海尔集团-Haier信息门户系统.doc

海尔集团
XX信息系统渗透测试报告
基本信息
项目名称:
XX信息系统渗透测试报告
起草人:
起草日期:
复审人:
复审日期:
文档版本日期:
文档版本号:
传阅范围
本文档为内部文档,适用于海尔集团关部门的管理层及本项目组成员传阅
版本历史
版本号
版本日期
修订人
说明
文件名
目录
1. 渗透测试基本情况 4
渗透测试目的 4
渗透测试范围 4
4
5
渗透测试检查项目分析 5
渗透测试结果总览 6
2. 测试发现与建议 6
漏洞1:SQL注入漏洞 6
3. 相关问题证据 7
问题1证据 7
4. 漏洞根源分析与整体建议 7
漏洞根源分析 7
整体建议 8
网站系统常态化安全运维建议 8
渗透测试基本情况
渗透测试目的
本次渗透是XXXX
渗透测试范围
渗透测试的范围选择原则,本着保护海尔,同时考虑其他重要网站的变更状态和测试人员的工作量,在限定范围内进行多种测试,尽量模拟真实的互联网攻击者,在限定范围内最大限度的保证测试深度,选择范围如下:
序号
名称
应用
范围说明
1

本次测试时间在XX年XX月XX日XX:00时至XX月XX日XX:00时,和XX月XX日XX时至XX月XX日XX:00之间完成。其中每天的XX:00-XX:00时间段(网站内容更新时段)不进行任何测试行为。
关键人员角色
测试操作人员
海尔接口人
系统接口人
XX项目负责人
渗透测试使用的IP地址
IP地址信息(包括但不限于以下地址,但未使用海尔的网络资源):

*注:本次测试的网络环境将使用外部网络资源,模拟真实的攻击者,对网站进行测试。
渗透测试使用的MAC地址
60-XXX-XX-B3-F2-94

对于发现的问题的风险等级评分以及他们对于公司的影响在下表中予以解释。评分是根据弱点所关联的风险进行的。总的来说,下列因素将影响对于弱点所对应得风险评分:
影响:黑客能够通过该弱点或漏洞获取的权限,及其对于整个公司的影响
利用的频率:描述了现有或者可能的利用的频率
利用的难度:利用该漏洞或弱点对应的成本
风险等级
高(High)
影响: 受此漏洞影响的信息资产可能被利用以获取目标系统或网站的特权或一般权限,或者对系统运行产生重大影响。
利用的频率:利用的技术广为人知,大多情况下网络环境满足成功利用的条件。
利用的难度:漏洞的利用技术能够被不熟练的黑客很容易获得以及使用。
中(Medium)
影响:受此漏洞影响的信息资产可能被用以获得有限的系统或网站的访问权限。
利用的频率:利用的技术流传程度一般,很多情况下网络环境满足成功利用的条件。
利用的难度:漏洞的利用技术能够被具有一般计算机及网络技术的人员获得及使用
低(Low)
影响:受此漏洞影响的信息资产可能被利用来获取权限的机会不大。
利用的技术流传程度不高,满足利用条件的网络环境比较少。
利用的难度:漏洞的利用技术很难获得及使用,并且对计算机技术的知识和经验的要