xx 系统
测试报告
修改记录
版本 修改日期 说明 修改人 审核人
V 1.0 2019/12/3
0
系统安全测试报告
xxx xxx
测试内容
测试系统 域名/网址
测试概述
【xx 系统】项目安全测试任务于 xx 年 xx 月 xx 日完成。
测试范围
测试的整体范围以安全性测试为主,暂时不包含功能测试和性能测
试。
1)安全测试:检测系统是否存在可以被攻击利用的漏洞,以及由此引起
的风险大小。
测试目的
通过模拟黑客攻击的安全测试,评估目标系统是否存在可以被攻击者真
实利用的漏洞以及由此引起的风险大小,为制定相应的安全措施与解决方
案提供实际的依据
风险描述
安全性测试(security testing):就是在软件研发和维护过程
中,通过不同的测试方法,发现安全性的问题,包括下列各类问
题:
• 信息泄露、破坏信息的完整性
• 拒绝服务
• 非法使用(非授权访问)、窃听
• 业务数据流分析
• 假冒、旁路控制
• 授权侵犯 (内部攻击)
• 抵赖 (来自用户的攻击)
• 计算机病毒、恶意软件
• 信息安全法律法规不完善
风险等级 高:漏洞明显&攻击条件容易获得,获取验证权限,执行管理员操作,
泄露大量的敏感信息。此等级的风险是不允许存在的。
中:通过重复攻击操作,深入挖掘漏洞信息,部分非默认的配置信息,
此等级的风险是不允许存在的。
低:发信漏洞困难,泄露极少数的其他信息。此等风险等级是具体情况
而定。
测试过程
测试人员根据 WASC 威胁分类,对应用程序从以下类型的安全方面
进行测试:
用户认证安全性测试
系统中不同用户权限设置
1
评论2