安全性測試與評估報告1 客戶信息XX2 測試過程示意圖本測試主要包括主動模式和被動模式兩種。在被動模式中，測試人員盡可能的了解應用邏輯：比如用工具分析所有的HTTP 請求及響應，以便測試人員掌握應用程

安全性測試與評估報告

1 客戶信息

XX

2 測試過程示意圖

本測試主要包括主動模式和被動模式兩種。在被動模式中，測試人員盡可能的了解應用邏輯：比如用工具分析所有的HTTP 請求及響應，以便測試人員掌握應用程序所有的接入點（包括HTTP 頭，參數(shù)，cookies 等）；在主動模式中，測試人員試圖以黑客的身份來對應用及其系統(tǒng)、后臺等進行滲透測試，其可能造成的影響主要是數(shù)據(jù)破壞、拒絕服務等。一般測試人員需要先熟悉目標系統(tǒng)，即被動模式下的測試，然后再開展進一步的分析，即主動模式下的測試。主動測試會與被測目標進行直接的數(shù)據(jù)交互，而被動測試不需要。

表1 風險等級界定表

4 測試周期

本次安全測試，Sobug 提供了核心白帽子XX 名，測試周期X 個月，對整個目標業(yè)務系統(tǒng)進行了詳細的滲透測試。測試后的詳細測試報告已經(jīng)交由客戶，并提供詳細的顧問咨詢服務，幫助客戶整改。

5 測試報告匯總

6 關于Sobug

Sobug 白帽眾測是以眾多安全專家的測試結果為導向的技術眾包平臺，幫助廠商在產(chǎn)品上線前對安全問題進行全面，有效的審計，同樣也適用于上線后對安全問題的周期性巡檢。

Sobug 安全測試優(yōu)勢：

?安全的授權，平臺雙方均在授權下才能完成此測試過程，廠商需要簽訂合同，安全專家需要實名。

?行為的審計，對于保密性要求較高的廠商，可由平臺提供堡壘機或廠商提供VPN ，對測試行為進行審計。

?過程的競爭，對于同一個安全問題，平臺只獎勵首個發(fā)現(xiàn)該問題的安全專家，充分挖掘潛在安全問題。

?結果的保密，安全專家非經(jīng)廠商允許，不能對外透露測試過程和結果的任何細節(jié)。 ?風險的規(guī)避，平臺對雙方在測試過程中發(fā)生的糾紛提供強有力的法律援助，最大限度保障平臺雙方的權益不受損害。

7 總結

鑒于互聯(lián)網(wǎng)安全風險的與日俱增，本次測試報告只代表當前風險評估現(xiàn)狀，我們建議客戶根據(jù)測試的結果進行安全整改，把安全風險降到最低，同時進行周期性的安全測試， 本公司與XX 已經(jīng)建立長期的合作關系，作為安全顧問幫助客戶進行安全體系的建設和安全能力水平的提升。

Sobug 眾測平臺的介紹：

Sobug 眾測平臺是一個連接安全專家與廠商的網(wǎng)絡安全眾測平臺，安全專家在平臺上發(fā)現(xiàn)廠商的安全問題，廠商基于測試效果對安全專家進行獎勵。目前接受Sobug 眾測平臺服務的廠商有騰訊、愛奇藝、支付寶、錘子科技、37wan 、PPTV 、樂視網(wǎng)、Okcoin 比特幣、500彩票、臉萌、愛拍網(wǎng)、荔枝FM 、賣座網(wǎng)等廠商。

Sobug 眾測的模式：

廠商在平臺上發(fā)布需要測試的項目，比如*.sobug.com （SoBug.Com 為您的產(chǎn)品域名） 眾多實名認證的白帽子在平臺上查看項目并對其進行測試，最終將漏洞詳情提交到Sobug 眾測平臺。

漏洞處理的方式：

測試結果提交到Sobug 平臺，由平臺審核確認后同步給您來處理，整個漏洞處理的閉環(huán)

過程中不公開任何跟項目相關的內(nèi)容，平臺在未來也不會公開任何廠商的漏洞細節(jié)。

合作方式：

Sobug 眾測平臺有實體的公司和合同，總體金額會根據(jù)測試效果有一個大體的區(qū)間。 一般對于初次眾測的廠商，我們設定的金額是3-5w 預算，最后會根據(jù)實際的漏洞數(shù)量和危害做統(tǒng)計，無漏洞不收費。

漏洞評級：

低危漏洞：信息泄漏，包括但不限于路徑泄漏、PHPINFO 、SVN 、URL 跳轉(zhuǎn)等

中危漏洞：獲取用戶信息的漏洞，包括但不限于反射性XSS （含DOM-XSS ）、普通業(yè)務的存儲型XSS 、CSRF 、輕微 SQL 注入和難以利用的SQL 注入、普通越權操作以及設計缺陷等

高危漏洞：大范圍的用戶信息漏洞，包括但不限于容易利用的CSRF 、存儲型XSS 、高風險的信息泄漏、獲取一般 數(shù)據(jù)的SQL 注入、源代碼下載以及任意文件讀取和下載、越權訪問、繞過驗證訪問后臺、后臺弱口令 和其他服務的弱口令等

嚴重漏洞：嚴重的信息泄漏，包括獲取重要數(shù)據(jù)的SQL 注入、源代碼泄漏、任意文件讀取和下載（包含重要服務 弱口令）、嚴重的邏輯漏洞、遠程獲取系統(tǒng)權限的漏洞和遠程直接導致業(yè)務拒絕服務的漏洞

漏洞價格：

8 術語和定義