安全测试报告

安全测试报告系统名称版本号系统名称版本号送测单位送测时间复测时间有效性声明

Xxxx2023xxxx1、本测试报告封面及结论未盖章无效；2、本测试报告需经审批和授权签字人签字，否则无效；3、本测试报告应妥当保存，不得擅自扩大分发范围；4、本测试报告不得局部复制；5、本测试报告仅对该系统当前版本有效；6、本测试报告仅对测试时间段有效；测试报告。系统名称版本系统名称版本单位名称送检单位通讯地址联系人邮箱测试单位测试地点测试依据测试工具批准人员签字光盘【】附件【】说明书【】其他【√】日期测试结论测试状况总结如下：初步测试共计觉察网络安全漏洞39个，其中高风险漏洞4项、中风险漏洞128声明：方自行打算使用场合，测试单位不对报告用途作说明或建议。全测试，判定其根本安全防护力量具备状况，不代表不存在安全风险。全测试，判定其根本安全防护力量具备状况，不代表不存在安全风险。〔中〕安全风险漏洞可转化为中〔高〕安全风险漏洞，运维单位须留意做好日常安全风险管控。中发生的网络安全大事自行担当有关责任。\l“_TOC_250069“测试目的 4\l“_TOC_250068“引用标准及参考资料 4\l“_TOC_250067“测试范围 4\l“_TOC_250066“4测评结果总结 4\l“_TOC_250065“入网安全测试结果 5\l“_TOC_250064“操作系统 5\l“_TOC_250063“数据库 7\l“_TOC_250062“中间件 8\l“_TOC_250061“应用系统 9\l“_TOC_250060“系统测试记录 10\l“_TOC_250059“测试环境配置 10\l“_TOC_250058“网络安全 11\l“_TOC_250057“整体构造安全 11\l“_TOC_250056“访问掌握 11\l“_TOC_250055“入侵防范 11\l“_TOC_250054“6.3工具 12\l“_TOC_250053“主机安全 12\l“_TOC_250052“身份鉴别 12\l“_TOC_250051“访问掌握 12\l“_TOC_250050“安全审计 13\l“_TOC_250049“入侵防范 13\l“_TOC_250048“资源掌握 14\l“_TOC_250047“数据安全备份与恢复 14\l“_TOC_250046“数据库系统安全 15\l“_TOC_250045“身份鉴别 15\l“_TOC_250044“访问掌握 15\l“_TOC_250043“安全审计 16\l“_TOC_250042“入侵防范 16\l“_TOC_250041“数据安全及备份恢复 17\l“_TOC_250040“中间件安全 17\l“_TOC_250039“身份鉴别 17\l“_TOC_250038“访问掌握 17\l“_TOC_250037“安全审计 18\l“_TOC_250036“通信保密性 18\l“_TOC_250035“资源掌握 18\l“_TOC_250034“入侵防范 18\l“_TOC_250033“数据安全与备份恢复 19\l“_TOC_250032“应用系统安全 20\l“_TOC_250031“身份鉴别 20\l“_TOC_250030“访问掌握 20\l“_TOC_250029“安全审计 20\l“_TOC_250028“通信完整性 21\l“_TOC_250027“通信保密性 21\l“_TOC_250026“软件容错 21\l“_TOC_250025“资源掌握 22\l“_TOC_250024“数据保密性 22\l“_TOC_250023“代码质量 22\l“_TOC_250022“后台安全 22\l“_TOC_250021“页面篡改 23\l“_TOC_250020“移动应用安全测评技术要求 23\l“_TOC_250019“身份鉴别 23\l“_TOC_250018“访问掌握 23\l“_TOC_250017“重要操作安全 23\l“_TOC_250016“网络通讯安全 23\l“_TOC_250015“会话安全 24\l“_TOC_250014“认证安全 24\l“_TOC_250013“抗抵赖 24\l“_TOC_250012“客户端保护 24\l“_TOC_250011“漏洞扫描 24\l“_TOC_250010“主机风险分布 24\l“_TOC_250009“存储性跨站脚本攻击〔高危〕 24\l“_TOC_250008“任意文件读取〔高危〕 25\l“_TOC_250007“多个反射性跨站脚本攻击〔高危〕 25\l“_TOC_250006“多个未授权访问〔高危〕 25\l“_TOC_250005“漏洞风险分布 26\l“_TOC_250004“高危漏洞的主机分布 26\l“_TOC_250003“操作系统主机分布 26\l“_TOC_250002“操作系统漏洞分布 26\l“_TOC_250001“漏洞具体 26\l“_TOC_250000“渗透测试 26测试目的展安全测评。引用标准及参考资料测试范围Serverrelease6.42数据库mysql5.5.483中间件weblogic4应用系统序列类别1主机对象序列类别1主机对象RedHatEnterpriseLinux17122817122941218风险总数34高风险4中风险12低风险181.操作系统高风险0中风险4低风险82.数据库高风险0中风险3低风险13.中间件高风险0中风险4低风险24.应用系统高风险4-10中风险测评分项统计状况1低风险720181614121086420高风险中风险低风险风险总数入网安全测试结果风险总数操作系统初次测试觉察12个问题，其中高风险问题0个，中风险问题4个，低风险与恢复漏洞扫描与恢复漏洞扫描没有风险无没有风险无测试系统问题标识问题描述问题等级问题状态身份鉴别没有风险无存在多个everyone访问掌握用户具有写权限的低RedHat安全审计名目没有风险无Enterprise入侵防范未开启主机防火墙中LinuxServer恶意代码防范没有风险无release6.4资源掌握IT低表5-1-125系统效劳器RedHatEnterpriseLinuxServerrelease6.4测试系统RedHatEnterpriseLinuxServerrelease6.4

问题标识

问题描述没有风险用户具有写权限的名目没有风险

问题等级问题状态无低无入侵防范入侵防范资源掌握与恢复漏洞扫描未开启主机防火墙没有风险IT中无低没有风险无没有风险无表5-1-126系统效劳器RedHatEnterpriseLinuxServerrelease6.4测试系统问题标识问题描述问题等级问题状态身份鉴别没有风险无存在多个everyone访问掌握用户具有写权限的低RedHat安全审计名目没有风险无Enterprise入侵防范未开启主机防火墙中LinuxServer恶意代码防范没有风险无release6.4资源掌握IT低与恢复漏洞扫描没有风险无没有风险无表5-1-127系统效劳器RedHatEnterpriseLinux与恢复漏洞扫描没有风险无没有风险无测试系统问题标识问题描述问题等级问题状态身份鉴别没有风险无存在多个everyone访问掌握用户具有写权限的低RedHat安全审计名目没有风险无Enterprise入侵防范未开启主机防火墙中LinuxServer恶意代码防范没有风险无release6.4资源掌握IT低与恢复漏洞扫描没有风险无没有风险无表5-1-128系统效劳器RedHatEnterpriseLinux与恢复漏洞扫描没有风险无没有风险无测试阶段测试阶段初测高风险0中风险4低风险812表5-1-2操作系统问题汇总表操作系统安全性漏洞统计图表标题操作系统安全性漏洞统计图表标题9876543210高风险中风险低风险数据库3003测试系统 问题标识安全审计

问题描述志进程很多据库审计日志

问题等级问题状态无无中中mysql据库

入侵防范资源掌握与恢复漏洞扫描

没有风险 无没有风险 无低最大并发连接数限制中设置操作超时锁定没有风险 无无 无表5-2-1mysql5.5.48测试阶段测试阶段初测高风险0中风险3低风险14表5-2-2数据库问题汇总表数据库安全性漏洞统计数据库安全性漏洞统计3.532.521.510.50高风险中风险低风险中间件6042测试系统 问题标识安全审计通信保密性

问题描述审计功能无中间件日志输协议

问题等级问题状态无无中低中weblogic

资源掌握入侵防范与恢复漏洞扫描

没有风险 无未对错误页面进展了 重定向处理未修改中间件默认管7001 中未对掌握台console 进展重命名没有风险 无没有风险 无5-3-1weblogic测试阶段测试阶段初测高风险0中风险4低风险26中间件安全性漏洞统计4.543.5中间件安全性漏洞统计4.543.532.521.510.50高风险中风险低风险应用系统测试系统问题标识问题描述问题无无中低问题状态身份鉴别访问掌握安全审计测试系统问题标识问题描述问题无无中低问题状态身份鉴别访问掌握安全审计没有风险没有风险完整性后传输没有风险重并发会话数低通信保密性低应用系统软件容错无低没有限制应用系统的低资源掌握最大并发会话连接数会话数低数据保密性未承受加密或其他保低渗透测试渗透测试漏洞高高表5-4-1护措施实现应用系统敏感信息的存储保密代码质量性没有风险无后台安全没有风险无页面篡改没有风险任意文件读取漏洞无高高测试阶段测试阶段初测高风险4中风险1低风险712表5-4-2应用系统问题汇总表应用系统安全性漏洞统计应用系统安全性漏洞统计876543210高风险中风险低风险系统测试记录测试环境配置序序号效劳器名称用途操作系统版本IP软件1应用系统效劳器件/应用软件RedEnterpriseHatLinuxServerweblogicrelease6.422系统效劳器部署数据库系统RedEnterpriseHatLinuxServermysql5.5.48release6.4网络安全整体构造安全余空间，满足业务顶峰期需要。测试结果：满足要求。应绘制与当前运行状况相符的系统网络拓扑构造图。拓扑如下：测试记录：网络拓扑符合公司相关规定要求。测试结果：满足要求。应保证网络各个局部的带宽满足业务顶峰期需要；访问掌握过程中被窃听；测试结果：满足要求。应限制访问网络设备的用户源；测试结果：满足要求。IDC测试结果：满足要求。入侵防范攻击、缓冲区溢出攻击、IPIP发生严峻入侵大事时应供给报警工具序号序号1测试名称漏洞扫描测试工具天镜脆弱性扫描与治理系统(V6.0)主机安全身份鉴别方式。测试结果：满足要求。8位，口令必需从字符a-zA-Z、数字0-、符号~@#$%^&*_<〕少选择两种进展组合。测试结果：满足要求。动退出等措施。测试结果：满足要求。ssh2测试结果：满足要求。访问掌握〔统和数据库特权用户的权限分别。测试结果：满足要求。应重命名系统默认帐户，修改默认帐户口令。测试结果：满足要求。测试记录：已删除多余用户。测试结果：满足要求。windowseveryonepasswdgroup644，shadow400。测试结果：满足要求。系统禁用不必要效劳，并关闭多余的效劳端口。测试结果：不满足要求。的用户名”。测试结果：不适用。WINDOWSlinux。测试结果：不适用。远程登陆的地址进展限制。测试结果：满足要求。安全审计计，审计策略应掩盖到全部用户。测试结果：满足要求。果等。测试结果：满足要求。用等系统内重要的安全相关大事等；的使用等系统内重要的安全相关大事等。测试结果：满足要求。修改或掩盖等。测试结果：满足要求。入侵防范测试记录：已更补丁。测试结果：满足要求。〔IPCSYNFLOOD。测试结果：满足要求。Windows操作系统应进展关键权限指派，如“从本地登录此计算机”、Administrators测试结果：不适用。测试记录：未开启系统防火墙。测试结果：不满足要求。恶意代码防范代码库。测试结果：不适用。linux。测试结果：不适用。资源掌握应通过设定终端接入方式、网络地址范围等方式限制终端登录。测试结果：满足要求。测试记录：设置了登陆终端会话超时锁定。测试结果：满足要求。应有系统可用性监控措施，对效劳器主机用户的磁盘、CPU、内存等使用状况进展监控。测试记录：无系统可用性监控措施对效劳器主机用户的磁盘、CPU、内存等使用状况进展监控。测试结果：不满足要求。〔待定〕数据安全备份与恢复应对重要操作系统进展定期备份。测试结果：满足要求。测试记录：系统具有冗余力量。测试结果：满足要求。数据库系统安全身份鉴别8〔a-z，A-Z、数字〔0-9、符号6测试记录：数据库已设置简单度要求。测试结果：满足要求。出等措施。测试结果：满足要求。访问掌握WWW、FTP、DNS等。限制数据库安装、数据文件、备份等名目的权限。关闭不必要的数据库系统效劳。测试结果：满足要求。数据库效劳外的最低权限。测试结果：满足要求。DBADBA测试结果：满足要求。测试记录：已修改默认账户及口令。测试结果：满足要求。测试记录：已删除或禁用多余用户。测试结果：满足要求。安全审计范围应掩盖到数据库全部帐户。测试结果：不满足要求。用等系统内重要的安全相关大事。测试结果：不满足要求。主体标识、客体标识和结果等。测试结果：不满足要求。6测试结果：不满足要求。入侵防范丁。测试结果：满足要求。测试记录：有对数据库中的敏感字段进展加密。测试结果：满足要求应修改数据库默认端口。(可选)。测试结果：满足要求。测试记录：未进展最大并发连接数限制。测试结果：不满足要求。测试记录：已删除多余及测试的数据库实例。测试结果：满足要求。ORACLE〔注：集群部署不作要求监听效劳空闲连接超时时间。测试结果：不适用。数据安全及备份恢复〔安全等级保护拟定测试记录：厂家对数据进展定期备份。测试结果：满足要求测试记录：数据库具备冗余力量。测试结果：满足要求。中间件安全身份鉴别8〔a-z，A-、数字〔0-9、符号〔~！@#$%^&*_<>〕中至少选择两种进展组合，由非纯数字或字母组成。测试结果：满足要求。度至少为8位以上，口令必需从字符〔a-z，A-Z、数字〔0-9、符号〔~@#$%^&*_<>〕中至少选择两种进展组合，由非纯数字或字母组成。测试结果：满足要求。测试记录：鉴别信息应加密存储。测试结果：满足要求。数、帐户锁定时间等。测试结果：满足要求。访问掌握件效劳外的最低权限。测试结果：满足要求。测试记录：已修改默认用户名及默认口令。测试结果：满足要求。安全审计测试记录：未开启日志审计功能。测试结果：不满足要求。6测试记录：未开启日志审计功能。测试结果：不满足要求。应对安全审计的日志记录文件进展保护，设置记录文件的访问权限，640。测试结果：不满足要求。通信保密性SSL测试结果：不满足要求。资源掌握测试记录：启用会话超时功能。测试结果：满足要求。Tomcat〔connectionTimeout、长连接最大保持时间〔keepAliveTimeout、会话超时〔session-timeout〕等功能。测试结果：不适用。weblogic。测试结果：不适用。入侵防范中间件应对错误页面进展了重定向处理。404测试结果：不满足要求。测试结果：满足要求。测试记录：已对版本信息进展隐蔽。测试结果：满足要求。中间件治理后台操作进展登陆源限制。测试结果：满足要求。测试记录：制止发送效劳标识。测试结果：满足要求。7001。测试结果：不满足要求。SocketSocket测试结果：满足要求。consoleconsole测试结果：不满足要求。weblogic。测试结果：不适用。weblogic。测试结果：不适用。weblogic。测试结果：不适用。IIS中间件应删除局部安装缺省文件或名目，如sample、help、DataAccesswwwroot测试结果：不适用。weblogic。测试结果：不适用。数据安全与备份恢复测试记录：厂家对中间件定期进展备份。测试结果：满足要求。应用系统安全身份鉴别用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。测试结果：满足要求。8〔a-zA-Z〔0-9、符号〔~！@#$%^&*_<>〕中至少选择两种进展组合，一般帐户口令至少为6测试结果：满足要求。与原密码一样；测试结果：满足要求。测试记录：内网应用系统。测试结果：不适用。和自动退出等措施。测试结果：满足要求。访问掌握admin、supadmin、root治理员帐号。测试结果：满足要求。员帐户不参与业务流程。测试结果：满足要求。安全审计a.用户登录、登出、失败登陆日志。b.治理员授权操作日志。〔注销〕用户操作日志。d.重要业务操作。测试结果：不满足要求。测试记录：无日志审计功能。测试结果：不满足要求。存六个月以上。测试结果：不满足要求。通信完整性测试记录：未使用校验码技术。测试结果：不满足要求。通信保密性敏感信息在传输前应承受加密机制加密后传输。测试结果：不满足要求。识；用户登录后应安排的会话标识。软件容错数据格式或长度符合系统设定要求。应具备文件上传白名单过滤功能，制止上传aspjspexevbscom类型文件。测试结果：满足要求。站的内容；资源掌握应用系统应具备空闲超时自动完毕会话功能。数据保密性〔包括系统治理数据、鉴别信息和重要业务数据〕的存储保密性。测试结果：不满足要求。代码质量web应用系统其它文件。后台安全通过绕过登录认证进展非法操作。测试结果：满足要求。IP、端口级别。测试记录：该系统后台的访问源通过防火墙进展限制。测试结果：满足要求。应避开使用开源的后台治理程序。测试结果：满足要求。限公布到互联网。测试结果：满足要求。页面篡改测试记录：该系统为内网系统，不适用。测试结果：满足要求。移动应用安全测评技术要求身份鉴别应设置密码简单度策略；访问掌握应制止恳求非必要的权限，限制越权访问；只开放必要的软件权限，防止扣费风险、隐私泄露风险等；应启用访问掌握功能，设置密码保护以及设置合理的访问掌握策略；应对用户的输入进展有效性校验、认证、授权。重要操作安全交互的重要信息的机密性和完整性。数据存储安全1〕敏感数据应制止明文存储在移动终端；网络通讯安全协议的支持。应用程序应当有特别保护，应能处理网络特别并准时将特别状况通报用户。会话安全经授权访问；会话标识应唯一、随机、不行猜测；会话应设置超时时间，当空闲时间超过设定时间应自动