網(wǎng)站系統(tǒng)滲透測試報(bào)告

1、滲透測試報(bào)告xxxx有限公司網(wǎng)站系統(tǒng)滲透測試報(bào)告 2011年3月2日目 錄一、概述31.1 滲透測試范圍31.2 滲透測試主要內(nèi)容3二、脆弱性分析方法42.1工具自動(dòng)分析4三、滲透測試過程描述53.1脆弱性分析綜述53.2脆弱性分析統(tǒng)計(jì)53.3網(wǎng)站結(jié)構(gòu)分析63.4目錄遍歷探測63.5隱藏文件探測83.6備份文件探測83.7 cgi漏洞掃描93.8用戶名和密碼猜解93.9 驗(yàn)證登陸漏洞103.10 跨站腳本漏洞挖掘113.10 sql注射漏洞挖掘123.11數(shù)據(jù)庫挖掘分析17四、分析結(jié)果總結(jié)18一、概述按照江蘇電信網(wǎng)上營業(yè)廳滲透測試授權(quán)書時(shí)間要求，我們從2011年2月15日至2011年2月某25

2、期間，對(duì)網(wǎng)上營業(yè)廳官方網(wǎng)站系統(tǒng)http:/www.*進(jìn)行了全面細(xì)致的脆弱性掃描，同時(shí)結(jié)合南京青苜信息技術(shù)有限公司安全專家的手工分析，兩者匯總得到了該分析報(bào)告。1.1 滲透測試范圍此次滲透測試的主要對(duì)象包括：網(wǎng)上營業(yè)廳官方網(wǎng)站。注：所有本報(bào)告中描述的測試過程和測試漏洞都是針對(duì)江蘇電信網(wǎng)上營業(yè)廳官方網(wǎng)站系統(tǒng)。1.2 滲透測試主要內(nèi)容在本次滲透測試過程中，南京青苜信息技術(shù)有限公司通過對(duì)網(wǎng)上營業(yè)廳網(wǎng)站結(jié)構(gòu)分析，目錄遍歷探測，隱藏文件探測，備份文件探測，cgi漏洞掃描，用戶和密碼猜解，跨站腳本分析，sql注射漏洞挖掘，數(shù)據(jù)庫挖掘分析等幾個(gè)方面進(jìn)行測試，得出了網(wǎng)上營業(yè)廳網(wǎng)站系統(tǒng)存在的安全風(fēng)險(xiǎn)點(diǎn)，針對(duì)這些風(fēng)

3、險(xiǎn)點(diǎn)，我門將提供網(wǎng)上營業(yè)廳安全加固建議。二、脆弱性分析方法2.1工具自動(dòng)分析2.1.1工具自動(dòng)分析機(jī)制由于web程序語言遵循cgi接口規(guī)范，因此web漏洞主要體現(xiàn)在程序?qū)斎氲奶幚砩厦?。而web應(yīng)用掃描軟件則是根據(jù)這個(gè)特點(diǎn)，通過發(fā)送精心構(gòu)造的請(qǐng)求，并且對(duì)服務(wù)器返回的響應(yīng)來判斷服務(wù)器是否存在指定的web漏洞?；谶@個(gè)原因，web應(yīng)用掃描軟件應(yīng)該可以發(fā)現(xiàn)包括xss、sql injection和緩沖區(qū)溢出在內(nèi)的大部分常見的web漏洞。2.1.2工具自動(dòng)分析過程web應(yīng)用掃描軟件首先對(duì)目標(biāo)站點(diǎn)進(jìn)行分析，獲取目標(biāo)應(yīng)用系統(tǒng)的組織結(jié)構(gòu)，然后找出可能存在問題的程序，并且獲取這些程序允許的參數(shù)輸入，然后根據(jù)知識(shí)

4、庫中的內(nèi)容，精心構(gòu)造一些特殊的請(qǐng)求，然后發(fā)送給服務(wù)器，并且最終服務(wù)器會(huì)把請(qǐng)求交給該程序處理，通過分析服務(wù)器返回的響應(yīng)，我們就可以判斷出目標(biāo)應(yīng)用系統(tǒng)存在什么漏洞，漏洞位于什么程序，是哪個(gè)參數(shù)出現(xiàn)了問題。同時(shí)，對(duì)于無法準(zhǔn)確判斷結(jié)果的程序，我們的web應(yīng)用掃描軟件提供了交互式漏洞挖掘工具，可以準(zhǔn)確判斷目標(biāo)應(yīng)用系統(tǒng)是否存在安全漏洞。2.1.3本次分析工具介紹本次分析使用的自動(dòng)分析工具為國際上的著名應(yīng)用安全產(chǎn)品sanctum公司（以色列）的appscan v.0（ 評(píng)估系統(tǒng)，可以對(duì)各種已知及未知、應(yīng)用程序特有及普遍存在的漏洞進(jìn)行評(píng)估，并能夠分析并且學(xué)習(xí)每一個(gè)web應(yīng)用獨(dú)特的個(gè)性，通過組合變化各種攻擊特征

5、，測試并驗(yàn)證目標(biāo)系統(tǒng)的脆弱性。三、滲透測試過程描述3.1工具掃描脆弱性分析綜述 南京青苜信息技術(shù)有限公司本次對(duì)網(wǎng)上營業(yè)廳官方網(wǎng)站系統(tǒng)http:/www.*進(jìn)行了細(xì)致的掃描工作，發(fā)現(xiàn)部分明顯的安全漏洞。3.2工具掃描脆弱性分析統(tǒng)計(jì) 根據(jù)漏洞類別進(jìn)行統(tǒng)計(jì)，如下所示:漏洞類別高中低風(fēng)險(xiǎn)值網(wǎng)站結(jié)構(gòu)分析0目錄遍歷探測0隱藏文件探測0備份文件探測0cgi漏洞掃描0用戶和密碼猜解0跨站腳本分析0sql注射漏洞挖掘（含數(shù)據(jù)庫挖掘分析）0風(fēng)險(xiǎn)總值0注：通過工具分析沒有發(fā)現(xiàn)xxxx網(wǎng)站系統(tǒng)的存在的安全漏洞。3.3網(wǎng)站結(jié)構(gòu)人工分析通過對(duì)網(wǎng)站進(jìn)行智能搜索掃描和結(jié)構(gòu)分析，發(fā)現(xiàn)xxxx網(wǎng)站使用兩種web服務(wù)、兩種腳本語言

6、和兩種數(shù)據(jù)庫，分別是iis6+asp+access和apache tomcat+jsp+oracle，分別跑在80和8080兩個(gè)端口上，另外通過掃描可以看出網(wǎng)站使用的windows 2003的操作系統(tǒng)，由于近期并有針對(duì)windows 2003和iis6以及apache可以利用的安全漏洞，所以從端口上看在系統(tǒng)層上是沒有有利用價(jià)值的漏洞，因此，我們只能從asp和jsp腳本上對(duì)網(wǎng)站進(jìn)行滲透測試，并最終發(fā)現(xiàn)了腳本存在的漏洞，并利用這些漏洞進(jìn)入xxxx網(wǎng)站后臺(tái)系統(tǒng)。3.4目錄遍歷人工探測通過遍歷每個(gè)存在的目錄，智能搜索并探測除公開網(wǎng)頁中包含的所有目錄以外，是否存在非授權(quán)不能訪問卻被訪問的目錄。這些目錄很

7、有可能就是網(wǎng)站管理員后臺(tái)程序所在目錄或者是數(shù)據(jù)庫所在目錄。如果這些目錄沒有做好權(quán)限設(shè)置，那么極有可能導(dǎo)致網(wǎng)站后臺(tái)失陷于此。3.4.1 apache tomcat存在漏洞通過xx公司安全人員對(duì)apache tomcat手工測試發(fā)現(xiàn)，xxxx網(wǎng)站由于配置原因存在目錄過濾不嚴(yán)，可瀏覽任意web目錄漏洞如下：1. http:/www.xxxxxx.com:8080/xxxxxx/library/ 2. http:/www.xxxxxx.com:8080/xxxxxx/doc/database/3. http:/www.xxxxxx.com:8080/manager/4. http:/www.xxxxx

8、x.com:8080/xxxxxx/5. http:/www.xxxxxx.com:8080/tphealth/yw/6. http:/www.xxxxxx.com:8080/tphealth/include/7. http:/www.xxxxxx.com:8080/card/yw/其中http:/www.xxxxxx.com:8080/xxxxxx/doc/database/目錄下有oracle數(shù)據(jù)庫配置文件見下圖： 圖一：數(shù)據(jù)庫配置文件圖3.4.2可能的安全危害這是web服務(wù)器常見的apache設(shè)置錯(cuò)誤，惡意用戶可以讀取任意可讀文件。3.4.3解決方案建議在目錄下放置apache默認(rèn)訪問頁

9、面，或者修改apache配置文件，禁止目錄遍歷。3.5隱藏文件人工探測通過隱藏文件的智能探測，除了已有的所有公開頁面以外，智能搜索并探測在這些目錄下是否存在隱藏文件。這些文件很有可能就是網(wǎng)站的一些配置文件，或者是網(wǎng)站管理員忘記刪除的程序說明書，或者是網(wǎng)站后臺(tái)登陸的重要文件。這些文件極有可能導(dǎo)致網(wǎng)站重要數(shù)據(jù)的泄漏，最終導(dǎo)致整個(gè)網(wǎng)站權(quán)限的淪陷。3.5.1探測結(jié)果沒有發(fā)現(xiàn)隱藏文件。3.6備份文件人工探測通過備份文件的智能探測，除了已有的所有公開頁面以外，智能搜索并探測在這些目錄下是否存在備份文件。這些文件很有可能就是網(wǎng)站的一些重要文件的備份信息，或者是網(wǎng)站管理員忘記刪除的網(wǎng)站數(shù)據(jù)庫備份。這些文件是最

10、有可能導(dǎo)致網(wǎng)站重要數(shù)據(jù)的泄漏的風(fēng)險(xiǎn)點(diǎn)，直接威脅著整個(gè)網(wǎng)站的整體安全。3.6.1探測結(jié)果在本次掃描分析中，發(fā)現(xiàn)了0個(gè)備份文件。3.6.2可能的安全危害無。3.6.3解決方案建議及時(shí)刪除備份文件。3.7 cgi漏洞掃描這種類型的漏洞通常是導(dǎo)致服務(wù)端腳本文件源代碼的暴露，或者是程序的任意執(zhí)行等等。同時(shí)，由于這類已知的cgi漏洞利用技術(shù)都是很成熟了的，所以對(duì)網(wǎng)站的安全也有較大的威脅。3.7.1掃描結(jié)果通過對(duì)web服務(wù)器進(jìn)行已知的cgi漏洞掃描，并未發(fā)現(xiàn)cgi漏洞。3.7.2可能的安全危害無。3.7.3解決方案建議及時(shí)安裝web服務(wù)器的安全補(bǔ)丁。3.8用戶名和密碼猜解通常，網(wǎng)站是不提供內(nèi)部用戶注冊(cè)的，但

11、是由于內(nèi)部用戶的粗心大意留下了簡單密碼的帳戶，導(dǎo)致外部人員可以使用內(nèi)部功能。于此同時(shí)，內(nèi)部功能上的風(fēng)險(xiǎn)也暴露給了外部人員。3.8.1分析結(jié)果通過對(duì)網(wǎng)站中存在的form表單進(jìn)行用戶名和簡單密碼猜解，沒有發(fā)現(xiàn)存在存在問題。3.8.2可能的安全危害導(dǎo)致外部用戶可以登陸管理員后臺(tái)，使用高權(quán)限功能，并造成內(nèi)部功能缺陷的暴露。3.8.3解決方案建議使用強(qiáng)壯的帳號(hào)密碼。3.9 驗(yàn)證登陸漏洞經(jīng)過測試我們發(fā)現(xiàn)用戶保單查詢頁面，在保單查詢登陸認(rèn)證方法二中，輸入or 1=1-可以繞過登陸驗(yàn)證，可以任意查詢客戶信息，詳見下圖：3.9.1可能的安全危害能夠未授權(quán)得到xxxx所有被?？蛻粜畔ⅰＨ菀仔畔⑿孤┖蛯?duì)客戶商業(yè)機(jī)密

12、產(chǎn)生影響。3.9.2解決方案建議建議增加對(duì)提交腳本的長度和特殊字符過濾，同時(shí)對(duì)文件目錄的權(quán)限進(jìn)行配置。3.10 跨站腳本漏洞人工挖掘跨站類型的漏洞通常是出現(xiàn)在用戶和服務(wù)器進(jìn)行信息交互的接口處，這種漏洞使用戶訪問服務(wù)器的時(shí)候執(zhí)行惡意代碼，可以直接導(dǎo)致用戶數(shù)據(jù)的泄漏，最終不但有損網(wǎng)站的信譽(yù)度，同時(shí)還威脅到服務(wù)器的安全性。3.10.1漏洞挖掘結(jié)果通過對(duì)該類型漏洞的挖掘，共發(fā)現(xiàn)1個(gè)跨站腳本漏洞。漏洞詳細(xì)情況描述如下：通過對(duì)jsp腳本的漏洞測試，我們發(fā)現(xiàn)其中有一處有xss漏洞，這樣我們可以構(gòu)造出一個(gè)內(nèi)容,為hello彈出對(duì)話框進(jìn)行測試http:/www.xxxxxx.com:8080/666%0a%0a

13、<script>alert("hello");</script>666.jsp，如果我們構(gòu)造的不是彈出對(duì)話框而是一個(gè)帶有木馬的網(wǎng)頁，這樣就可以發(fā)給管理員誘使管理員訪問植入木馬，具體詳見見下圖：1. 該漏洞存在于如下頁面：http:/www.xxxxxx.com:8080/666%0a%0a<script>alert("hello");</script>666.jsp2. 該漏洞利用工作原理介紹：當(dāng)用戶注冊(cè)的時(shí)候，添加xss跨站腳本代碼，當(dāng)管理員或其它用戶查看該用戶信息的時(shí)候，就會(huì)導(dǎo)致數(shù)據(jù)的泄漏等等。3.9.

14、2可能的安全危害泄漏敏感數(shù)據(jù)。3.9.3解決方案建議在程序中檢查參數(shù)的輸入，進(jìn)行關(guān)鍵字的過濾。3.10 sql注射漏洞人工挖掘sql注射類型的漏洞通常是出現(xiàn)在用戶和服務(wù)器進(jìn)行信息交互的接口處，這種漏洞使得服務(wù)器的后臺(tái)數(shù)據(jù)庫很有可能直接暴露出來，造成機(jī)密信息的泄漏。如果其中包含管理員的帳號(hào)信息，其危害也就不言而喻了。更重要的是站在網(wǎng)站用戶的角度來說，這種問題的出現(xiàn)嚴(yán)重影響到了網(wǎng)站在客戶心中的信譽(yù)度。3.10.1漏洞挖掘結(jié)果通過對(duì)該類型漏洞的挖掘，共發(fā)現(xiàn)2個(gè)sql注射類型的漏洞。漏洞一詳細(xì)情況描述如下：1. 漏洞存在的頁面如下：http:/claimds.xxxxxx.com/print/9_tp

15、procheck.jsp?caseno=zero2. 該漏洞利用工作原理介紹：在i參數(shù)提交的時(shí)候，構(gòu)造相關(guān)的sql語句，改變數(shù)據(jù)庫查詢流程，達(dá)到獲取數(shù)據(jù)庫敏感資料。通過對(duì)分站jsp腳本的測試，我們發(fā)現(xiàn)claimds.xxxxxx.com系統(tǒng)和主站jsp 使用的是一個(gè)oracle數(shù)據(jù)庫，通過對(duì)其腳本測試我們發(fā)現(xiàn)一個(gè)注入點(diǎn)，該注入點(diǎn)可以得到數(shù)據(jù)庫的信息；另外，由于本次測試時(shí)間有限，如果測試時(shí)間足夠的話，根據(jù)我們對(duì)這個(gè)漏洞的利用，我們就可以暴庫，獲得jsp腳本后臺(tái)管理員密碼，從而進(jìn)入后臺(tái)更改后臺(tái)設(shè)置，甚至上傳webshell。3.10.2 eweb編輯器漏洞挖掘（最嚴(yán)重漏洞）因?yàn)闀r(shí)間關(guān)系，xx公司安

16、全人員沒有選擇利用jsp腳本對(duì)oracle進(jìn)行暴庫，所以我們把主要測試重心選擇asp腳本，經(jīng)過對(duì)asp腳本的測試發(fā)現(xiàn)，asp腳本目錄下有eweb網(wǎng)站編輯器。我們下載了一個(gè)eweb腳本編輯器對(duì)其代碼進(jìn)行分析，發(fā)現(xiàn)eweb腳本存在注入，通過這個(gè)漏洞我們添加一個(gè)名為antiwebeditor管理員，并登陸進(jìn)入后臺(tái)，具體可以參見我們的截圖： 通過對(duì)eweb編輯器的研究發(fā)現(xiàn)，可以通過其樣式管理，把flash類型里的swf改成.asa文件保存，就可以通過樣式管理上傳后綴名為.asa的腳本木馬了，見下圖：但是我們?cè)谏蟼鞯倪^程中eweb腳本出現(xiàn)了問題，腳本有錯(cuò)誤不能上傳文件，通過我們跟eweb客服了解，該問題

17、是因?yàn)榉?wù)器上裝了kaspersky殺毒軟件，kaspersky對(duì)eweb低版本的腳本程序進(jìn)行查殺導(dǎo)致木馬文件不能上傳，但該漏洞問題是存在的，通過修改木馬文件后綴，可以避開kaspersky測查殺程序，并最終上傳webshell成功。見下圖：3.10.2可能的安全危害此2個(gè)漏洞可能的安全危害都為：未授權(quán)用戶可能通過該漏洞獲取數(shù)據(jù)庫敏感資料，造成敏感信息泄漏，最終獲取網(wǎng)站后臺(tái)，上傳webshell，控制網(wǎng)站。3.10.3解決方案建議針對(duì)此類型漏洞，應(yīng)盡量過慮各種輸入?yún)?shù)，如上述2個(gè)漏洞，應(yīng)對(duì)“用戶名”或“密碼”，id這三個(gè)參數(shù)進(jìn)行過慮。并且由于客戶eweb編輯器文件本身存在安全漏洞，除非刪除該文

18、件，暫時(shí)沒有更好解決方案。3.11數(shù)據(jù)庫漏洞挖掘人工分析在使用mssql、mysql、sybase和oracle等常用數(shù)據(jù)庫的時(shí)候，只要存在sql注射漏洞，就能夠通過這種漏洞對(duì)數(shù)據(jù)庫中的信息進(jìn)行挖掘，如果數(shù)據(jù)庫服務(wù)器設(shè)置不當(dāng)甚至可以導(dǎo)致數(shù)據(jù)庫服務(wù)器被入侵。3.11.1挖掘分析結(jié)果通過利用已發(fā)現(xiàn)的sql注射漏洞對(duì)服務(wù)器后臺(tái)數(shù)據(jù)庫進(jìn)行數(shù)據(jù)的挖掘，發(fā)現(xiàn)本后臺(tái)數(shù)據(jù)庫類型為oracle數(shù)據(jù)庫。3.11.2可能的安全危害敏感數(shù)據(jù)泄漏。3.11.3解決方案建議由于數(shù)據(jù)庫挖掘使用的是sql服務(wù)器合法的語句，所以需要根治漏洞的根源，加固所有的外部腳本，避免產(chǎn)生sql注入漏洞。四、分析結(jié)果總結(jié)通過xx公司通過這次測試可以看出，xxxx在網(wǎng)站安全上做了很多的工作，網(wǎng)站有防注入和篡改系統(tǒng)，但是xxxx只關(guān)注了防注入，但是對(duì)于到系統(tǒng)層上的安全如apache tomcat 瀏覽任