微信号:ikanxue

介绍:致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号.

看雪众测测试报告01期

2016-07-20 17:15 看雪学院

背景

   看雪学院(www.pediy.com)创建于2000年,历经16年的发展,受到业内的广泛认同,在行业中树立了令人尊敬的专业形象。网站始终关注安全技术领域的最新发展,为IT专业人士、技术专家提供了一个氛围良好的交流与合作空间。多年来,看雪学院培养了大批安全人才,使他们从普通IT爱好者成长为具有一技之长的安全专才。同时,网站建立了一套行之有效的人才选拔机制,为IT企业源源不断输送和推荐了众多优秀人才,在业内形成了很好的口碑。十几年的发展过程中,看雪网站形成了大量有价值的技术资料,经过看雪团队的共同努力,先后出版过数本技术专著,深受出版社和广大读者好评,社会影响深远。

   看雪众测是一个二进制安全测试公众平台,利用看雪论坛的安全专家,为企业产品进行安全测试的项目,包括WEB网站、移动AppWindows软件、硬件设备等。


业务介绍

   公司企业通过商务与看雪科技公司联系,了解业务性质,签订商务协议,同时签订委托授权书,以授权看雪众测平台对贵公司相关产品进行安全性测试。看雪众测平台聘请安全专家,对产品进行安全检测,内容包括但不限于产品本身设计是否合理,业务上是否有逻辑漏洞,安全机制是否有漏洞,网络、系统是否有安全隐患等。测试完成后,看雪众测平台提供测试详细内容,包括漏洞明细、检测方式等,测试过程和结果对厂商完全公开。

   流程如下:

1)       厂商与看雪科技签订商务协议和测试委托授权书;

2)       厂商按协议约定,支付测试费用给看雪科技;

3)       看雪科技根据商务协议需求,召集看雪安全专家对厂商委托产品进行安全测试;

4)       看雪众测平台提供测试报告,以供厂商解决相关安全问题。



测试过程

   看雪众测访问链接:http://ce.kanxue.com

   看雪众测平台第一个众测项目,就是“看雪众测”本身,将项目需求发布到看雪众测平台,有65位看雪安全专家申请测试,测试的内容包括用户中心http://passport.kanxue.com和看雪众测http://ce.kanxue.com)。



   经过看雪安全专家近2周的安全测试,共提交了10个漏洞,其中2个高危漏洞。在收到这些漏洞第一时间,网站开发人员立即进行了修补,很庆幸这是一次众测,漏洞发现后及时被告知,否则这个漏洞被人恶意利用,社全影响和损失将是很大的。

   感谢所有参与众测的安全专家!

   感谢看雪众测平台开发人员所付出的努力!




漏洞详情分析

   看雪学院非常愿意与大家一起分析这次众测成果,因此,将这次众测结果发现的有价值的漏洞列出,并就每个漏洞引起的原因以及修补方法进行了讨论。以供其他开发人员参考,避免犯同类的错误。    注意:其他厂商送测的产品,是不会公开漏洞细节的。

   由于篇幅限制,微信公众号里只列出几个有代表性的漏洞,更多请点击原文链接查看完整的测试报告。

1. 漏洞基本信息概览


2. 漏洞分析:可以越权查看所有项目


(更多漏洞略……)

11. 漏洞分析:任意用户密码重置



小结

   众测模式,可以使企业以最低的成本、最快速的解决当前的安全问题,把专业的事交给专业团队做。

   看雪团队运作安全网站多年,不论是管理和技术团队成员本身就是各自领域内的专家,在多年的网站运作中,这些优秀者不仅要完成各自的本职工作,而且作为网站的志愿者长期为网站服务。这样的团队成员和社区,是值得我们信任可以合作的。

   联系我们:kanxue@pediy.com

   官方网页:http://www.kanxue.com


 
看雪学院 更多文章 汽车CAN协议hacking blackhat-PLC-导火线:工控PLC蠕虫的实现
猜您喜欢 薪酬管理改进的六个方法 HBase优化实战 全方面了解和学习PHP框架 SSL\/TLS 协议运行机制的概述 网络头像揭示了你的多少个性