afiqandico13/sion-stikom-security-review

  # SION STIKOM Bali — 安全研究 针对 ITB STIKOM Bali 网络基础架构的综合安全研究。提供两份报告：**pentest 2026**（综合测试）和 **static review**（初步审查）。 ## 📑 报告 ### 🎯 [pentest-2026/](./pentest-2026/) — **综合测试（2026年6月22日）** 针对 `*.stikom-bali.ac.id` 进行的全面 OWASP 黑盒渗透测试： - **5 项发现** + 1 项已验证的安全控制 - 每项发现的 CVSS 3.1 评分 - 包含输出的 POC 命令 - 修复方案（代码 + 配置） - 面向 IT 团队的验证命令 - 负责任的漏洞披露时间线 - 为公开作品集进行匿名化处理 **核心发现：** `pembayaran.stikom-bali.ac.id` 上的源 IP 暴露及 WAF 绕过。 ### 📄 [Report.md](./Report.md) — 静态审查（2026年6月18日） 针对 `sion.stikom-bali.ac.id` 的初步静态分析： - HTTP 标头安全态势 - 6 项检查内容，主要侧重于纵深防御 - **未验证任何利用路径** — 仅为安全加固建议 - 提供 HTML + PDF 版本 ## ⚡ 快速摘要（pentest 2026） | # | 发现 | 严重程度 | CVSS 3.1 | |---|---|---|---| | 1 | 源 IP 暴露及 WAF 绕过 | 🔴 严重 | 7.5 | | 2 | 登录缺少 Rate Limiting | 🟠 高危 | 7.5 | | 3 | 开启 Debug 模式（堆栈跟踪） | 🟠 高危 | 5.3 | | 4 | 详细的错误消息 | 🟡 中危 | 5.3 | | 5 | Web 服务器配置错误 | 🟡 中危 | 5.3 | | 6 | 通过找回密码功能进行的用户枚举 | 🟢 安全 | — | **阅读完整报告：** [pentest-2026/README.md](./pentest-2026/README.md) ## 🛡️ 负责任的漏洞披露 两份报告均遵循负责任的漏洞披露原则： - ✅ 未对发现的漏洞进行利用 - ✅ 发布匿名化版本（已隐去敏感数据） - ✅ 已向 IT STIKOM 发送披露邮件 - ✅ 90 天的公开披露窗口期 邮件模板：[email-to-it.md](./email-to-it.md)（用于静态审查；pentest 2026 在其 `pentest-2026/` 目录内有专属模板） ## 🎓 作者 **Afiq Andico Pangimpian** — Cube Cafe Jimbaran IT Support · ITB STIKOM Bali 信息系统专业学生 - 邮箱：afiqandico13@gmail.com - GitHub：[@afiqandico13](https://github.com/afiqandico13) - 安全作品集：[github.com/afiqandico13?tab=repositories&q=security-review](https://github.com/afiqandico13?tab=repositories&q=security-review) 相关的其他安全研究仓库： - [unud-web-security-review](https://github.com/afiqandico13/unud-web-security-review) - [warmadewa-web-security-review](https://github.com/afiqandico13/warmadewa-web-security-review) ## 📜 许可证 MIT — 详见 [LICENSE](./LICENSE)。欢迎将其作为您自己安全研究的模板使用。

标签：GitHub, Web安全, 后端开发, 域名收集, 多模态安全, 实时处理, 渗透测试报告, 漏洞分析, 网页分析工具, 蓝队分析, 路径探测, 防御加固