网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

篇一 ：渗透测试报告

某网络渗透测试报告

目录

0x1概述

1.1 渗透范围

1.2 渗透测试主要内容

0x2 脆弱性分析方法

0x3 渗透测试过程描述

3.1 遍历目录测试

3.2 弱口令测试

3.3 Sql注入测试

3.4 内网渗透

3.5 内网嗅探

0x4 分析结果与建议

0x1 概述

某时段接到xx网络公司授权对该公司网络进行模拟黑客攻击渗透,在xx年xx月xx日-xx年xx月xx日.对xx网络公司的外网服务器和内网集群精心全面脆弱性黑盒测试.完成测试得到此份网络渗透测试报告。

1.1 渗透范围

此次渗透测试主要包括对象：

某网络公司外网web服务器.企业邮局服务器,核心商业数据服务器和内网办公网络系统。

1.2 渗透测试主要内容

本次渗透中，主要对某网络公司web服务器,邮件服务器进行遍历目录,用户弱口令猜解，sql注入漏洞，数据库挖掘，内网嗅探,以及域服务器安全等几个方面进行渗透测试。

0x2 脆弱性分析方法

按照国家工信部is900标准,采用行业内认可的测试软件和技术人员手工操作模拟渗透。

0x3 渗透测试过程描述

3.1 遍历目录测试

使用载入国内外3万多目录字典的wwwscan对web和邮件服务器进行目录探测。得到探测结果。主站不存在遍历目录和敏感目录的情况。但是同服务器站点存在edit编辑器路径。该编辑器版本过低。存在严重漏洞。如

图

3.2 用户口令猜解

Nmap收集到外网服务器ftp.使用默认的账号无法连接,于是对web和能登陆的界面进行弱口令测试,具体如下图

3.3 sql注入测试

通过手工配合工具检测sql注入得到反馈结果如下图

根据漏洞类别进行统计，如下所示:

3.4 内网渗透

当通过外围安全一些列检测。通过弱口令和注入2中方式进入管理后台。抓包上传webshell得到后门开始提升权限。当发现web服务器处于内网。也正好是在公司内部。 于是收集了域的信息。想从web入手抓取域管理Hash破解，无果。所以只能寻找内网其他域管理密码。内外通过ipc漏洞控制了2个机器。获取到域管hash。用metasploit smb溢出也得到内网机器权限同样也获得域内管理hash。用域管理hash登陆域服务器。内网的权限全部到手。

…… …… 余下全文

篇二 ：XX投资集团-网站渗透测试报告

_______________________________

XXXX投资集团

网站渗透测试报告

_______________________________

中国电力投资集团网站渗透测试报告

目 录

第1章 概述................................................................................................................ 4

1.1. 测试目的 ...................................................................................................... 4

1.2. 测试范围 ...................................................................................................... 4

1.3. 实施流程 ...................................................................................................... 4

1.3.1. 信息收集 ........................................................................................................... 5

1.3.2. 渗透测试 ........................................................................................................... 6

…… …… 余下全文

篇三 ：渗透测试与风险评估

渗透测试与风险评估

定义

渗透测试 (penetration test)并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位臵来进行的，并且从这个位臵有条件主动利用安全漏洞。

渗透测试一方面可以从攻击者的角度，检验业务系统的安全防护措施是否有效，各项安全策略是否得到贯彻落实；另一方面可以将潜在的安全风险以真实事件的方式凸现出来，从而有助于提高相关人员对安全问题的认识水平。渗透测试结束后，立即进行安全加固，解决测试发现的安全问题，从而有效地防止真实安全事件的发生。

方法

黑箱测试