XX投資集團(tuán)-網(wǎng)站滲透測(cè)試報(bào)告

中國(guó)電力投資集團(tuán)網(wǎng)站滲透測(cè)試報(bào)告 第3頁(yè)共18頁(yè) _______________________________XXXX投資集團(tuán)網(wǎng)站滲透測(cè)試報(bào)告_______________________________頁(yè)腳：宋體，Arial，五號(hào)，單倍行距，需填寫(xiě)客戶(hù)公司名稱(chēng)頁(yè)腳：宋體，Arial，五號(hào)，單倍行距，需填寫(xiě)客戶(hù)公司名稱(chēng)目錄第1章 概述 41.1. 測(cè)試目的 41.2. 測(cè)試范圍 41.3. 實(shí)施流程 41.3.1. 信息收集 51.3.2. 滲透測(cè)試 61.3.3. 本地信息收集 71.3.4. 權(quán)限提升 71.3.5. 清除 71.3.6. 輸出報(bào)告 71.4. 參考標(biāo)準(zhǔn) 7第2章 測(cè)試綜述 82.1. 總體安全現(xiàn)狀 82.2. 安全漏洞列表 8第3章 測(cè)試結(jié)果 103.1. 門(mén)戶(hù)網(wǎng)站 103.1.1. Apache版本低 103.1.2. SQL注入漏洞 103.1.3. 跨站腳本漏洞（內(nèi)網(wǎng)中存在） 123.1.4. 敏感信息泄漏 143.2. 郵件系統(tǒng) 153.2.1. 跨站點(diǎn)請(qǐng)求偽造 153.2.2. 已解密的登錄請(qǐng)求 163.2.3. 未使用驗(yàn)證碼機(jī)制 173.3. 黨群工作信息管理系統(tǒng) 18第4章 安全建議 20 文檔信息表 文檔基本信息項(xiàng)目名稱(chēng)XXXX投資集團(tuán)文檔名稱(chēng)網(wǎng)站滲透測(cè)試報(bào)告創(chuàng)建者創(chuàng)建時(shí)間2011-07-19文檔修訂信息版本修正章節(jié)日期作者變更記錄1.0全部2011-07-19創(chuàng)建概述測(cè)試目的模擬黑客的入侵行為，對(duì)指定的網(wǎng)站應(yīng)用系統(tǒng)進(jìn)行安全漏洞掃描和利用測(cè)試，評(píng)估是否存在可以被攻擊者真實(shí)利用的漏洞以及由此引起的風(fēng)險(xiǎn)大小，為制定相應(yīng)的安全措施與解決方案提供實(shí)際的依據(jù)。測(cè)試范圍應(yīng)用系統(tǒng)名稱(chēng)應(yīng)用系統(tǒng)IP門(mén)戶(hù)網(wǎng)站郵箱系統(tǒng)實(shí)施流程滲透測(cè)試服務(wù)流程定義如下：信息收集此階段中，滲透測(cè)試小組進(jìn)行必要的信息收集，如IP地址、DNS記錄、軟件版本信息、IP段等。采用方法基本網(wǎng)絡(luò)信息獲取ping目標(biāo)網(wǎng)絡(luò)得到IP地址和ttl等信息tcptraceroute和traceroute的結(jié)果whois結(jié)果netcraft獲取目標(biāo)可能存在的域名、Web及服務(wù)器信息curl獲取目標(biāo)web基本信息nmap對(duì)網(wǎng)站進(jìn)行端口掃描并判斷操作系統(tǒng)類(lèi)型google、yahoo、baidu等搜索引擎獲取目標(biāo)信息FWtester、hping3等工具進(jìn)行防火墻規(guī)則探測(cè)其他滲透測(cè)試此階段中，滲透測(cè)試小組根據(jù)第一階段獲得的信息對(duì)網(wǎng)絡(luò)、系統(tǒng)進(jìn)行滲透測(cè)試。此階段如果成功的話(huà)，可能獲得普通權(quán)限。采用方法常規(guī)漏洞掃描和采用商用軟件進(jìn)行檢查結(jié)合使用ISS與Nessus等商用或免費(fèi)的掃描工具進(jìn)行漏洞掃描采用SolarWinds對(duì)網(wǎng)絡(luò)設(shè)備等進(jìn)行搜索發(fā)現(xiàn)采用nikto、webinspect等軟件對(duì)web常見(jiàn)漏洞進(jìn)行掃描采用如AppDetectiv之類(lèi)的商用軟件對(duì)數(shù)據(jù)庫(kù)進(jìn)行掃描分析對(duì)Web和數(shù)據(jù)庫(kù)應(yīng)用進(jìn)行分析采用WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe等工具進(jìn)行分析用Ethereal抓包協(xié)助分析用webscan、fuzzer進(jìn)行SQL注入和XSS漏洞初步分析手工檢測(cè)SQL注入和XSS漏洞采用類(lèi)似OScanner的工具對(duì)數(shù)據(jù)庫(kù)進(jìn)行分析基于通用設(shè)備、數(shù)據(jù)庫(kù)、操作系統(tǒng)和應(yīng)用的攻擊采用各種公開(kāi)及私有的緩沖區(qū)溢出程序代碼，也采用諸如MetasploitFramework之類(lèi)的利用程序集合?；趹?yīng)用的攻擊基于web、數(shù)據(jù)庫(kù)或特定的B/S或C/S結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用程序存在的弱點(diǎn)進(jìn)行攻擊?？诹畈陆饧夹g(shù)進(jìn)行口令猜解可以采用X-Scan、Brutus、Hydra、溯雪等工具。本地信息收集此階段中，滲透測(cè)試小組進(jìn)行本地信息收集，用于下一階段的權(quán)限提升。權(quán)限提升此階段中，滲透測(cè)試小組嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對(duì)系統(tǒng)的完全控制權(quán)。在時(shí)間許可的情況下，必要時(shí)從第一階段重新進(jìn)行。采用方法口令嗅探與鍵盤(pán)記錄嗅探、鍵盤(pán)記錄、木馬等軟件，功能簡(jiǎn)單，但要求不被防病毒軟件發(fā)覺(jué)，因此通常需要自行開(kāi)發(fā)或修改?？诹钇平庥性S多著名的口令破解軟件，如L0phtCrack、JohntheRipper、Cain等清除此階段中，滲透測(cè)試小組清除中間數(shù)據(jù)。輸出報(bào)告此階段中，滲透測(cè)試小組根據(jù)測(cè)試的結(jié)果編寫(xiě)滲透測(cè)試報(bào)告。參考標(biāo)準(zhǔn)《OWASPTestingGuide》測(cè)試綜述總體安全現(xiàn)狀通過(guò)本次安全滲透測(cè)試的結(jié)果看，門(mén)戶(hù)網(wǎng)站自身的安全性較好，雖然存在部分安全漏洞，但利用的可能性低，這得益于門(mén)戶(hù)網(wǎng)站防護(hù)體系較完善，包括防篡改系統(tǒng)、雙層防火墻、發(fā)布管理機(jī)制等。但從整性安全性看，門(mén)戶(hù)網(wǎng)站被成功突破的風(fēng)險(xiǎn)還是很大，其中，本次滲透中對(duì)門(mén)戶(hù)網(wǎng)站統(tǒng)一網(wǎng)段中的黨群工作信息管理系統(tǒng)（xxxx/）、投標(biāo)系統(tǒng)（xxx）都成功滲透，并獲取管理員權(quán)限。利用黨群工作信息管理系統(tǒng)，安全工程師可對(duì)門(mén)戶(hù)網(wǎng)站發(fā)起內(nèi)部攻擊，進(jìn)而可完全入侵門(mén)戶(hù)網(wǎng)站。 因時(shí)間關(guān)系，以及昨天交流滲透結(jié)果后，管理員關(guān)閉黨群工作信息管理系統(tǒng)，無(wú)法進(jìn)一步測(cè)試和驗(yàn)證。安全漏洞列表下表展示了本次測(cè)試發(fā)現(xiàn)的安全漏洞與相應(yīng)的風(fēng)險(xiǎn)：應(yīng)用系統(tǒng)利用漏洞威脅來(lái)源風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)描述門(mén)戶(hù)網(wǎng)站Apache版本低外部黑客高可遠(yuǎn)程執(zhí)行代碼，直接得到管理員權(quán)限SQL注入漏洞外部黑客高惡意用戶(hù)可以通過(guò)注入JavaScript、VBScript、ActiveX、HTML或者Flash的方式欺騙用戶(hù)，可以收集Cookie等相關(guān)數(shù)據(jù)并冒充其他用戶(hù)，當(dāng)然也可以修改當(dāng)前用戶(hù)信息?？缯灸_本編制外部黑客高惡意用戶(hù)可以通過(guò)注入JavaScript、VBScript、ActiveX、HTML或者Flash的方式欺騙用戶(hù)，并收集Cookie等相關(guān)數(shù)據(jù)并冒充其他用戶(hù)。通過(guò)精心構(gòu)造的惡意代碼，甚至可以獲取系統(tǒng)的管理權(quán)限，或者讓訪(fǎng)問(wèn)者訪(fǎng)問(wèn)非法網(wǎng)站或下載惡意木馬。敏感信息泄漏外部黑客中泄漏敏感信息郵件系統(tǒng)跨站點(diǎn)請(qǐng)求偽造外部黑客中可能用于模仿合法用戶(hù)，從而使黑客能夠以該用戶(hù)身份查看或變更用戶(hù)記錄以及執(zhí)行事務(wù)。已解密的登錄請(qǐng)求外部黑客中可能會(huì)竊取諸如用戶(hù)名和密碼等未經(jīng)加密即發(fā)送了的用戶(hù)登錄信息未設(shè)置驗(yàn)證碼機(jī)制外部黑客中惡意攻擊者可以使用暴力破解的手段猜解帳號(hào)和密碼測(cè)試結(jié)果門(mén)戶(hù)網(wǎng)站Apache版本低測(cè)試過(guò)程探測(cè)發(fā)現(xiàn)Apache的版本低，為Apachehttpd2.2.9((Win32)風(fēng)險(xiǎn)分析該版本存在一個(gè)mod_isapiDanglingPointer漏洞，可遠(yuǎn)程執(zhí)行代碼，直接得到管理員權(quán)限風(fēng)險(xiǎn)等級(jí)高影響URL無(wú)解決方法升級(jí)Apache版本。SQL注入漏洞測(cè)試過(guò)程訪(fǎng)問(wèn)如下地址：/count/access.jsp?docid=從錯(cuò)誤信息判斷，數(shù)據(jù)庫(kù)為微軟的SQLServer數(shù)據(jù)庫(kù)，泄漏表名和字段名visiter.docid，由此判斷該頁(yè)面存在SQL注入漏洞風(fēng)險(xiǎn)分析攻擊者可以通過(guò)構(gòu)造特殊URL的手段，利用SQL注入漏洞從數(shù)據(jù)庫(kù)中獲取敏感數(shù)據(jù)、修改數(shù)據(jù)庫(kù)數(shù)據(jù)（插入/更新/刪除）、執(zhí)行數(shù)據(jù)庫(kù)管理操作（如關(guān)閉數(shù)據(jù)庫(kù)管理系統(tǒng)）、恢復(fù)存在于數(shù)據(jù)庫(kù)文件系統(tǒng)中的指定文件內(nèi)容，在某些情況下能執(zhí)行操作系統(tǒng)命令。風(fēng)險(xiǎn)等級(jí)高影響URL/count/access.jsp解決方法對(duì)用戶(hù)輸入的數(shù)據(jù)進(jìn)行全面安全檢查或過(guò)濾，尤其注意檢查是否包含HTML特殊字符。這些檢查或過(guò)濾必須在服務(wù)器端完成，建議過(guò)濾的常見(jiàn)危險(xiǎn)字符如下：|（豎線(xiàn)符號(hào)）&（&符號(hào)）;（分號(hào)）$（美元符號(hào)）%（百分比符號(hào)）@（at符號(hào)）'（單引號(hào)）"（引號(hào)）\'（反斜杠轉(zhuǎn)義單引號(hào)）\"（反斜杠轉(zhuǎn)義引號(hào)）<>（尖括號(hào)）()（括號(hào)）+（加號(hào)）CR（回車(chē)符，ASCII0x0d）LF（換行，ASCII0x0a）,（逗號(hào)）\（反斜杠）跨站腳本漏洞（內(nèi)網(wǎng)中存在）測(cè)試過(guò)程使用如下經(jīng)過(guò)特殊構(gòu)造的URL訪(fǎng)問(wèn)網(wǎng)站：2/resin-admin/digest.php?digest_attempt=1&digest_realm="><script>alert(15973)</script><br><iframesrc=width=700height=400></iframe><br><a&digest_username[]=顯示出預(yù)先嵌入的百度框架，如下圖：說(shuō)明該頁(yè)面存在跨站腳本漏洞。風(fēng)險(xiǎn)分析攻擊者可以通過(guò)構(gòu)造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段，利用跨站腳本漏洞欺騙用戶(hù)，收集Cookie等相關(guān)數(shù)據(jù)并冒充其他用戶(hù)。通過(guò)精心構(gòu)造的惡意代碼，可以讓訪(fǎng)問(wèn)者訪(fǎng)問(wèn)非法網(wǎng)站或下載惡意木馬，如果再結(jié)合其他攻擊手段（如社會(huì)工程學(xué)、提權(quán)等），甚至可以獲取系統(tǒng)的管理權(quán)限。風(fēng)險(xiǎn)等級(jí)高影響URL2/resin-admin/digest.php解決方法對(duì)用戶(hù)輸入的數(shù)據(jù)進(jìn)行全面安全檢查或過(guò)濾，尤其注意檢查是否包含HTML特殊字符。這些檢查或過(guò)濾必須在服務(wù)器端完成，建議過(guò)濾的常見(jiàn)危險(xiǎn)字符如下：|（豎線(xiàn)符號(hào)）&（&符號(hào)）;（分號(hào)）$（美元符號(hào)）%（百分比符號(hào)）@（at符號(hào)）'（單引號(hào)）"（引號(hào)）\'（反斜杠轉(zhuǎn)義單引號(hào)）\"（反斜杠轉(zhuǎn)義引號(hào)）<>（尖括號(hào)）()（括號(hào)）+（加號(hào)）CR（回車(chē)符，ASCII0x0d）LF（換行，ASCII0x0a）,（逗號(hào)）\（反斜杠）敏感信息泄漏測(cè)試過(guò)程訪(fǎng)問(wèn)如下地址：/fzlm/rss/default.htm查看源代碼，發(fā)現(xiàn)泄漏XML路徑訪(fǎng)問(wèn)/fzlm/rss/200908/P020090813614616258085.xml風(fēng)險(xiǎn)分析泄漏敏感信息風(fēng)險(xiǎn)等級(jí)中影響URLhttp:///dqgz/sktw/upload.asp解決方法去掉注釋語(yǔ)句中的敏感信息郵件系統(tǒng)跨站點(diǎn)請(qǐng)求偽造測(cè)試過(guò)程對(duì)比如下兩個(gè)請(qǐng)求結(jié)果：原始測(cè)試（將HTTP頭設(shè)置為“”）測(cè)試響應(yīng)與原始有效響應(yīng)相同，意味著盡管登錄嘗試中包含危險(xiǎn)字符，但是它仍然已成功，說(shuō)明該頁(yè)面存在跨站請(qǐng)求響應(yīng)漏洞。風(fēng)險(xiǎn)分析可能用于模仿合法用戶(hù)，從而使黑客能夠以該用戶(hù)身份查看或變更用戶(hù)記錄以及執(zhí)行事務(wù)。風(fēng)險(xiǎn)等級(jí)中影響URLhttp://xx/wm/mail/login.html解決方法添加取自會(huì)話(huà)cookie的會(huì)話(huà)標(biāo)識(shí)，使它成為一個(gè)參數(shù)。服務(wù)器必須檢查這個(gè)參數(shù)是否符合會(huì)話(huà)cookie，若不符合，便廢棄請(qǐng)求。攻擊者無(wú)法猜測(cè)這個(gè)參數(shù)的原因是應(yīng)用于cookie的“同源策略”，因此，攻擊者無(wú)法偽造一個(gè)虛假的請(qǐng)求，讓服務(wù)器誤以為真。攻擊者難以猜測(cè)且無(wú)法訪(fǎng)問(wèn)的任何秘密（也就是無(wú)法從其他域訪(fǎng)問(wèn)），都可用來(lái)替換會(huì)話(huà)標(biāo)識(shí)。這可以防止攻擊者設(shè)計(jì)看似有效的請(qǐng)求。已解密的登錄請(qǐng)求測(cè)試過(guò)程訪(fǎng)問(wèn)如下地址，發(fā)現(xiàn)登錄時(shí)沒(méi)有使用加密的方式（如https）提交用戶(hù)的數(shù)據(jù)，如帳號(hào)和密碼。http://xx/wm/mail/login.html風(fēng)險(xiǎn)分析攻擊者可以輕松地竊取諸如用戶(hù)名和密碼等未經(jīng)加密即發(fā)送了的用戶(hù)登錄信息。風(fēng)險(xiǎn)等級(jí)中影響URLhttp://xx/wm/mail/login.html解決方法確保所有登錄請(qǐng)求都以加密方式發(fā)送到服務(wù)器。請(qǐng)確保敏感信息，