安全性測試與評(píng)估報(bào)告1 客戶信息XX2 測試過程示意圖本測試主要包括主動(dòng)模式和被動(dòng)模式兩種。在被動(dòng)模式中，測試人員盡可能的了解應(yīng)用邏輯：比如用工具分析所有的HTTP 請(qǐng)求及響應(yīng)，以便測試人員掌握應(yīng)用程

安全性測試與評(píng)估報(bào)告

1 客戶信息

XX

2 測試過程示意圖

本測試主要包括主動(dòng)模式和被動(dòng)模式兩種。在被動(dòng)模式中，測試人員盡可能的了解應(yīng)用邏輯：比如用工具分析所有的HTTP 請(qǐng)求及響應(yīng)，以便測試人員掌握應(yīng)用程序所有的接入點(diǎn)（包括HTTP 頭，參數(shù)，cookies 等）；在主動(dòng)模式中，測試人員試圖以黑客的身份來對(duì)應(yīng)用及其系統(tǒng)、后臺(tái)等進(jìn)行滲透測試，其可能造成的影響主要是數(shù)據(jù)破壞、拒絕服務(wù)等。一般測試人員需要先熟悉目標(biāo)系統(tǒng)，即被動(dòng)模式下的測試，然后再開展進(jìn)一步的分析，即主動(dòng)模式下的測試。主動(dòng)測試會(huì)與被測目標(biāo)進(jìn)行直接的數(shù)據(jù)交互，而被動(dòng)測試不需要。

表1 風(fēng)險(xiǎn)等級(jí)界定表

4 測試周期

本次安全測試，Sobug 提供了核心白帽子XX 名，測試周期X 個(gè)月，對(duì)整個(gè)目標(biāo)業(yè)務(wù)系統(tǒng)進(jìn)行了詳細(xì)的滲透測試。測試后的詳細(xì)測試報(bào)告已經(jīng)交由客戶，并提供詳細(xì)的顧問咨詢服務(wù)，幫助客戶整改。

5 測試報(bào)告匯總

6 關(guān)于Sobug

Sobug 白帽眾測是以眾多安全專家的測試結(jié)果為導(dǎo)向的技術(shù)眾包平臺(tái)，幫助廠商在產(chǎn)品上線前對(duì)安全問題進(jìn)行全面，有效的審計(jì)，同樣也適用于上線后對(duì)安全問題的周期性巡檢。

Sobug 安全測試優(yōu)勢：

?安全的授權(quán)，平臺(tái)雙方均在授權(quán)下才能完成此測試過程，廠商需要簽訂合同，安全專家需要實(shí)名。

?行為的審計(jì)，對(duì)于保密性要求較高的廠商，可由平臺(tái)提供堡壘機(jī)或廠商提供VPN ，對(duì)測試行為進(jìn)行審計(jì)。

?過程的競爭，對(duì)于同一個(gè)安全問題，平臺(tái)只獎(jiǎng)勵(lì)首個(gè)發(fā)現(xiàn)該問題的安全專家，充分挖掘潛在安全問題。

?結(jié)果的保密，安全專家非經(jīng)廠商允許，不能對(duì)外透露測試過程和結(jié)果的任何細(xì)節(jié)。 ?風(fēng)險(xiǎn)的規(guī)避，平臺(tái)對(duì)雙方在測試過程中發(fā)生的糾紛提供強(qiáng)有力的法律援助，最大限度保障平臺(tái)雙方的權(quán)益不受損害。

7 總結(jié)

鑒于互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的與日俱增，本次測試報(bào)告只代表當(dāng)前風(fēng)險(xiǎn)評(píng)估現(xiàn)狀，我們建議客戶根據(jù)測試的結(jié)果進(jìn)行安全整改，把安全風(fēng)險(xiǎn)降到最低，同時(shí)進(jìn)行周期性的安全測試， 本公司與XX 已經(jīng)建立長期的合作關(guān)系，作為安全顧問幫助客戶進(jìn)行安全體系的建設(shè)和安全能力水平的提升。

Sobug 眾測平臺(tái)的介紹：

Sobug 眾測平臺(tái)是一個(gè)連接安全專家與廠商的網(wǎng)絡(luò)安全眾測平臺(tái)，安全專家在平臺(tái)上發(fā)現(xiàn)廠商的安全問題，廠商基于測試效果對(duì)安全專家進(jìn)行獎(jiǎng)勵(lì)。目前接受Sobug 眾測平臺(tái)服務(wù)的廠商有騰訊、愛奇藝、支付寶、錘子科技、37wan 、PPTV 、樂視網(wǎng)、Okcoin 比特幣、500彩票、臉萌、愛拍網(wǎng)、荔枝FM 、賣座網(wǎng)等廠商。

Sobug 眾測的模式：

廠商在平臺(tái)上發(fā)布需要測試的項(xiàng)目，比如*.sobug.com （SoBug.Com 為您的產(chǎn)品域名） 眾多實(shí)名認(rèn)證的白帽子在平臺(tái)上查看項(xiàng)目并對(duì)其進(jìn)行測試，最終將漏洞詳情提交到Sobug 眾測平臺(tái)。

漏洞處理的方式：

測試結(jié)果提交到Sobug 平臺(tái)，由平臺(tái)審核確認(rèn)后同步給您來處理，整個(gè)漏洞處理的閉環(huán)

過程中不公開任何跟項(xiàng)目相關(guān)的內(nèi)容，平臺(tái)在未來也不會(huì)公開任何廠商的漏洞細(xì)節(jié)。

合作方式：

Sobug 眾測平臺(tái)有實(shí)體的公司和合同，總體金額會(huì)根據(jù)測試效果有一個(gè)大體的區(qū)間。 一般對(duì)于初次眾測的廠商，我們?cè)O(shè)定的金額是3-5w 預(yù)算，最后會(huì)根據(jù)實(shí)際的漏洞數(shù)量和危害做統(tǒng)計(jì)，無漏洞不收費(fèi)。

漏洞評(píng)級(jí)：

低危漏洞：信息泄漏，包括但不限于路徑泄漏、PHPINFO 、SVN 、URL 跳轉(zhuǎn)等

中危漏洞：獲取用戶信息的漏洞，包括但不限于反射性XSS （含DOM-XSS ）、普通業(yè)務(wù)的存儲(chǔ)型XSS 、CSRF 、輕微 SQL 注入和難以利用的SQL 注入、普通越權(quán)操作以及設(shè)計(jì)缺陷等

高危漏洞：大范圍的用戶信息漏洞，包括但不限于容易利用的CSRF 、存儲(chǔ)型XSS 、高風(fēng)險(xiǎn)的信息泄漏、獲取一般 數(shù)據(jù)的SQL 注入、源代碼下載以及任意文件讀取和下載、越權(quán)訪問、繞過驗(yàn)證訪問后臺(tái)、后臺(tái)弱口令 和其他服務(wù)的弱口令等

嚴(yán)重漏洞：嚴(yán)重的信息泄漏，包括獲取重要數(shù)據(jù)的SQL 注入、源代碼泄漏、任意文件讀取和下載（包含重要服務(wù) 弱口令）、嚴(yán)重的邏輯漏洞、遠(yuǎn)程獲取系統(tǒng)權(quán)限的漏洞和遠(yuǎn)程直接導(dǎo)致業(yè)務(wù)拒絕服務(wù)的漏洞

漏洞價(jià)格：

8 術(shù)語和定義