测试说明
|--------------|------------------------------------------------------------------------------|
| 测试内容 | (1)主机安全扫描 (2)端口安全测试 (3)应用安全测试 |
| 测试工具 | (1)主机安全扫描:Nessus (2)端口安全测试:Nmap、Goby (3)应用安全测试:Burpsuit、Xray、dirsearch、应用扫描器 |
测试对象
|--------------|-----------------------------------|
| 扫描对象 | 扫描列表 |
| URL | http://127.0.0.1:8080/web/#/login |
测试结果(仅展示威胁项)
|--------------|--------------|--------------|--------------|
| 测试内容 | 漏洞数量 | 漏洞名称 | 满足上线 |
| 主机安全扫描 | 0 | 无 | 是 |
| 端口安全测试 | 0 | 无 | 是 |
| 应用安全测试 | 1 | 文件导出接口未授权访问 | 否 |
测试结果:
本次测试发现1处安全风险
漏洞详情
漏洞1:文件导出接口未授权访问
|--------------|---------------------------------------------------------------------------------------------------------|
| 漏洞名称 | 文件导出接口未授权访问 |
| 漏洞等级 | 中危 |
| 漏洞描述 | 管理端文件导出接口未作鉴权,可未授权导出敏感文件(包括客户身份证图片,交易数据等敏感数据) |
| 测试简况 | 风险链接1:交易数据导出接口 http://127.0.0.1:8080/web/api/download/tradeQUeryRecord 页面操作的截图 其余导出接口也存在未授权风险,需自查所有导出接口 |
| 修复建议 | 对文件导出接口添加鉴权 |