在本章中,我们将学习渗透测试的最终和最重要的方面,撰写报告。这是一个简短的章节,指导你在报告中写下你的方法和发现。作为渗透测试者,如果能够更好地解释和记录你的发现,渗透测试报告会更好。对于大多数渗透测试者来说,这是渗透测试中最没意思的部分,但它也是最重要的渗透测试步骤之一,因为它作为“至关重要的材料”,使其他技术和管理人员容易理解 。
渗透试验报告基础
渗透试验报告是渗透试验过程中发现的所有摘要,包括但不限于使用方法、工作范围、假设、漏洞严重程度等。渗透试验报告仅用作渗透试验的完整文件,可用于消除发现的漏洞并进一步参考。
编制渗透测试报告
为了了解如何编写渗透测试报告,最好清楚地了解渗透测试报告的一些重要部分。
一些最重要的部件包括:
- 执行摘要
- 漏洞摘要
- 工作范围
- 使用的工具
- 遵循的测试方法
- 建议
- 结论
- 附录
此外,还应有关于渗透测试、渗透测试的组织和客户,以及非披露协议的足够详细信息。让我们一个接一个地看看上面的每个部分,以便快速查看它。
执行摘要
执行摘要是渗透测试整个结果的快速演练。执行摘要不需要太多技术。它只是一个总结,可以在尽可能短的时间内浏览渗透测试。管理层和高管首先看到执行摘要。
一个例子如下:
XYZ 应用程序的渗透测试有大量的开放输入验证缺陷,这可能导致攻击者访问敏感数据。
你还应该解释此漏洞对于该组织业务的严重程度。
漏洞
如标题所示,应包括应用程序中发现的所有漏洞的摘要和相关详细信息。如果您在应用程序中发现的漏洞被分配到 CVE 号码,你可以包括它。您还应包括导致漏洞的应用程序的技术细节。显示漏洞的另一个好方法是根据类别对漏洞进行分类:低、中和高,然后在饼图或任何其他图形表示上显示。
工作范围
工作范围只意味着渗透测试涵盖并评估了哪些应用程序和服务。它可以简单地写成一行,如下:
工作范围仅限于 XYZ Android 和 iOS 不包括任何服务器组件的应用程序。
使用的工具
这是一个可选类别,通常可以包含在另一个类别中,也就是讨论漏洞发现和技术细节的地方。在本节中,我们可以简单提到使用的不同工具及其特定版本。
遵循的测试方法
这个类别是最重要的类别之一,应该以详细的方式编写。在这里,渗透测试者需要指定不同的技术和他在渗透测试阶段遵循的步骤。它可以是简单的应用程序逆向、流量分析、使用不同工具的库和二进制文件分析等。
为了充分理解和重现这些漏洞,应指定其他人需要遵循的完整过程。
建议
此类别应指定要执行的不同任务,以便组织保护程序并修复漏洞。这可能包括一些东西,类似建议以适当权限保存文件,加密发送网络流量以及正确使用 SSL 等等。它还应包括在考虑组织时执行这些任务的正确方法。
结论
这部分应该简要总结渗透测试的总体结果,我们可以使用漏洞类型的概述来简单地解释应用程序是不安全的。请记住,我们不应该涉及不同漏洞的详细信息,因为我们已经在前一章中讨论过了。
附录
渗透测试报告的最后一部分应该是附录或快速参考,读者可以使用它快速浏览渗透测试的特定主题。
总结
在本章中,我们对渗透测试报告的不同部分进行了快速演练,渗透测试人员需要了解这些部分才能编写报告。本章的目的是在渗透测试的最后阶段作为编写渗透测试报告的简单指南。此外,您还可以在下一页找到渗透测试报告的示例。
对于渗透测试人员,以及想要开始 Android 对于安全的人来说,我希望这本书能成为一个伟大的工具。这本书中提到的工具和技术将帮助你开始 Android 安全。祝你好运!
以下是渗透试验报告示例:
Attify 漏洞应用安全审计报告
应用程序版:1.0
日期:2014年1月
作者:Aditya Gupta
摘要:2014年1月,Attify 实验室对 Android 平台移动应用程序Attify 漏洞应用程序进行了安全评估。本报告包括审计过程中的所有发现。它还包括首先发现这些漏洞的过程和修复这些问题的方法。
目录
1. 引言
1.1 执行摘要
Attify Labs 委托对 XYZ 公司的 Android 应用程序Attify 漏洞应用程序执行渗透试验。这种渗透试验和审计的目的是确定 Android 应用程序和通信 Web 服务安全漏洞。
我们在测试过程中非常小心,以确保在执行审计时不会对后端 Web 服务器造成损害。该评估在 Aditya Gupta 的领导下进行,团队由三名内部渗透测试人员组成。
在审计期间, XYZ Android 应用程序和后端 Web 在服务中发现了一些安全漏洞。一般来说,我们发现系统是不安全的,并且有来自攻击者的高威胁风险。
审计结果将有助于 XYZ 公司使他们的 Android 应用程序和 Web 服务免受攻击者的安全威胁,可能损害声誉和收入。
2.2 工作范围
这里的渗透试验集中在 XYZ 公司的 Android 应用程序名为Attify 漏洞应用。渗透试验还包括 所有 Web 后端服务,Android 应用程序与之通信。
1.3 漏洞摘要
Android应用程序“Attify 漏洞应用程序被发现存在漏洞,包括应用程序本身,以及在应用程序中使用第三方库的许多漏洞。我们已经成功地使用了存储在设备上的整个应用程序的数据。
另外,在应用程序中发现的webview组件应用程序容易受到 JavaScript 响应操作使我们能够访问应用程序中的整个 JavaScript 界面。这最终允许我们使用不安全网络上的应用程序来控制应用程序的行为,并允许我们安装更多的应用程序,意外拨号和短信。
一旦设备已 root,这使我们能够访问存储在应用程序中的敏感用户凭证。
另外,我们可以注意到通信的应用 web 服务没有适当的用户认证安全措施,可以使用 SQL 认证绕过攻击访问存储 web 服务器上的敏感信息。
2. 审计与方法论
2.1 使用的工具
以下是一些用于整个应用程序审计和渗透测试过程的工具:
- 测试平台:Ubuntu Linux Desktop v12.04
- 设备:操作 Android v4.4.2 的 Nexus 4
- Android SDK
- APKTool 1.5.2:将 Android 反编成 Smali 源文件
- Dex2Jar 0.0.9.15.48:将 Android 应用程序源反编译 Java
- JD-GUI 0.3.3:读取 Java 源文件
- Burp Proxy 1.5:代理工具
- Drozer 2.3.3:Android 应用程序评估框架
- NMAP 6.40:扫描 Web 服务
2.2 漏洞
问题#1:Android 在应用程序中注入漏洞
说明:在 Android 应用程序DatabaseConnector.java文件中发现了一个注入漏洞。参数account_id和account_name 被传递到应用程序中SQLite 在查询过程中,使其容易遭受 SQLite 注入。
风险水平:严重
修复:用户输入应在传输到数据库命令之前正确检查。
问题#2:WebView组件中的漏洞
说明:WebDisplay.java文件中指定的 Android 应用程序WebView组件允许 执行JavaScript。攻击者可以拦截不安全网络上的流量,创建自定义响应,并控制应用程序。
风险等级:高
补救:如果应用程序中不需要 JavaScript,请将setJavascriptEnabled设置为False。
问题#3:无/弱加密
说明:Android应用程序将认证凭证存储在名称中prefs.db该文件存储在设备上的应用程序文件夹中,即/data/data/com.vuln.attify/databases/prefs.db。通过 root 权限,我们可以成功查看存储在文件中的用户凭证。身份验证凭证为 Base64 在文件中存储编码。
风险等级:高
补救:如果认证证书必须存放在本地,则应使用适当的安全加密存放。
问题#4:易受攻击的内容供应器
注:发现 Android 应用程序的内容供应器已经导出,这使得它也可以用于任何其他应用程序。内容供应器是content://com.vuln.attify/mycontentprovider。
风险等级:高
补救:使用exported = false,或在AndroidManifest.xml指定内容供应器的权限。
3. 结论
3.1 结论
我们发现整个应用程序都有内容供应器的漏洞,SQLite 数据库与数据存储技术相关的漏洞。
3.2 建议
我们发现了应用程序序列容易受到一些严重和高风险漏洞的攻击。付诸精力和安全的编码实践,可以成功修复所有漏洞。
为了保持应用程序的安全,需要定期进行安全审计,以评估每次主要升级前应用程序的安全性。