XXXX网站安全测试报告
摘要
经xxxxx网站负责人的授权,xxxxx有限公司安全测试小组对xxxxx网站进行了安全测试。测试结果如下:
- 严重问题:7个
- 中等问题:8个
- 轻度问题:6个
一.安全风险分布
详细内容如下表:
1 发现问题详细内容
| 问题等级 |
种类 |
数量 |
名称 |
| 严重问题 |
7种 |
1个 |
盲注 |
| 1个 |
Apache Tomcat示例目录漏洞 |
||
| 1个 |
跨站脚本攻击 |
||
| 1个 |
应用程序错误消息 |
||
| 1个 |
Spring框架中的目录遍历 |
||
| 1个 |
JavaScript库薄弱 |
||
| 1个 |
Microsoft IIS波浪号目录枚举 |
||
| 中等问题 |
8种 |
1个 |
页面的错误信息 |
| 1个 |
缓慢的HTTP拒绝服务攻击 |
||
| 1个 |
Apache Jserv协议服务 |
||
| 1个 |
HTML表单没有CSRF保护 |
||
| 1个 |
VIEWSTATE参数未加密 |
||
| 1个 |
Snoop Servlet信息披露 |
||
| 1个 |
URL重定向 |
||
| 1个 |
用户凭据以明文发送 |
||
| 轻度问题 |
6种 |
1个 |
“点击劫持”:X-Frame-Options头失踪 |
| 1个 |
登录页面密码猜测攻击 |
||
| 1个 |
OPTIONS方法启用 |
||
| 1个 |
可能相对路径覆盖 |
||
| 1个 |
URL中的会话令牌 |
||
| 1个 |
坏链 |
xxxx有限公司认为被测系统当前安全状态是:远程不安全系统
服务概述
本次渗透测试工作是由xxxxxx有限公司的渗透测试小组独立完成的。
xxxxxx公司渗透测试小组在20xx年3月14日至20xx年xx月xx日对xxxx网站进行了远程渗透测试工作。在此期间,xxxxxxxx公司渗透测试小组利用部分前沿的攻击技术;使用成熟的黑客攻击手段;集合软件测试技术(标准)对指定网