实例网站技术脆弱性分析.doc

WEB网站扫描报告综述测试目标本次渗透测试的目标是对在信网关进行渗透性测试。从中发现可能的安全弱点,并给出修正建议。IP地址:在信网关:测试方法本次测试主要通过扫描器、应用软件测试工具、自行开发的渗透性测试工具与人工测试相结合的方式,分别对网站的端口,应用程序,系统,WEB应用程序等方面进行了测试与评估,并针对每个找到的安全弱点,给出了具体的验证方法与解决方案。测试所使用的账户及权限平台账户权限在信网关扫描只具备浏览和查看功能漏洞统计共发现漏洞31个:SQL注入 1个(高风险)账户安全策略不足2个(高风险)会话标识未更新 1个(高风险)程序代码漏洞 1个(高风险)跨站脚本XSS4个(中风险)检测到BEAWebLogic1个(中风险)登陆请求未加密6个(中风险)检测到隐藏目录10个(低风险)HTML注释泄密3个(低风险)发现可高速缓存的登录页面2个(低风险)其中:高风险漏洞5个中风险漏洞11个低风险漏洞15个网页漏洞评估SQL注入漏洞名称:SQL注入风险等级:高漏洞类型:脚本程序漏洞漏洞描述:经过简单的测试发现在统计分析->工号操作统计->工号登录统计下的工号对话框存在很多十分致命的注入漏洞,通过此类的安全漏洞我们在互联网区远程得到了该web服务器的主机最高控制权。以下是安全工程师测试中发现的严重注入漏洞:通过SQL探测字符串输入‘OR‘1’=’1并查询,返回得到数据库中所有用户的内容临时性解决方案对文件中带入SQL语句的变量,应该使用replace函数剔除特殊字符,如下所示:replace(id,"'","''")replace(id,";","''")replace(id,"--","''")replace(id,"(","''")这样把特殊字符过滤之后,就可以防止黑客通过输入变量提交有效的攻击语句了。相关内容:我们可以利用以上的注入漏洞从互联网得到这台服务器的最高控制权,也就是相当于进入了xxxx省xxxxxxxxx内网,并且可以对内网的所有电脑主机发动攻击,但是因为渗透测试只是点到为止的安全测试服务,所以我们发现了该严重风险并没有继续利用(如有需要可以现场演示)。以下是利用注入漏洞以最高管理员身份进入该服务器桌面的截图:账户安全策略不足漏洞名称:账户安全策略不足风险等级:高漏洞类型:配置问题漏洞描述:未限制账户登录失败次数,易遭受暴力攻击。输入无效的用户名和密码,应用程序返回不同的错误信息时,攻击者可以反复试验(暴力攻击)来发现有效的用户名,再继续尝试发现相关联的密码。临时解决方案一、当某账户的尝试登陆次数进行限制,例如超过3次密码错误则对该账户封锁10分钟。二、对每个错误的登录尝试发出相同的错误信息,不管是哪个字段发生错误,特别是用户名和密码。相关内容:会话标识未更新漏洞名称:会话标识未更新风险等级:高漏洞类型:Web应用程序编程或配置不安全漏洞描述:1. 2. 登录过程前后会话标识的比较,显示它们并未更新,这表示有可能伪装用户。临时解决方案始终生成新的会话,供用户成功认证时登录。防止用户操纵会话标识。请勿接受用户浏览器登录时所提供的会话标识。相关内容:程序代码漏洞漏洞名称:程序代码漏洞风险等级:高漏洞类型:脚本程序问题漏洞描述:点击个人工号管理,将func_code由001007(个人工号管理)改为001006(系统工号管理),并在COOKIE后加上“"--”,结果查看到了需要高权限才能看到的系统工号管理。临时解决方案完善代码,并做一些字符过滤等。相关内容:跨站脚本XSS漏洞名称:跨站漏洞XSS风险等级:中漏洞类型:脚本程序问题漏洞描述:在个人工号管理下,点击修改密码,将tree-value修改为saomiao"><script>alert("11");</script>--。Web站点中所包含的脚本直接将用户在HTML页面中的输入(通常是参数值)返回,而不预先加以清理。如果脚本在响应页面中返回由JavaScript代码组成的输入,浏览器便可以执行输入中的代码。因此,有可能形成指向站点的若干链接,且其中一个参数是由恶意的JavaScript代码组成。该代码将在站点上下文中(由用户浏览器)执行,这授权它通过用户浏览器访问用户所拥有的站点Cookie以及站点的其他窗口。临时解决方案过滤输入变量的“’”、“<”、“>”符号相关内容:如下图检测到BEAWebLogic漏洞名称:检测到BEAWebLogic管理界面风险等级:中漏洞类型:配置问题漏洞描述:将url路径设为可能会升级用户特权并通过Web应用程序获取管理许可权。WebLogic服务器包含若干管理用途的应用程序:/AdminMain、/AdminProps、/AdminReal