安全性测试与评估报告
1 客户信息
XX
2 测试过程示意图
本测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑:比如用工具分析所有的HTTP请求及响应,以便测试人员掌握应用程序所有的接入点(包括HTTP头,参数,cookies等);在主动模式中,测试人员试图以黑客的身份来对应用及其系统、后台等进行渗透测试,其可能造成的影响主要是数据破坏、拒绝服务等。一般测试人员需要先熟悉目标系统,即被动模式下的测试,然后再开展进一步的分析,即主动模式下的测试。主动测试会与被测目标进行直接的数据交互,而被动测试不需要。
3 测试漏洞级别说明
一个安全漏洞的风险程度受危害程度和概率的影响,我们定义了如下所示的关系:
表1 风险等级界定表
4 测试周期
本次安全测试,Sobug提供了核心白帽子XX名,测试周期X个月,对整个目标业务系统进行了详细的渗透测试。测试后的详细测试报告已经交由客户,并提供详细的顾问咨询服务,帮助客户整改。
5 测试报告汇总
6 关于Sobug
Sobug白帽众测是以众多安全专家的测试结果为导向的技术众包平台,帮助厂商在产品上线前对安全问题进行全面,有效的审计,同样也适用于上线后对安全问题的周期性巡检。
Sobug安全测试优势:
•安全的授权,平台双方均在授权下才能完成此测试过程,厂商需要签订合同,安全专家需要实名。
•行为的审计,对于保密性要求较高的厂商,可由平台提供堡垒机或厂商提供VPN,对测试行为进行审计。
•过程的竞争,对于同一个安全问题,平台只奖励首个发现该问题的安全专家,充分挖掘潜在安全问题。
•结果的保密,安全专家非经厂商允许,不能对外透露测试过程和结果的任何细节。
•风险的规避,平台对双方在测试过程中发生的纠纷提供强有力的法律援助,最大限度保障平台双方的权益不受损害。
7 总结
鉴于互联网安全风险的与日俱增,本次测试报告只代表当前风险评估现状,我们建议客户根据测试的结果进行安全整改,把安全风险降到最低,同时进行周期性的安全测试, 本公司与XX已经建立长期的合作关系,作为安全顾问帮助客户进行安全体系的建设和安全能力水平的提升。
Sobug众测平台的介绍:
Sobug众测平台是一个连接安全专家与厂商的网络安全众测平台,安全专家在平台上发现厂商的安全问题,厂商基于测试效果对安全专家进行奖励。目前接受Sobug众测平台服务的厂商有腾讯、爱奇艺、支付宝、锤子科技、37wan、PPTV、乐视网、Okcoin比特币、500彩票、脸萌、爱拍网、荔枝FM、卖座网等厂商。
Sobug众测的模式:
厂商在平台上发布需要测试的项目,比如*.sobug.com (SoBug.Com为您的产品域名)
众多实名认证的白帽子在平台上查看项目并对其进行测试,最终将漏洞详情提交到Sobug众测平台。
漏洞处理的方式:
测试结果提交到Sobug平台,由平台审核确认后同步给您来处理,整个漏洞处理的闭环过程中不公开任何跟项目相关的内容,平台在未来也不会公开任何厂商的漏洞细节。
合作方式:
Sobug众测平台有实体的公司和合同,总体金额会根据测试效果有一个大体的区间。
一般对于初次众测的厂商,我们设定的金额是3-5w预算,最后会根据实际的漏洞数量和危害做统计,无漏洞不收费。
漏洞评级:
低危漏洞:信息泄漏,包括但不限于路径泄漏、PHPINFO、SVN、URL跳转等
中危漏洞:获取用户信息的漏洞,包括但不限于反射性XSS(含DOM-XSS)、普通业务的存储型XSS、CSRF、轻微 SQL注入和难以利用的SQL注入、普通越权操作以及设计缺陷等
高危漏洞:大范围的用户信息漏洞,包括但不限于容易利用的CSRF、存储型XSS、高风险的信息泄漏、获取一般 数据的SQL注入、源代码下载以及任意文件读取和下载、越权访问、绕过验证访问后台、后台弱口令 和其他服务的弱口令等
严重漏洞:严重的信息泄漏,包括获取重要数据的SQL注入、源代码泄漏、任意文件读取和下载(包含重要服务 弱口令)、严重的逻辑漏洞、远程获取系统权限的漏洞和远程直接导致业务拒绝服务的漏洞
漏洞价格:
8 术语和定义
第二篇:安全性测试报告
测试评估报告
小组成员:肖伟华邹鹤敏高甦俤刘柏材彭忠
1 项目描述
1.1项目目标
网上选课管理系统作为管理管理员与用户的选课关系的主要管理系统平台,其对应的读者是教师、学生和管理员,因此,不仅要处理教师与学生之间的信息,还要处理学生和教师的个人信息。导致网上选课管理系统中的数据不论是结构、类型还是彼此间的关联都是复杂多变的;对这种数据进行的处理也是多种多样的。因此,要实现对网上选课管理系统数据的及时、准确的处理和有效利用。采用网上选课管理系统,可以方便的了解和记录每一个用户的选课情况和成绩,更方便老师对学生的了解和学生对课程的安排,更有利于教课的进行。
2项目可用性
2.1易学性
该教育选课系统采用网络数据库原理,以现代流行的窗口为框架,可直接通过网页对该系统进行全面管理,融入了图形等容易理解的元素,简单易懂。而从该系统的使用者来考虑,使用者为学生,老师,管理员,该系统能够为他们提供便捷的教务信息管理。
2.2交互效率
2.2.1学生具有的功能有:登陆系统,修改密码、注销登陆、查询课程信息、查询个人信息、选课、查询成绩、上传作业、下载资源。
2.2.2老师可以具有的功能有:登陆系统、修改密码、注销登陆、查询个人信息、查询授课信息、上传学生成绩、下载学生作业和资源
2.2.3管理员可以执行的操作有:登陆系统、修改密码、注销登陆、查询学生成绩、查看学生个人信息,查看教师个人信息、查看课程信息、修改学生成绩、修改学生个人信息,修改教师个人信息、修改课程信息、上传公告通知和资源,下载资源
2.3易记性
该系统为教务管理系统,学生,老师,管理员使用该系统都有一定的频率,也就是说这三类使用者对该系统的使用都有一定的时间差。而该系统以窗口为框架,采用图形和文字为表达元素,融入了传统的人机交互理念,有易于理解的人机交互界面,从而保证了包括初学者在内的使用者能够熟练地使用该系统。
2.4出错频率与严重性
任何系统都不可能是完美的,我们只能够对系统进行不断地更新与改进,从而使该系统更完美。一件事情只要有发生的概率,即使很小,也必然会一定发生。本教育管理系统是由小组成员在Windows操作系统上运用网络数据库原理基于网页窗口建立的,原始系统仅适用于局域网。一方面可能由于本系统存在的内在漏洞导致使用出错,另一方面也有可能是运行的平台和网络安全导致使用出错。解决方案:本系统拥有一个良好的数据备份系统,对于使用者(学生,老师,管理员)所上传的数据都建立备份信息。并且该系统在实际实行中设有多个备份点,会对每一个管理信息记录,最大程度减轻了由于运行出错而造成的种种严重后果。
2.5用户满意程度
在系统的测试阶段,本小组积极同其他项目小组进行交流,并将系统雏形交付其他小组使用,使用满意程度达到98.88%。同时本小组也对广大学生,老师,管理员进行了抽样调查(100样本),结果表明该系统能满足用户要求。
3系统测试
3.1可用性测试(Usability Testing)
测试成员:肖伟华 邹鹤敏 高甦俤 刘柏材 彭忠
测试用户: 学生,教师,管理员各若干名。
测试平台: 一个备有摄像和监视装置的专业实验室。
其中肖伟华,邹鹤敏,高甦俤,刘柏材,彭忠为主测试者负责引导用户(学生,教师,管理员)按照需求分析中的任务引导用户完成测试并直接观察用户操作,而部分用户则作为观察者见识装置观察和记录用户的反应行为。
测试方法:测试过程中,多种方法可以用来收集用户的行为反应数据,其中包括:1直接观察法;2大声思维法;3访谈法;4问卷法;5录像记录法。
直接观察法是指测试者直接观察用户的任务执行过程,并记录感兴趣的行为和任务完成情况的一种方法。直接观察法主要包括按时间取样和按时间取样两种。本次测试采用按时间取样。直接观察法有助于测试者直接了解用户的认知操作特点和态度,但有时候无法避免霍桑效应,即正式的测试环境会提高用户动机,从而不知觉的提高他们的测试成绩,进而影响测试效度。
测试过程中,出了收集用户的行为数据,了解用户的思维过程和态度也很重要,我们同时也采用了大声思维法,访谈法和问卷法。大声思维法是指在任务执行过程中,让用户随时大声的说出操作思路的一种方法。但大声思维法有时会干扰用户的任务执行过程。访谈法一般分为结构访谈和半结构访谈。结构访谈是指测试者按预先设计好的问题获取用户思路和态度的方法。半结构访谈一般也按照预先设计的问题展开访谈,但比较灵活,允许用户适当跑题。两种访谈都需要在访谈前仔细的计划访谈内容。问卷法是指以问卷的形式量化用户满意程度并了解用户态度的一种方法。在可用性测试中,访谈法和问卷法通常在用户完成操作任务后使用。
录像记录法将用户的任务完成过程录制下来以备测试者回顾测试和做进一步分析。
此次可用性测试结果包含定量的测试数据如任务完成的时间和定性数据如操作过程等。测试者需要综合两类结果并提出界面改进的建议。
3.2启发性测试
3.3认知过程浏览
3.4行为分析
4测试总结
总的来说,本现代教务系统网站在全面性这方面做得比较好,提供的信息及时完整,既有学生的固定资料与信息查询,也有近期的重要事件信息及通知,具有和谐的人机交互界面,能够满足广大用户的需求。