XMind
目录
一、 项目概要 1
二、 测试过程 1
(一) 制定实施方案: 1
(二) 风险规避: 1
(三) 测试过程: 2
(四) 整改加固建议: 4
三、 渗透测试方法 5
(一) RCE漏洞 5
(二) Cobalt Strike 5
四、 渗透测试范围 6
一、项目概要
(一)项目背景:2021年5月10日,360漏洞云监测到Xmind 2020存在XSS漏洞,攻击者可以借助该漏洞实现命令执行,在实际环境中借助钓鱼攻击可能造成更严重的危害。
(二)实验目标:主要通过渗透测试的方式,发现和总结xind2020应用中可能面临的各类安全风险,并提出针对性的安全改进建议。
二、测试过程
(一)制定实施方案:
1.实施对象
2.实施环境
3.实施复现
4.给出防卫方法
(二)风险规避:
1.此次复现只在虚拟机和本地进行复现。
2.此时复现只使用无内容新建文件。
(三)测试过程:
1.扫描分析漏洞
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。
漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。
此次漏洞是被360扫描出来的。
本次的漏洞属于xss漏洞,利用该漏洞攻