某网络渗透测试报告
0x1概述
1.1渗透范围
1.2渗透测试主要内容
0x2 脆弱性分析方法
0x3 渗透测试过程描述
3.1遍历目录测试
3.2弱口令测试
3.3Sql注入测试
3.4内网渗透
3.5内网嗅探
0x4 分析结果与建议
0x1 概述
某时段接到xx网络公司授权对该公司网络进行模拟黑客攻击渗透,在xx年xx月xx日-xx年xx月xx日.对xx网络公司的外网服务器和内网集群精心全面脆弱性黑盒测试.完成测试得到此份网络渗透测试报告。
1.1渗透范围
此次渗透测试主要包括对象:
某网络公司外网web服务器.企业邮局服务器,核心商业数据服务器和内网办公网络系统。
1.2渗透测试主要内容
本次渗透中,主要对某网络公司web服务器,邮件服务器进行遍历目录,用户弱口令猜解,sql注入漏洞,数据库挖掘,内网嗅探,以及域服务器安全等几个方面进行渗透测试。
0x2 脆弱性分析方法
按照国家工信部is900标准,采用行业内认可的测试软件和技术人员手工操作模拟渗透。
0x3 渗透测试过程描述
3.1 遍历目录测试
使用载入国内外3万多目录字典的wwwscan对web和邮件服务器进行目录探测。得到探测结果。主站不存在遍历目录和敏感目录的情况。但是同服务器站点存在edit编辑器路径。该编辑器版本过低。存在严重漏洞。如图
3.2 用户口令猜解
Nmap收集到外网服务器ftp.使用默认的账号无法连接,于是对web和能登陆的界面进行弱口令测试,具体如下图
3.3 sql注入测试
通过手工配合工具检测sql注入得到反馈结果如下图
根据漏洞类别进行统计,如下所示:
3.4 内网渗透
…… …… 余下全文