阿里云渗透测试服务（网站渗透测试报告）

本文目录一览：

• 1、渗透测试报告自动生成工具
• 2、阿里云的主要产品
• 3、请问阿里云云盾是什么东西啊?

渗透测试报告自动生成工具

公众号：白帽子左一

领取配套练手靶场、安全全套课程及工具...

在安服仔的日子里，发现其他人输出的渗透测试报告结果不规范，主要在报告质量、内容、字体、及修复方案中存在诸多问题，而且 大部分安服仔需要对每次的项目结果进行统计整理，方便后续跟踪复测。

因此研发了 Savior—渗透测试报告辅助生成系统 ， 起这个名字也是为了拯救大多数渗透测试工程师，

告别繁琐的渗透测试报告编写过程及漏洞统计过程。

前端 ： Ant Design Pro

后端 ： Django REST Framework

数据库 ： Mysql

用户管理 ： 主要是方便统计漏洞的发现者，后续可能大概也许会添加漏洞统计模块，根据提交数据、漏洞类型、时间等进行统计报表，当前用户管理模块仅允许通过Django后台进行修改，前端只负责展示，主要是我太懒了。

项目管理 ： 根据项目的不同可上传项目的专属渗透测报告模板，并可以根据需要进行模板自定义模板（/Demo/demo.docx）；

模板自定义 ： 不用修改源代码，仅需修改word即可进行模板自定义；

整改建议管理 ： 此平台主要就是为了体现标准化输出，因此可通过内置漏洞描述及修复建议进行快速输出，并支持自定义修改（/Demo/常规WEB渗透测试漏洞描述及修复方法.docx）；

一键生成： 通过提交报告模块，内联项目模板，快速生成渗透测试报告，真正达到了一键生成，并确保报告内数据准确、字体统一、格式标准；

自动邮件： 在生成报告后可通过用户管理配置的自动邮件发送功能进行邮件通知，可自定义邮件模板，这样再报告给客户的时候就可以直接转发了（暖男功能）；

漏洞统计： 每次渗透过后，需要挨个查找报告进行统计整理，现在只要提交报告后，后台会自动联动；

漏洞报表一键导出

漏洞跟踪： 增加了漏洞状态字段，创建报告后，漏洞状态默认为新增，漏洞管理模块可进行复测，包括已整改、未整改两种状态；

Demo ：

演示账号 ：admin

演示密码 ： Savior@404

首先将代码clone到本地：

Docker部署

我们推荐使用Docker进行部署，相对于源码部署更为简单和快速。

部署前请务必先安装 Docker 及 docker-compose 。

修改配置文件

首先复制根目录的 .env.docker 并重命名为 .env ， 修改其中的Email Settings和initial Administrator配置。

这两个配置分别控制邮件提醒，以及初始管理帐号密码及邮箱。

同时需要注意以下两点：

1. 务必把邮箱修改为自己邮箱，不然可能会出现非预期错误！

2. 如果使用阿里云、腾讯云服务器，请使用smtp的ssl协议，两家云厂商默认封禁了25端口。

一键启动

访问 即可看到页面。

修改启动端口

如果想修改启动端口，可以修改docker-compose.yaml文件中web容器的ports。

默认为8000:8000，比如要修改为8080端口可改为8080:8000。

所需环境：

前端环境

环境变量设置 创建字符集为utf-8编码的数据库。

复制**.env.docker为.env**，并配置数据库、邮箱、管理员等信息。

后端环境

源码部署环境：

前台页面 ：

Django管理后台：

其中Savior平台包含两个后台页面。考虑到安全性，目前用户管理、项目管理托管于Django管理后台（主要是这两个模块不会写），其余功能均可通过前台页面实现。

前台页面 ：

Django管理后台 ：

访问Django管理后台： ,

请完善API用户的Name、Avatar、Autosentmail三个字段，分别控制报告的作者、头像（图片Url）、生成报告后自动发送渗透测试报告到邮箱。

访问Django管理后台：

请通过APIProjects进行添加项目，可根据不通项目选择不通的渗透测试报告模板。

参数说明：Project logo（项目Logo）、Project center（项目名称）、Project description（项目描述）、Project template（渗透测试报告模板，目前标准模板可使用Demo/demo.docx，如需自定义模板，请参考模版自定义部分）

访问 可进入Savior平台，通过个人设置整改设置添加漏洞模板可进行设置漏洞类型、漏洞描述、修复建议从而达到标准化。

目前整理了一些通用的修复建议模板，请参考Demo/常规WEB渗透测试漏洞描述及修复方法.docx。

目前根据我经常使用的渗透测试报告模板生成了一个demo版本（请参考/Demo/demo.docx）。

当然您也可以根据自己的需求进行模板自定义，其中仅需在WORD模板中进行参数替换，目前Savior中具体参数如下：

以下漏洞详情请利用{%tr for vuls in vuls %}{%tr endfor %}进行循环遍历。

如想列出所有漏洞URL,则使用参数{%tr for vuls in vuls %}{{item.vul_url}}{%tr endfor %}

注： Savior平台渗透测试模板遵循Jinja2语法，更多内容请参考

如果我们完善了用户信息、项目管理、整改设置后，就可以通过前端页面进行创建报告，其大概流程如下：首先完善报告的基本信息。

选择漏洞管理的添加漏洞功能。选择漏洞类型后，漏洞名称、漏洞描述、修复建议会根据整改设置进行自动联动，并可根据需求进行自定义修改。

需要注意的是漏洞详情处如果需要插入XSS语句，请进行url编码后进行输入！

注： 未提交前请勿刷新页面，此时漏洞详情保存为前端。提交后会自动生成渗透测试报告并进行下载。

打开报告会提示更新域，更新请选择是，再选择更新整个目录，此问题主要是为了更新目录，不然渗透测试报告中目录无法自动更新。

如果在用户管理打开了Autosentmail功能，渗透测试报告会自动发送至我们邮箱，方便转给甲方爸爸。

访问Savior平台，选择漏洞列表可进行漏洞统计并进行漏洞复测。

其中漏洞包含三个状态（新发现、已修复、未修复）。

通过选择导出数据功能，可将漏洞列表导出为Excle。

用户管理、项目管理迁移至前端

大数据看板

感谢 echo503 提供的项目帮助

感谢 lp0int 提供的项目帮助

项目框架及 Docker 部署参考 Github-Monitor：（ ）

原文地址：

阿里云的主要产品

阿里云的产品致力于提升运维效率，降低IT成本，令使用者更专注于核心业务发展。

云服务器ECS

一种简单高效，处理能力可弹性伸缩的计算服务。助您快速构建更稳定、安全的应用。提升运维效率，降低IT成本，使您更专注于核心业务创新。

云引擎ACE

一种弹性、分布式的应用托管环境，支持Java、PHP、Python、Node.js等多种语言环境。帮助开发者快速开发和部署服务端应用程序，并简化系统维护工作。搭载了丰富的分布式扩展服务，为应用程序提供强大助力。

弹性伸缩

根据用户的业务需求和策略，自动调整其弹性计算资源的管理服务。其能够在业务增长时自动增加ECS实例，并在业务下降时自动减少ECS实例。　

一种即开即用、稳定可靠、可弹性伸缩的在线数据库服务。基于飞天分布式系统和高性能存储，RDS支持MySQL、SQL Server、PostgreSQL和PPAS（高度兼容Oracle)引擎，并且提供了容灾、备份、恢复、监控、迁移等方面的全套解决方案。

开放结构化数据服务OTS

构建在阿里云飞天分布式系统之上的 NoSQL数据库服务，提供海量结构化数据的存储和实时访问。OTS 以实例和表的形式组织数据，通过数据分片和负载均衡技术，实现规模上的无缝扩展。应用通过调用 OTS API / SDK 或者操作管理控制台来使用 OTS 服务。

开放缓存服务OCS

在线缓存服务，为热点数据的访问提供高速响应。

键值存储KVStore for Redis

兼容开源Redis协议的Key-Value类型在线存储服务。KVStore支持字符串、链表、集合、有序集合、哈希表等多种数据类型，及事务（Transactions）、消息订阅与发布（Pub/Sub）等高级功能。通过内存+硬盘的存储方式，KVStore在提供高速数据读写能力的同时满足数据持久化需求。

数据传输

支持以数据库为核心的结构化存储产品之间的数据传输。 它是一种集数据迁移、数据订阅及数据实时同步于一体的数据传输服务。 数据传输的底层数据流基础设施为阿里双11异地双活基础架构， 为数千下游应用提供实时数据流，已在线上稳定运行3年之久。

对象存储OSS

阿里云对外提供的海量、安全和高可靠的云存储服务。RESTFul API的平台无关性，容量和处理能力的弹性扩展，按实际容量付费真正使您专注于核心业务。

归档存储

作为阿里云数据存储产品体系的重要组成部分，致力于提供低成本、高可靠的数据归档服务，适合于海量数据的长期归档、备份。

消息服务

一种高效、可靠、安全、便捷、可弹性扩展的分布式消息与通知服务。消息服务能够帮助应用开发者在他们应用的分布式组件上自由的传递数据，构建松耦合系统。

CDN

内容分发网络将源站内容分发至全国所有的节点，缩短用户查看对象的延迟，提高用户访问网站的响应速度与网站的可用性，解决网络带宽小、用户访问量大、网点分布不均等问题。 负载均衡

对多台云服务器进行流量分发的负载均衡服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。

专有网络VPC

帮助基于阿里云构建出一个隔离的网络环境。可以完全掌控自己的虚拟网络，包括选择自有 IP 地址范围、划分网段、配置路由表和网关等。也可以通过专线/VPN等连接方式将VPC与传统数据中心组成一个按需定制的网络环境，实现应用的平滑迁移上云。

开放数据处理服务ODPS

由阿里云自主研发，提供针对TB/PB级数据、实时性要求不高的分布式处理能力，应用于数据分析、挖掘、商业智能等领域。阿里巴巴的离线数据业务都运行在ODPS上。

采云间DPC

基于开放数据处理服务（ODPS）的DW/BI的工具解决方案。DPC提供全链路的易于上手的数据处理工具，包括ODPS IDE、任务调度、数据分析、报表制作和元数据管理等，可以大大降低用户在数据仓库和商业智能上的实施成本，加快实施进度。天弘基金、高德地图的数据团队基于DPC完成他们的大数据处理需求。

批量计算

一种适用于大规模并行批处理作业的分布式云服务。批量计算可支持海量作业并发规模，系统自动完成资源管理，作业调度和数据加载，并按实际使用量计费。批量计算广泛应用于电影动画渲染，生物数据分析，多媒体转码，金融保险分析等领域。

数据集成

阿里集团对外提供的稳定高效、弹性伸缩的数据同步平台，为阿里云大数据计算引擎(包括ODPS、分析型数据库、OSPS)提供离线(批量)、实时(流式)的数据进出通道。

DDoS防护服务

针对阿里云服务器在遭受大流量的DDoS攻击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过配置高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。免费为阿里云上客户提供最高5G的DDoS防护能力。

安骑士

阿里云推出的一款免费云服务器安全管理软件，主要提供木马文件查杀、防密码暴力破解、高危漏洞修复等安全防护功能。

阿里绿网

基于深度学习技术及阿里巴巴多年的海量数据支撑， 提供多样化的内容识别服务，能有效帮助用户降低违规风险。

安全网络

一款集安全、加速和个性化负载均衡为一体的网络接入产品。用户通过接入安全网络，可以缓解业务被各种网络攻击造成的影响，提供就近访问的动态加速功能。

DDoS高防IP

针对互联网服务器（包括非阿里云主机）在遭受大流量的DDoS攻击后导致服务不可用的情况下，推出的付费增值服务，用户可以通过配置高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。

网络安全专家服务

在云盾DDoS高防IP服务的基础上，推出的安全代维托管服务。该服务由阿里云云盾的DDoS专家团队，为企业客户提供私家定制的DDoS防护策略优化、重大活动保障、人工值守等服务，让企业客户在日益严重的DDoS攻击下高枕无忧。

服务器安全托管

为云服务器提供定制化的安全防护策略、木马文件检测和高危漏洞检测与修复工作。当发生安全事件时，阿里云安全团队提供安全事件分析、响应，并进行系统防护策略的优化。

渗透测试服务

针对用户的网站或业务系统，通过模拟黑客攻击的方式，进行专业性的入侵尝试，评估出重大安全漏洞或隐患的增值服务。

态势感知

专为企业安全运维团队打造，结合云主机和全网的威胁情报，利用机器学习，进行安全大数据分析的威胁检测平台。可让客户全面、快速、准确地感知过去、现在、未来的安全威胁。

云监控

一个开放性的监控平台，可实时监控您的站点和服务器，并提供多种告警方式（短信，旺旺，邮件）以保证及时预警，为您的站点和服务器的正常运行保驾护航。

访问控制

一个稳定可靠的集中式访问控制服务。您可以通过访问控制将阿里云资源的访问及管理权限分配给您的企业成员或合作伙伴。 日志服务

针对日志收集、存储、查询和分析的服务。日志服务可收集云服务和应用程序生成的日志数据并编制索引，提供实时查询海量日志的能力。

开放搜索

解决用户结构化数据搜索需求的托管服务，支持数据结构、搜索排序、数据处理自由定制。 开放搜索为您的网站或应用程序提供简单、低成本、稳定、高效的搜索解决方案。

媒体转码

为多媒体数据提供的转码计算服务。它以经济、弹性和高可扩展的音视频转换方法，将多媒体数据转码成适合在PC、TV以及移动终端上播放的格式。

性能测试

全球领先的SaaS性能测试平台，具有强大的分布式压测能力，可模拟海量用户真实的业务场景，让应用性能问题无所遁形。性能测试包含两个版本，Lite版适合于业务场景简单的系统，免费使用；企业版适合于承受大规模压力的系统，同时每月提供免费额度，可以满足大部分企业客户。

移动数据分析

一款移动App数据统计分析产品，提供通用的多维度用户行为分析，支持日志自主分析，助力移动开发者实现基于大数据技术的精细化运营、提升产品质量和体验、增强用户黏性。 阿里云旗下万网域名，连续19年蝉联域名市场NO.1，近1000万个域名在万网注册！除域名外，提供云服务器、云虚拟主机、企业邮箱、建站市场、云解析等服务。2015年7月，阿里云官网与万网网站合二为一，万网旗下的域名、云虚拟主机、企业邮箱和建站市场等业务深度整合到阿里云官网，用户可以网站上完成网络创业的第一步。

请问阿里云云盾是什么东西啊?

云盾是阿里云的安全品牌，云盾旗下包含如下几款安全产品：DDoS防护产品、安骑士（服务器安全）、应用防火墙、弱点分析、渗透测试等产品，全方位各角度解决阿里云用户的安全问题。目前，DDoS防护、安骑士、弱点分析均提供免费版本的使用。您可以付费获得更高级的DDoS防护能力，不过去万网互联有优惠，可雇佣专业安全专家进行渗透测试等，云盾不断推出新的产品只为解决您的安全问题。