的方法能非常直观的表现出

客户网络的风险，而且在风险图上可以很直观的看到客户最关心的业务

风险，这样就能非常有说服力，而非仅仅像以前的安全评估工作大多是

从漏洞数量、从漏洞危害、从获取的控制权上说明风险。

2)在阅读该风险文档的时候，只要以风险图为中心去通篇阅读该文档就

能非常直观的了解整体的安全风险。当然还可以考虑进一步完善，比如

用另一张风险图来描述安全策略控制点等等。该文档仅仅用来提供一个

思路，到 06 年 30 号为止，目前我和我的同事们、朋友们还没发现国内

有谁做过或者公开过这样思路的文档。我想放出来给大家讨论讨论该方

法是否可行，是否是一个不错的好思路，我希望能对将来的评估或渗透

工作起到一点好的作用，同时我非常欢迎大家来信与我交流：

root@21cn.com

3)该文档只是一个渗透文档，如果是做评估的话可以把攻击路径画出

来，不同路径能够带来的风险，路径风险可分两大类，一种是可能的风

险线是推演出来的并不一定发生或可以立即证明，第二种是通过技术手

段证实的客观存在的风险线。另外还需要标明上各风险点的风险指数等

参数。

4)该文档只是演示思路，事实上我去掉了大量的内容并修改了很多内

容。

变更记录

版本修订时间修订人修订类型修订章节修订内容

*修订类型分为 A - ADDED M - MODIFIED D – DELETED

- 2 -

作者博客 http://root2005.spaces.msn.com
版权说明
本 文 件 中 出 现 的 全 部 内 容 ， 除 另 有 特 别 注 明 ， 版 权 均 属 王 亮 （ 联 系 邮 件 ：
root@21cn.com）所有。任何个人、机构未经王亮的书面授权许可，不得以任何方式复制、
破解或引用文件的任何片断。
目 录
1  评估地点........................................................................................................................................................1
2  评估范围........................................................................................................................................................1
3  评估技术组人员............................................................................................................................................1
4  风险报告........................................................................................................................................................1
5  XXXX 省 XXXXXXXXX 风险示意图........................................................................................................3
6  风险概括描述................................................................................................................................................4
7  风险细节描述................................................................................................................................................5
7.1  外部风险点(请参见风险图中的风险点 1)...........................................................................................5
7.1.1  
虚拟主机结构存在巨大的安全风险
..............................................................................................5
7.1.2  
大量的致命注入漏洞
......................................................................................................................6
7.1.3  MSSQL
权限配置存在安全问题
....................................................................................................7
7.1.4  
存在大量的跨站漏洞
......................................................................................................................7
7.2  内部网风险点.........................................................................................................................................9
7.2.1  
核心业务的致命安全问题
..............................................................................................................9
7.2.2  
多台服务器
IPC
弱口令及
MSSQL
弱口令
(
请参见风险图中的风险点
5)................................11
7.2.3  
其他各内网主机多个严重安全漏洞
(
请参见风险图中的风险点
6)..........................................12
8  安全性总结..................................................................................................................................................16
 8.1．已有的安全措施分析：....................................................................................................................16
 8.2．安全建议............................................................................................................................................17
- 3 -