susheel-cybercode/vulnerability-assessment-itsecgames
GitHub: susheel-cybercode/vulnerability-assessment-itsecgames
针对 itsecgames.com 的漏洞评估报告仓库,包含完整扫描数据、证据截图及正式 PDF 报告,共披露 6 个安全发现。
Stars: 0 | Forks: 0
# 漏洞评估 — itsecgames.com
[]()
[]()
[]()
使用开源侦察和扫描工具对 **itsecgames.com** 进行的专业漏洞评估。包含原始扫描输出、证据工件、截图和正式的 PDF 报告。
**分析师:** SUSHEEL M.S
**日期:** 2025 年 10 月 22 日
## 发现摘要
| 严重程度 | 数量 | 发现 |
|---|---|---|
| **严重/高** | 2 | SSL CN 不匹配,无 HTTP→HTTPS 重定向 |
| **中** | 2 | 缺失安全标头 (CSP, HSTS, Referrer-Policy),不支持 TLS 1.3 |
| **低** | 2 | Apache 服务器标头暴露,`/downloads` 和 `/images` 存在目录列表 |
### 详细发现
| # | 风险 | 发现 | 影响 |
|---|---|---|---|
| 1 | **高** | SSL 证书 CN 不匹配 — 证书颁发给 `mmevb.be`,而非 `itsecgames.com` | 用户收到浏览器警告;允许通过证书欺骗进行 MITM |
| 2 | **高** | HTTP 未重定向至 HTTPS | 降级攻击;凭据以明文暴露 |
| 3 | **中** | 缺失 CSP、HSTS、Referrer-Policy 标头 | XSS、点击劫持、信息泄露 |
| 4 | **中** | 不支持 TLS 1.3 | 依赖具有已知弱点的旧协议版本 |
| 5 | **低** | HTTP 响应中暴露了 Apache 服务器版本标头 | 信息披露有助于针对性攻击 |
| 6 | **低** | `/downloads` 和 `/images` 存在公开目录列表 | 可能发现敏感文件 |
## 使用的工具
| 工具 | 用途 |
|---|---|
| **Nmap** | 端口扫描和服务枚举 |
| **testssl.sh** | SSL/TLS 配置测试 |
| **WhatWeb** | Web 技术指纹识别 |
| **wget** | 用于 URL 发现的 Spider/爬取 |
| **curl** | HTTP 标头检查 |
| **Whois** | 域名注册和所有权数据 |
## 仓库结构
```
vulnerability-assessment-itsecgames/
├── reports/
│ └── vulnerabilityreportbysusheel.pdf # Formal assessment report (PDF)
├── scans/
│ ├── nmap_top100.txt # Nmap top-100 ports scan
│ ├── testssl.txt # SSL/TLS configuration results
│ ├── headers_http.txt # HTTP response headers
│ ├── urls_discovered.txt # Discovered URLs from spidering
│ ├── wget_spider.log # wget spider crawl log
│ ├── whatweb.txt # Technology fingerprint results
│ ├── sample_search_response.html # Search response sample
│ └── xss_test_response.html # XSS test response sample
├── evidence/
│ ├── ip.txt # Target IP resolution
│ ├── whois.txt WHOIS registration data
│ └── whatweb.txt # Web tech stack identification
├── screenshots/ # 7 screenshots documenting the assessment
└── README.md
```
## 正式报告
完整的漏洞评估报告可在以下地址获取:
[`reports/vulnerabilityreportbysusheel.pdf`](reports/vulnerabilityreportbysusheel.pdf)
## 作者
**Susheel M S** — 网络安全 | 漏洞评估 | 渗透测试
[GitHub](https://github.com/susheel-cybercode)
标签:AES-256, CTI, TLS分析, Web安全, 后端开发, 安全报告, 实时处理, 插件系统, 漏洞评估, 蓝队分析, 资产测绘