- 1、本文档共71页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网站风险评估报告
网站风险评估报告
——《信息安全工程》课程报告
课程名称 信息安全工程
班 级
专 业 信息安全
任课教师
学 号
姓 名
目录
封面1
目录2
一、评估准备3
1、安全评估准备3
2、安全评估范围3
3、安全评估团队3
4、安全评估计划3
二、风险因素评估3
1.威胁分析3
1.1威胁分析概述3
1.2威胁分析来源4
1.3威胁种类4
2.安全评估7
2.1高危漏洞7
2.2中级漏洞7
2.3低级漏洞8
三、综述8
1.1具有最多安全性问题的文件9
1.2Web风险分布统计9
2.Web风险类别分布10
3.渗透测试10
4.漏洞信息15
四、风险评价18
五、风险控制建议19
附录:22
一、评估准备
1、安全评估目标
在项目评估阶段,为了充分了解SecurityTweets这个网站的安全系数,因此需要对SecurityTweets这个网站当前的重点服务器和web应用程序进行一次抽样扫描和安全弱点分析,对象为SecurityTweets全站,然后根据安全弱点扫描分析报告,作为提高SecurityTweets系统整体安全的重要参考依据之一。
2、安全评估范围
本小组将对如下系统进行安全评估:
采用linux系统的web服务器(IP地址:65)
采用nginx服务器程序的web站点
采用MySQL的数据库
3、安全评估团队
成员组成:
组员 姓名 班级 学号
使用工具:
1、Acunetix Web Vulnerability Scanner
2、BurpSuite
4、安全评估计划
1、此次针对网站的安全评估分为2个步骤进行。第一步利用现有的优秀安全评估软件来模拟攻击行为进行自动的探测安全隐患;第二步根据第一步得出的扫描结果进行分析由小组成员亲自进行手动检测,排除误报情况,查找扫描软件无法找到的安全漏洞。
2、第一步我们采用两种不同的渗透测试软件对网站做总体扫描。采用两种工具是因为这两个工具的侧重点不同,可以互为补充,使得分析更为精确。然后生成测试报告。
3、根据上一步生成的测试报告,由组员亲自手动验证报告的可信性。
4、根据安全扫描程序和人工分析结果写出这次安全评估的报告书。
二、风险因素评估
威胁分析
威胁分析概述
本次威胁分析是对一个德国的SecurityTweets网站进行的。威胁分析包括的具体内容有:威胁主体、威胁途径、威胁种类。
威胁来源
SecurityTweets 网站是基于体系结构,网络业务系统大都采用TCP/IP作为主要的网络通讯协议 描述 环境因素 断电、静电、灰尘、电磁干扰洪灾、火灾、地震等自然灾害软件、硬件、数据、通讯线路方面的故障 不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益
外部人员利用信息系统的脆弱性,对网络或系统的必威体育官网网址性、完整性和可用性进行破坏,以获取利益或炫耀能力 非恶意人员 内部人员由于缺乏责任心,或者由于不关心不专注而导致由于缺乏培训专业技能不足不具备岗位技能要求而导致信息系统
威胁种类:
1.描述
这个脚本是可能容易受到跨站点脚本(XSS)攻击。
跨站点脚本(也被称为XSS)是一种漏洞,允许攻击者发送恶意代码(通常在Javascript中的形式)给其他用户。因为浏览器无法知道是否该脚本应该是可信与否,它会在用户上下文中,允许攻击者访问被浏览器保留的任何Cookie或会话令牌执行脚本。
虽然传统的跨站点脚本漏洞发生在服务器端的代码,文档对象模型的跨站点脚本是一种类型的漏洞会影响脚本代码在客户端的浏览器。
2. 描述
基于堆的缓冲区溢出在
文档评论(0)