南京水务集团排水综合业务管理系统APP渗透测试报告.docx

渗透测试报告 PAGE 1 PAGE 1 南京水务集团有限公司排水综合业务管理系统APP渗透测试报告项目 南京水务集团有限公司 排水综合业务管理系统APP渗透测试报告 项目名称： 南京水务集团有限公司排水业务管理系统APP渗透测试 委托单位： 南京水务集团有限公司 评估单位： 亚信安全科技股份有限公司 报告时间： 2023年6月1日 声明 本报告仅适用于亚信安全科技股份有限公司（以下简称“亚信”）对南京水务集团有限公司（以下简称“南京水务”）渗透测试时的系统状况。系统的渗透测试周期和系统渗透测试时的基本状况将在下列的章节中给出。 为保证系统所属方的利益，本测试报告仅提供给被测系统所属方，务请妥善保管，未经亚信和南京水务明确作出的书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、存储、引入检索系统或者传播。 在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自增加、修改、伪造或掩盖事实。  目 录 TOC \o "1-3" \h \z \u 一、 概要 1 1.1 渗透测试必要性 1 1.2 渗透测试可行性 1 二、 服务概述 1 2.1 渗透测试对象 2 2.2 渗透测试结果 2 三、 漏洞分析 3 3.1 南京水务集团有限公司排水综合业务管理系统APP 3 3.1.1 登录绕过漏洞【高危】 3 3.1.2 任意文件上传【中危】 6 3.1.3 暴力破解【中危】 8 3.1.4 内网IP地址泄露【低危】 10 3.1.5 系统功能信息泄露【低危】 12 四、 安全建议 13 4.1 加强安全检测 13 4.2 加强安全开发 13 4.3 安全管理 14 PAGE 2 PAGE 2 概要 通过渗透性测试，发现逻辑性更强、更深层次的漏洞，并直观反映漏洞的潜在危害，了解网络防御系统的安全强度，为预期计划正常运行而提供的一种有效安全机制，提供网络安全状况方面的具体证据。渗透性测试能够制定出切实可行的有效的安全管理制度。因此，南京水务授权我公司进行渗透测试安全检查。 渗透测试必要性 渗透测试是安全工程师尽可能完整的模拟黑客使用的漏洞发现技术与攻击技术(与黑客攻击相比其结果实可预知性的)，对目标网络、主机、数据库与应用系统的安全性做深入的探测，发现系统薄弱环节的过程。它能够直观的让管理人员知道当前网络、主机、数据库与应用系统存在的安全弱点以及可能造成的影响，以便采取必要的防范措施。我们通过工具扫描、人工评估可以发现网络、系统、数据库与应用存在的安全弱点，但我们并不知道弱点被利用的可能以及被利用后引起的风险大小，甚至可能并没有发现系统真正最薄弱的环节，而渗透测试正好可以弥补这些不足。 渗透测试可行性 由于渗透测试是在受测试方监督下进行，使用的渗透测试方法和工具也是非暴力的，测试的结果在测试工程师的可预知范围之内，并且测试只进行到漏洞被利用为止，而不会进行下一步的破坏活动。因此不会导致服务的异常，渗透测试是完全可行的。 服务概述 本次渗透测试工作由亚信安全科技股份有限公司安全服务团队完成；本次渗透测试流程根据《Web应用安全测试指南V3》的要求下完成；本次测试时间为2023年5月29日至2023年6月9日。 渗透测试服务流程定义为如下阶段： 信息收集 在此阶段必须对所测试的网站进行相关信息收集，为后续的渗透测试工作做好准备。收集的信息包括：网站的域名、IP地址、对外开放端口、网站使用的组件以及目标主机的操作系统版本等等。 渗透测试 此阶段主要根据上一阶段所获得的信息对网站及所在网络进行渗透测试，主要包括工具扫描和手工测试，如果顺利的话可以获取相应的权限。 权限提升 此阶段，渗透测试小组尝试由普通权限提升为管理员权限，获得对系统的完全控制权。在时间许可的情况下，必要时从第一阶段重新进行。 后续工作 清除阶段，渗透测试小组清除中间数据，输出根据测试的结果编写的直观的渗透测试服务报告。