網(wǎng)站安全漏洞檢查分析報告

xx網(wǎng)站安全漏洞檢查報告作者:日期:xx網(wǎng)站安全漏洞檢查報告有限公司

目錄:TOC\o"1-5"\h\z\o"CurrentDocument"工作描述 5\o"CurrentDocument"安全評估方式 5\o"CurrentDocument"安全評估的必要性 6\o"CurrentDocument"安全評估方法 6\o"CurrentDocument"4.1信 息 收 集6\o"CurrentDocument"4.2權(quán) 限 提 升7\o"CurrentDocument"4.3溢 出 測 試7\o"CurrentDocument"4.4SQL 注 入 攻 擊74.5檢 測 頁 面 隱 藏 字 段7\o"CurrentDocument"4.6跨 站 攻 擊74.7第 三 方 軟 件 誤 配 置8\o"CurrentDocument"4.8Cookie 利 用8\o"CurrentDocument"4.9后 門 程 序 檢 查8\o"CurrentDocument"4.10其他測試 8\o"CurrentDocument"XX網(wǎng)站檢查情況(http://www,) 8\o"CurrentDocument"5.1漏 洞 統(tǒng) 計9\o"CurrentDocument"5.2結(jié) 果 ：9\o"CurrentDocument"發(fā)現(xiàn)安全隱患 96.1發(fā)現(xiàn)安全隱患： SQL注入漏洞96.1.1漏 洞 位 置96.2發(fā)現(xiàn)安全隱患： XSS(跨腳本攻擊)106.2.1漏 洞 位 置10\o"CurrentDocument"通用安全建議 10\o"CurrentDocument"7.1SQL 注 入 類7.2跨站腳本類107.3密碼泄漏類107.4其他類117.5服務(wù)最小化117.6配置權(quán)限117.7配置日志118附錄 8.1Web應(yīng)用漏洞原.?…11理118.1.1WEB漏洞的定義118.1.2WEB漏洞的特占八、、8.2典12型漏洞介紹128.3XSS跨站腳本攻擊128.4SQLINJECTION數(shù)據(jù) 庫注入 攻擊131工作描述本次項目的安全評估對象為：http://安全評估是可以幫助用戶對目前自己的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的缺陷有相對直觀的認(rèn)識和了解。以第三方角度對用戶網(wǎng)絡(luò)安全性進(jìn)行檢查，可以讓用戶了解從外部網(wǎng)絡(luò)漏洞可以被利用的情況，安全顧問通過解釋所用工具在探查過程中所得到的結(jié)果，并把得到的結(jié)果與已有的安全措施進(jìn)行比對。2安全評估方式安全評估主要依據(jù)安全工程師已經(jīng)掌握的安全漏洞和安全檢測工具，采用工具掃描+

手工驗證的方式。模擬黑客的攻擊方法在客戶的授權(quán)和監(jiān)督下對客戶的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測試。3安全評估的必要性安全評估利用網(wǎng)絡(luò)安全掃描器、專用安全測試工具和富有經(jīng)驗的安全工程師的人工經(jīng)驗對授權(quán)測試環(huán)境中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備，包括服務(wù)器、防火墻等進(jìn)行非破壞性質(zhì)的模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機(jī)密信息并將入侵的過程和細(xì)節(jié)產(chǎn)生報告給用戶。安全評估和工具掃描可以很好的互相補充。工具掃描具有很好的效率和速度，但是存在一定的誤報率和漏報率，并且不能發(fā)現(xiàn)高層次、復(fù)雜、并且相互關(guān)聯(lián)的安全問題；安全評估需要投入的人力資源較大、對測試者的專業(yè)技能要求很高（安全評估報告的價值直接依賴于測試者的專業(yè)技能），但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強、更深層次的弱點。此次安全評估的范圍：序號域名（IP）備注01http://www.XX網(wǎng)站020304050607084安全評估方法4.1信息收集信息收集分析幾乎是所有入侵攻擊的前提/前奏/基礎(chǔ)?！爸褐?，百戰(zhàn)不殆”，信息收集分析就是完成的這個任務(wù)。通過信息收集分析，攻擊者（測試者）可以相應(yīng)地、有針對性地制定入侵攻擊的計劃，提高入侵的成功率、減小暴露或被發(fā)現(xiàn)的幾率。本次評估主要是啟用網(wǎng)絡(luò)漏洞掃描工具，通過網(wǎng)絡(luò)爬蟲測試網(wǎng)站安全、檢

測流行的攻擊、如交叉站點腳本、SQL注入等。4.2權(quán)限提升通過收集信息和分析，存在兩種可能性，其一是目標(biāo)系統(tǒng)存在重大弱點：測試者可以直接控制目標(biāo)系統(tǒng)，這時測試者可以直接調(diào)查目標(biāo)系統(tǒng)中的弱點分布、原因，形成最終的測試報告；其二是目標(biāo)系統(tǒng)沒有遠(yuǎn)程重大弱點，但是可以獲得遠(yuǎn)程普通權(quán)限，這時測試者可以通過該普通權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。接下來，盡最大努力獲取本地權(quán)限，收集本地資料信息，尋求本地權(quán)限升級的機(jī)會。這些不停的信息收集分析、權(quán)限升級的結(jié)果構(gòu)成了整個安全評估過程的輸出。4.3溢出測試當(dāng)無法直接利用帳戶口令登陸系統(tǒng)時，也會采用系統(tǒng)溢出的方法直接獲得系統(tǒng)控制權(quán)限，此方法有時會導(dǎo)致系統(tǒng)死機(jī)或從新啟動，但不會導(dǎo)致系統(tǒng)數(shù)據(jù)丟失,如出現(xiàn)死機(jī)等故障，只要將系統(tǒng)從新啟動并開啟原有服務(wù)即可。4.4SQL注入攻擊SQL注入常見于那些應(yīng)用了SQL數(shù)據(jù)庫后端的網(wǎng)站服務(wù)器，黑客通過向提交某些特殊SQL語句，最終可能獲取、篡改、控制網(wǎng)站服務(wù)器端數(shù)據(jù)庫中的內(nèi)容。此類漏洞是黑客最常用的入侵方式之一4.5檢測頁面隱藏字段網(wǎng)站應(yīng)用系統(tǒng)常采用隱藏字段存儲信息。許多基于網(wǎng)站的電子商務(wù)應(yīng)用程序用隱藏字段來存儲商品價格、用戶名、密碼等敏感內(nèi)容。心存惡意的用戶，通過操作隱藏字段內(nèi)容，達(dá)到惡意交易和竊取信息等行為，是一種非常危險的漏洞。4.6跨站攻擊攻擊者可以借助網(wǎng)站來攻擊訪問此網(wǎng)站的終端用戶，來獲得用戶口令或使用

站點掛馬來控制客戶端。4.7第三方軟件誤配置第三方軟件的錯誤設(shè)置可能導(dǎo)致黑客利用該漏洞構(gòu)造不同類型的入侵攻擊。4.8Cookie利用網(wǎng)站應(yīng)用系統(tǒng)常使用cookies機(jī)制在客戶端主機(jī)上保存某些信息，例如用戶ID、口令、時間戳等。黑客可能通過篡改cookies內(nèi)容，獲取用戶的賬號，導(dǎo)致嚴(yán)重的后果。4.9后門程序檢查系統(tǒng)開發(fā)過程中遺留的后門和調(diào)試選項可能被黑客所利用，導(dǎo)致黑客輕易地從捷徑實施攻擊。4.10其他測試在安全評估中還需要借助暴力破解、網(wǎng)絡(luò)嗅探等其他方法，目的也是為獲取用戶名及密碼。5XX網(wǎng)站檢查情況(http://www?)網(wǎng)站地址名稱http://www.XX網(wǎng)站

5.1漏洞統(tǒng)計網(wǎng)站地址高中低總計總計（52:（52:LowOHigh0MediumLow0Informational截圖（AcunetixWebVulnerabilityScanner報告中）5.2結(jié)果:本次網(wǎng)站安全檢查是完全站在攻擊者角度，模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)進(jìn)行的安全性測試，通過結(jié)合多方面的攻擊技術(shù)進(jìn)行測試，發(fā)現(xiàn)本市網(wǎng)站系統(tǒng)存在比較明顯的、可利用的安全漏洞，網(wǎng)站安全等級為非常危險，針對已存在漏洞的系統(tǒng)需要進(jìn)行重點加固6發(fā)現(xiàn)安全隱患6.1發(fā)現(xiàn)安全隱患：SQL注入漏洞6.1.1漏洞位置例如：http://域名/dzly/index.php?id=88（可截圖）

6?2發(fā)現(xiàn)安全隱患：XSS（跨腳本攻擊）6.2.1漏洞位置（可截圖）7通用安全建議7.1SQL注入類沒有被授權(quán)的惡意攻擊者可以在有該漏洞的系統(tǒng)上任意執(zhí)行SQL命令，這將威脅到數(shù)據(jù)庫的安全，并且會泄漏敏感信息。針對SQL注入，目前的解決辦法是：1、 在程序中限制用戶提交數(shù)據(jù)的長度。2、 對用戶輸入的數(shù)據(jù)進(jìn)行合法性檢查，只允許合法字符通過檢測。對于非字符串類型的，強制檢查類型；字符串類型的，過濾單引號。3、 WEB程序調(diào)動低權(quán)限的sql用戶連接，勿用類似于dbo高權(quán)限的sql賬號。細(xì)化Sql用戶權(quán)限，限定用戶僅對自身數(shù)據(jù)庫的訪問控制權(quán)限。4、 使用具備攔截SQL注入攻擊能力（專門算法）的IPS（入侵防御設(shè)備）來保護(hù)網(wǎng)站系統(tǒng)。7.2跨站腳本類1、 在程序中限制用戶提交數(shù)據(jù)的長度。2、 對用戶輸入的數(shù)據(jù)進(jìn)行合法性檢查，只允許合法字符通過檢測。3、 使用具備攔截跨站腳本攻擊能力（專門算法）的IPS（入侵防御設(shè)備）來保護(hù)網(wǎng)站系統(tǒng)。7.3密碼泄漏類采用HTTPS協(xié)議，保護(hù)登錄頁面。

并對用戶名密碼參數(shù)采用密文傳輸。7.4其他類如上傳漏洞修改程序過濾惡意文件；證書錯誤修改證書；鏈接錯誤修改錯誤鏈接，開放不安全端口等。7.5服務(wù)最小化對系統(tǒng)主機(jī)的服務(wù)進(jìn)行確認(rèn)關(guān)閉一些無用的服務(wù)或端口，確保主機(jī)安全。對數(shù)據(jù)庫的一些端口建議對端口進(jìn)行做防火墻連接限制，保證不能讓外界主機(jī)對數(shù)據(jù)庫進(jìn)行管理。7.6配置權(quán)限將網(wǎng)站的各個目錄(包括子目錄)盡量減小權(quán)限，需要用什么權(quán)限開什么權(quán)限，其他的權(quán)限全部刪除。7.7配置日志對訪問網(wǎng)站的URL動作進(jìn)行記錄全部日志，以便日后的審計和檢查。8附錄Web應(yīng)用漏洞原理WEB漏洞的定義WEB程序語言，無論是ASP、PHP、JSP或者perl等等，都遵循一個基本的接口規(guī)范，那就是CGI(CommonGaterwayInterface)，這也就使得WEB漏洞具有很多相通的地方，但是由于各種實現(xiàn)語言有自己的特點，所以WEB漏洞體現(xiàn)在各種語言方面又有很多不同的地方，WEB漏洞就是指在WEB程序設(shè)計開發(fā)的過程中，由于各種原因所

導(dǎo)致的安全問題，這可能包括設(shè)計缺陷，編程錯誤或者是配置問題等。8.1.2WEB漏洞的特點WEB漏洞包括四大特點，即普遍存在、后果嚴(yán)重、容易利用和容易隱藏。普遍存在是因為WEB應(yīng)用廣泛以及WEB程序員普遍不懂安全知識導(dǎo)致的；后果嚴(yán)重是因為WEB漏洞可以導(dǎo)致對數(shù)據(jù)庫中的敏感數(shù)據(jù)的任意增加、篡改和刪除，以及執(zhí)行任意代碼或者讀、寫、刪除任意文件；容易利用是因為攻擊者不需要任何特殊的工具，只需要一個瀏覽器就可以完成整個攻擊的過程；容易隱藏則是由于HTTP協(xié)議和WEB服務(wù)器的特點，攻擊者可以非常容易的隱藏自己的攻擊行為。8?2典型漏洞介紹8?3XSS跨站腳本攻擊?漏洞成因是因為WEB程序沒有對用戶提交的變量中的HTML代碼進(jìn)行過濾或轉(zhuǎn)換。?漏洞形式這里所說的形式，實際上是指WEB輸入的形式，主要分為兩種：顯示輸入隱式輸入其中顯示輸入明確要求用戶輸入數(shù)據(jù)，而隱式輸入則本來并不要求用戶輸入數(shù)據(jù)，但是用戶卻可以通過輸入數(shù)據(jù)來進(jìn)行干涉。顯示輸入又可以分為兩種：輸入完成立刻輸出結(jié)果2?輸入完成先存儲在文本文件或數(shù)據(jù)庫中，然后再輸出結(jié)果注意：后者可能會讓你的網(wǎng)站面目全非！而隱式輸入除了一些正常的情況外，還可以利用服務(wù)器

或WEB程序處理錯誤信息的方式來實施。?漏洞危害比較典型的危害包括但不限于：1?獲取其他用戶Cookie中的敏感數(shù)據(jù)2?屏蔽頁面特定信息3?偽造頁面信息拒絕服務(wù)攻擊突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等7?其它一般來說，上面的危害還經(jīng)常伴隨著頁面變形的情況。而所謂跨站腳本執(zhí)行漏洞，也就是通過別人的網(wǎng)站達(dá)到攻擊的效果，也就是說，這種攻擊能在一定程度上隱藏身份。8?4SQLINJECTION數(shù)據(jù)庫注入攻擊SQLInjection定義所謂SQLInjection，就是通過向有SQL查詢的WEB程序提交一個精心構(gòu)造的請求，從而突破了最初的SQL查詢限制，實現(xiàn)了未授權(quán)的訪問或存取。SQLInjection原理隨著WEB應(yīng)用的復(fù)雜化，多數(shù)WEB應(yīng)用都使用數(shù)據(jù)庫作為后臺，WEB程序接受用戶參數(shù)作為查詢條件，即用戶可以在某種程度上控制查詢的結(jié)果，如果WEB程序?qū)τ脩糨斎脒^濾的比較少，那么入侵者就可能提交一些特殊的參數(shù)，而這些參數(shù)可以使該查詢語句按照自己的意圖來運行，這往往是一些未授權(quán)的操作，這樣只要組合后的查詢