安全评估报告模板v0.1.docx

-----
精品文档
xxx
平安评估报告
。
. 信息收集阶段
对所要测试的应用系统进展漏洞扫描，对扫描结果进展分析并发现潜在
的平安风险。
. 信息分析阶段
分析扫描结果，对一些敏感信息进展整合，对网络拓扑情况进展分析，
对所开放的效劳进展排查，发现系统存在的平安漏洞，分析网络构造对可利
用主机进展渗透，进一步提升权限，以到达控制网络目的。
-----
精品文档
. 模拟测试阶段
综合以上的信息收集和分析结果后，对所测试的应用系统开场进展模拟攻击，以下是针对该应用系统的攻击测试方式。
Nmap 强行突破扫描、口令猜解
通过互联，发现 XXXXXXX 局部敏感信息。
Web 效劳器应用程序分析
通过对应用层程序辅助测试工具以及手工测试，在应用系统上，发现有
网站配置原因导致的目录过滤不严网站及效劳器敏感信息泄漏等现象。详情
请见风险描述。
. 测试结果记录
出现问题测试工具、参数、结果、原始记录及简要分析过程。
系统层面渗透测试：
Web 应用程序层面渗透测试：
压力测试和负载测试
〔需要经过申请，测试有可能会导致效劳停顿〕
平安策略评估
漏洞总结和建议
通过对应用系统的渗透测试发现，该目标主机存在高风险的信息泄漏漏洞和
一些系统环境配置方面的纰漏，恶意攻击者能够利用此漏洞控制当前应用系统，
并能够进展添加，修改，删除等恶意操作。
-----
精品文档
建议：
对于系统层上的平安 apache tomcat 浏览任意 web 目录漏洞，建议对目录列
表进展制止设置；
对于 wamp 的探针 进展删除；
对于系统后台地址建议进展更复杂的设置；
建议加强管理员的口令以及设置平安问题信息；
建议使用网站系统自带的data目录隐藏功能，提高网站平安性；
Apache,mysql,php版本偏低，建议升级；
关闭效劳器不必要的端口和效劳，使效劳器在最小平安化下运行；
西南科技大学网络应急响应小组〔SNERT〕
2021 年 12 月 x 日
-----
精品文档
附件：
西南科技大学 xxxx 平安评估报告
指导教师：
测评人员名单：
姓名学院班级分工
兹此
证明
西南科技大学网络应急响应小组〔SNERT〕
2021 年 12 月 xx 日
附测评人员行为准那么：
为保证测试过程的标准、平安、高效、可靠，每一个参与测试的人员均应遵守以下规
那么：
1〕在我们的测试方案中，对测试行为、测试时间、测试地点均进展了约束，参测人员必须严格此方案执行。严禁任何人擅自尝试测试方案中未规定的危险操作。
2〕对测试过程必须进展详细记录，便于日后查验。
3〕测试中，任何人发现的任何漏洞都必须上报并记录，严禁发现漏洞后隐瞒，严禁利用测试中发现的漏洞进展非法活动或谋取私利。
4〕所有参测人员必须严谨、细致地进展测试，并尽全力防止引起网络阻塞或效劳器
-----
精品文档
死机等严重问题。
七
夕，只因有你，
总有一些人牵肠挂肚难以忘记，
总有一些日子温暖甜蜜最为珍惜
从春夏到秋冬，从陌生到熟悉，
虽不能时时联系，却总在特别的日子想起你，
七夕快乐，我的朋