网站渗透测试报告材料_实用模板.docx

____________________________ 电子信息学院渗透测试课程实验报告 ____________________________ 实验名称：________________________ 实验时间：________________________ 学生姓名：________________________ 学生学号：________________________  目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc401305526 第1章 概述 PAGEREF _Toc401305526 \h 3 HYPERLINK \l _Toc401305527 1.1.测试目的 PAGEREF _Toc401305527 \h 3 HYPERLINK \l _Toc401305528 1.2.测试范围 PAGEREF _Toc401305528 \h 3 HYPERLINK \l _Toc401305529 1.3.数据来源 PAGEREF _Toc401305529 \h 3 HYPERLINK \l _Toc401305530 第2章 详细测试结果 PAGEREF _Toc401305530 \h 4 HYPERLINK \l _Toc401305531 2.1.测试工具 PAGEREF _Toc401305531 \h 4 HYPERLINK \l _Toc401305532 2.2.测试步骤 PAGEREF _Toc401305532 \h 4 HYPERLINK \l _Toc401305533 2.2.1.预扫描 PAGEREF _Toc401305533 \h 4 HYPERLINK \l _Toc401305534 2.2.2.工具扫描 PAGEREF _Toc401305534 \h 4 HYPERLINK \l _Toc401305535 2.2.3.人工检测 PAGEREF _Toc401305535 \h 5 HYPERLINK \l _Toc401305536 2.2.4.其他 PAGEREF _Toc401305536 \h 5 HYPERLINK \l _Toc401305537 2.3.测试结果 PAGEREF _Toc401305537 \h 5 HYPERLINK \l _Toc401305538 2.3.1.跨站脚本漏洞 PAGEREF _Toc401305538 \h 6 HYPERLINK \l _Toc401305539 2.3.2.SQL盲注 PAGEREF _Toc401305539 \h 7 HYPERLINK \l _Toc401305540 2.3.2.管理后台 PAGEREF _Toc401305540 \h 10 HYPERLINK \l _Toc401305541 2.4.实验总结 PAGEREF _Toc401305541 \h 11  第1章 概述 1.1.测试目的 通过实施针对性的渗透测试，发现XXXX网站系统的安全漏洞，保障XXX业务系统安全运行。 1.2.测试范围 根据事先交流，本次测试的范围详细如下： 系统名称 XXX网站 测试域名 www.XX. 测试时间 2014年10月16日－2014年10月17日 说 明 本次渗透测试过程中使用的源IP可能为：合肥 1.3.数据来源 通过漏洞扫描和手动分析获取相关数据。  第2章 详细测试结果 2.1.测试工具 根据测试的范围，本次渗透测试可能用到的相关工具列表如下： 检测工具 用途和说明 WVS WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具，它可以通过检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来审核Web应用程序。 Nmap Linux,FreeBSD,UNIX,Windows下的网络扫描和嗅探工具包。 Burpsuite 网络抓包工具，对网络的数据包传输进行抓取。 浏览器插件 对工具扫描结果进行人工检测，来判定问题是否真实存在，具体方法依据实际情况而定。 其他 系统本身具备的相关命令，或者根据实际情况采用的其他工具。 2.2.测试步骤 2.2.1.预扫描 通过端口扫描或主机查看，确定主机所开放的服务。来检查是否有非正常的服务程序在运行。 2.2.2.工具扫描 主要通过Nessus进行主机扫描，通过WVS进行WEB扫描。通过Nmap进行端口扫描，得出扫描结果。三个结果进行对比分析。 2.2.3.人工检测 对以上扫描结果进行手动验证，判断扫描结果中的问题是否真实存在。 2.2.4.其他 根据现场具体情况，通过双方确认后采取