web端安全测试报告模板

测试说明

|--------------|------------------------------------------------------------------------------|
| 测试内容 | (1)主机安全扫描 (2)端口安全测试 (3)应用安全测试 |
| 测试工具 | (1)主机安全扫描:Nessus (2)端口安全测试:Nmap、Goby (3)应用安全测试:Burpsuit、Xray、dirsearch、应用扫描器 |

测试对象

|--------------|-----------------------------------|
| 扫描对象 | 扫描列表 |
| URL | http://127.0.0.1:8080/web/#/login |

测试结果(仅展示威胁项)

|--------------|--------------|--------------|--------------|
| 测试内容 | 漏洞数量 | 漏洞名称 | 满足上线 |
| 主机安全扫描 | 0 | 无 | 是 |
| 端口安全测试 | 0 | 无 | 是 |
| 应用安全测试 | 1 | 文件导出接口未授权访问 | 否 |

测试结果:

本次测试发现1处安全风险

漏洞详情

漏洞1:文件导出接口未授权访问

|--------------|---------------------------------------------------------------------------------------------------------|
| 漏洞名称 | 文件导出接口未授权访问 |
| 漏洞等级 | 中危 |
| 漏洞描述 | 管理端文件导出接口未作鉴权,可未授权导出敏感文件(包括客户身份证图片,交易数据等敏感数据) |
| 测试简况 | 风险链接1:交易数据导出接口 http://127.0.0.1:8080/web/api/download/tradeQUeryRecord 页面操作的截图 其余导出接口也存在未授权风险,需自查所有导出接口 |
| 修复建议 | 对文件导出接口添加鉴权 |

相关推荐
你好潘先生9 小时前
别再记命令了,用 yeero do 说句人话就能跑脚本,而且不烧 token
服务器·python·命令行
tntxia11 小时前
网络安全漏洞修复(一)
安全
orion5721 小时前
Missing Semester Class1:course overview and introduction of shell
linux
用户120487221611 天前
Linux驱动编译与加载
linux·嵌入式
程序员老赵1 天前
服务器文件不想 SFTP 上传?Docker 跑个 File Browser,浏览器就能管理
服务器·docker·开源
vivo互联网技术1 天前
从 10 分钟到 1 秒:ES 深度分页任意跳页的三轮优化实战
服务器·数据库·redis·elasticsearch·深度分页
用户805533698031 天前
Input 子系统架构:Core、Handler、Driver 三层是怎么协作的
linux·嵌入式
用户805533698031 天前
RK-Forge外设系列开篇 - 把板子从「能启动」变成「能用」:Ethernet/SPI/MMC 三个纯接线外设
linux·github·嵌入式
七歌杜金房2 天前
我终于又有了自己的 Linux 电脑
linux·debian·mac