電子病歷查詢系統(tǒng)滲透脫敏報(bào)告

電子病歷滲透測試報(bào)告電子病歷滲透測試報(bào)告系統(tǒng)版本說明修訂人修訂內(nèi)容修訂時(shí)間版本號審閱人文檔信息文檔名稱文檔版本號文檔編號保密級別xxx滲透測試報(bào)告V1.1XXXX-ST-20180627項(xiàng)目組公開

目錄1. 綜述 11.1. 測試方案 11.2. 測試范圍 11.3. 測試內(nèi)容 21.4. 測試流程 42. 內(nèi)網(wǎng)漏洞匯總 52.1. 漏洞等級分布 52.2. 漏洞類型分布 52.3. 漏洞結(jié)果列表 63. 滲透測試結(jié)果分析 73.1. 生產(chǎn)服務(wù)器區(qū) 73.1.1. 服務(wù)器存在弱口令可直接登錄域控服務(wù)器【嚴(yán)重】 73.1.2. 數(shù)據(jù)庫存在弱口令【嚴(yán)重】 123.1.3. FTP存在弱口令【高?！?153.2. B/S應(yīng)用區(qū) 173.2.1. 電子病歷查詢系統(tǒng)存在SQL注入【嚴(yán)重】 173.2.2. 網(wǎng)強(qiáng)系統(tǒng)存在S2-016遠(yuǎn)程代碼執(zhí)行漏洞【嚴(yán)重】 203.2.3. 盈高管理系統(tǒng)越權(quán)登錄【高?！?213.3. C/S應(yīng)用區(qū) 223.3.1. 維護(hù)工具代碼未加殼【中危】 224. 附錄A：漏洞風(fēng)險(xiǎn)評級標(biāo)準(zhǔn) 235. 附錄B：應(yīng)用系統(tǒng)風(fēng)險(xiǎn)評級標(biāo)準(zhǔn) 246. 附錄D：漏洞測試工具簡介 246.1. Sqlmap注入工具 246.2. BurpSuite代理工具 246.3. Firefoxhackbar插件 246.4. WebSOC網(wǎng)站安全立體監(jiān)控系統(tǒng) 256.5. Pocsuite開源遠(yuǎn)程漏洞測試框架 256.6. 滲透測試人員專用工具包 257. 附錄E研發(fā)技能表v3.0 25綜述本次報(bào)告有效測試時(shí)間是從2018年6月14日開始到2018年6月29日結(jié)束，在此期間針對xxx的安全性和完整性進(jìn)行測試并以此作為報(bào)告統(tǒng)計(jì)依據(jù)。本次對xxx進(jìn)行安全測試，總共發(fā)現(xiàn)問題49個(gè)，其中嚴(yán)重問題4個(gè)，高危問題3個(gè)，中危漏洞1個(gè)，低危漏洞0個(gè)。這些問題導(dǎo)致攻擊者可輕易從通過破解wifi密碼連接到內(nèi)網(wǎng)系統(tǒng)，導(dǎo)致服務(wù)器個(gè)人電腦被入侵，最終滲透到核心服務(wù)器。因此，此次對xxx測試結(jié)論是嚴(yán)重-不安全系統(tǒng)。由于本次測試過程中為生產(chǎn)系統(tǒng),采用保守測試方法,生產(chǎn)環(huán)境評估為高風(fēng)險(xiǎn)操作的的功能,均與xxx相關(guān)接口人進(jìn)行溝通,并在操作風(fēng)險(xiǎn)可控的情況下進(jìn)行相關(guān)測試操作,以規(guī)避測試過程中的生產(chǎn)運(yùn)營風(fēng)險(xiǎn)。測試方案抵達(dá)客戶現(xiàn)場，利用訪客wifi滲透進(jìn)辦公區(qū)網(wǎng)絡(luò)，并在該辦公網(wǎng)絡(luò)中收集ip資產(chǎn)、拓?fù)湫畔?、其他?shù)字信息等，挖掘資產(chǎn)漏洞，然后繞過防火墻限制，最終實(shí)現(xiàn)對內(nèi)網(wǎng)服務(wù)器進(jìn)行控制。測試范圍此次安全測試包含xxx節(jié)點(diǎn)，如下圖所示。圖1物理拓?fù)涓鶊D測試內(nèi)容內(nèi)網(wǎng)滲透測試項(xiàng)列表項(xiàng)目測試內(nèi)容測試目的資產(chǎn)收集識別收集用戶拓?fù)鋱D/資產(chǎn)信息，了解網(wǎng)絡(luò)結(jié)構(gòu)、資產(chǎn)情況、wifi熱點(diǎn)、門禁、監(jiān)控、辦公場地等情況。掌握現(xiàn)場情況，便于測試方案制訂和實(shí)施。網(wǎng)絡(luò)結(jié)構(gòu)分析分析當(dāng)前拓?fù)渲邪踩雷o(hù)情況，了解安全設(shè)備類型及安全域劃分情況。掌握網(wǎng)絡(luò)架構(gòu)，尋找安全防護(hù)短板。訪問控制檢查檢查各安全域之間的防護(hù)策略，了解網(wǎng)絡(luò)隔離措施是否到位，是否存在區(qū)域間訪問控制缺失或策略失效/繞過等情況。了解安全域防護(hù)策略，尋找訪問控制策略漏洞。身份認(rèn)證檢查檢查門禁、辦公業(yè)務(wù)、網(wǎng)絡(luò)服務(wù)、生產(chǎn)業(yè)務(wù)、操作系統(tǒng)、數(shù)據(jù)庫、主機(jī)、無線/有線網(wǎng)絡(luò)等，對于使用者身份認(rèn)證情況，如是否具備有效的口令認(rèn)證策略，口令認(rèn)證是否具備抗攻擊能力等。檢查目標(biāo)對于用戶身份的識別能力。漏洞挖掘利用檢查各節(jié)點(diǎn)（ip）對應(yīng)的業(yè)務(wù)，是否存在安全漏洞，如存在分析并利用該漏洞展示漏洞所能導(dǎo)致的危害。了解內(nèi)網(wǎng)漏洞補(bǔ)丁升級機(jī)制，了解網(wǎng)絡(luò)中存在的漏洞類型，以及這些漏洞所能造成的危害。深度滲透測試站在黑客的角度，使用黑客攻擊手段，從低權(quán)限區(qū)域，對核心目標(biāo)（生產(chǎn)網(wǎng)），進(jìn)行跨區(qū)域入侵測試，檢測目標(biāo)對黑客攻擊的防護(hù)能力。了解目標(biāo)防黑客攻擊能力。測試流程圖1.4-1測試流程圖

內(nèi)網(wǎng)漏洞匯總漏洞等級分布本次漏洞風(fēng)險(xiǎn)按等級統(tǒng)計(jì)：漏洞類型風(fēng)險(xiǎn)等級統(tǒng)計(jì)表嚴(yán)重高危中危低危4310漏洞類型分布本次漏洞按類型統(tǒng)計(jì)：漏洞結(jié)果列表漏洞名稱漏洞地址嚴(yán)重漏洞服務(wù)器弱口令xxx.xxx.xxx數(shù)據(jù)庫弱口令xxx.xxx.xxxSQL注入xxx.xxx.xxxS2-016遠(yuǎn)程代碼執(zhí)行漏洞xxx.xxx.xxx高危漏洞FTP弱口令xxx.xxx.xxx越權(quán)登錄xxx.xxx.xxx虛擬平臺弱口令xxx.xxx.xxx中危漏洞C/S客戶端未加殼xxx.xxx.xxx低危漏洞信息泄露xxx.xxx.xxx

滲透測試結(jié)果分析生產(chǎn)服務(wù)器區(qū)服務(wù)器存在弱口令可直接登錄域控服務(wù)器【嚴(yán)重】漏洞URL：xxx.xxx.xxx漏洞等級：嚴(yán)重問題說明：通過暴力破解，發(fā)現(xiàn)服務(wù)器存在弱口令密碼，如下圖所示：圖服務(wù)器弱口令密碼表圖ip：此ip為域控服務(wù)器，需要一臺內(nèi)網(wǎng)服務(wù)器做跳板才能連接圖圖3.1.4圖圖圖漏洞危害：攻擊者可以利用此漏洞，直接登錄服務(wù)器，獲取服務(wù)器權(quán)限，導(dǎo)致敏感信息泄露。修復(fù)建議：1、對服務(wù)器設(shè)置復(fù)雜密碼。2、對遠(yuǎn)程登錄做限制。數(shù)據(jù)庫存在弱口令【嚴(yán)重】漏洞URL：xxx.xxx.xxx漏洞等級：嚴(yán)重問題說明：通過暴力破解，發(fā)現(xiàn)數(shù)據(jù)庫存在弱口令密碼，如下圖所示：圖數(shù)據(jù)庫弱口令密碼表圖圖圖圖圖漏洞危害：攻擊者可以利用此漏洞登錄數(shù)據(jù)庫，導(dǎo)致數(shù)據(jù)庫信息泄露，嚴(yán)重可導(dǎo)致數(shù)據(jù)被惡意篡改。修復(fù)建議：修改復(fù)雜密碼，密碼長度不要少于8位，密碼需有大小寫數(shù)字特殊符號組成。FTP存在弱口令【高?！柯┒碪RL：xxx.xxx.xxx漏洞等級：高危問題說明：通過暴力破解，發(fā)現(xiàn)FTP存在弱口令密碼，如下圖所示：圖密碼表圖圖圖漏洞危害：攻擊者可以利用此漏洞登錄ftp服務(wù)，可導(dǎo)致敏感文件泄露。修復(fù)建議：修改復(fù)雜密碼，密碼長度不要少于8位，密碼需有大小寫數(shù)字特殊符號組成。B/S應(yīng)用區(qū)電子病歷查詢系統(tǒng)存在SQL注入【嚴(yán)重】漏洞URL：通過注入得知系統(tǒng)為08圖通過注入獲取到的D盤目錄內(nèi)容圖通過注入獲取到網(wǎng)站shell（shell地址：密碼：ps）圖通過注入獲取到服務(wù)器權(quán)限（服務(wù)器用戶：test.嚴(yán)格限制Web應(yīng)用的數(shù)據(jù)庫的操作權(quán)限，給此用戶提供僅能滿足其工作的最低權(quán)限，從而最大限度的減少注入攻擊對數(shù)據(jù)庫的危害。2.檢查輸入的數(shù)據(jù)是否具有所要求的數(shù)據(jù)格式，嚴(yán)格限制變量的類型。3.對進(jìn)入數(shù)據(jù)庫的特殊字符（'"\<>&*;等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換。網(wǎng)強(qiáng)系統(tǒng)存在S2-016遠(yuǎn)程代碼執(zhí)行漏洞【嚴(yán)重】漏洞URL：列出服務(wù)器用戶名圖利用該漏洞添加一個(gè)用戶成功登錄服務(wù)器漏洞危害：攻擊者可以利用此漏洞獲取服務(wù)器權(quán)限，導(dǎo)致服務(wù)器權(quán)限丟失，嚴(yán)重可導(dǎo)致服務(wù)器被惡意格式化盤符等危險(xiǎn)操作。修復(fù)建議：吧Struts2框架升級到最新版本。盈高管理系統(tǒng)越權(quán)登錄【高?！柯┒碪RL：xxx.xxx.xxx漏洞等級：高危問題說明：管理系統(tǒng)存在越權(quán)登錄漏洞，該漏洞可直接登錄該系統(tǒng)無需密碼，如下圖所示：圖通過連接成功登錄漏洞危害：攻擊者可以利用此漏洞登錄盈高管理系統(tǒng)，導(dǎo)致敏感信息泄露嚴(yán)重可能造成數(shù)據(jù)被惡意修改。修復(fù)建議：關(guān)閉系統(tǒng)設(shè)置中的生成快速登錄鏈接，避免該鏈接泄露導(dǎo)致惡意用戶直接登錄。C/S應(yīng)用區(qū)維護(hù)工具代碼未加殼【中?！柯┒吹燃墸褐形栴}說明：經(jīng)測試，客戶端代碼未通過加殼來保護(hù)，可能面臨被反編譯的風(fēng)險(xiǎn)。反編譯是將二進(jìn)制程序轉(zhuǎn)換成人們易讀的一種描述語言的形式。反編譯的結(jié)果是應(yīng)用程序的代碼，這樣就暴露了客戶端的所有邏輯，比如與服務(wù)端的通訊方式，加解密算法、密鑰，轉(zhuǎn)賬業(yè)務(wù)流程、軟鍵盤技術(shù)實(shí)現(xiàn)等等。圖圖登錄虛擬系統(tǒng)漏洞危害：攻擊者一旦猜解出用戶的密碼，可進(jìn)入到虛擬系統(tǒng)中，可任意操作數(shù)臺虛擬主機(jī)。修復(fù)建議：給密碼設(shè)置復(fù)雜度，禁止用戶使用弱口令。附錄A：漏洞風(fēng)險(xiǎn)評級標(biāo)準(zhǔn)公網(wǎng)系統(tǒng)漏洞風(fēng)險(xiǎn)評級標(biāo)準(zhǔn)漏洞評級漏洞評級說明嚴(yán)重漏洞直接獲取業(yè)務(wù)服務(wù)器權(quán)限的漏洞以及獲取重要數(shù)據(jù)的漏洞，包括但不限于任意命令執(zhí)行、上傳webshell、任意代碼執(zhí)行、SQL注入獲得大量數(shù)據(jù)；嚴(yán)重影響系統(tǒng)業(yè)務(wù)安全的邏輯漏洞，包括但不限于任意帳號密碼重置或更改漏洞，大量獲取用戶身份認(rèn)證信息的漏洞，越權(quán)訪問漏洞，未授權(quán)訪問后臺管理系統(tǒng)等；可通過一定手段嚴(yán)重影響業(yè)務(wù)運(yùn)行，可能給客戶帶來巨大損失的，如關(guān)鍵業(yè)務(wù)操作可被Dos，登錄接口可被撞庫，業(yè)務(wù)系統(tǒng)可被輕易薅羊毛等；當(dāng)前階段正在大規(guī)模爆發(fā)應(yīng)引起足夠重視的安全漏洞等。高危漏洞需要強(qiáng)烈的用戶交互才能獲取用戶身份信息的漏洞，包常規(guī)存儲型／反射型XSS漏洞，核心關(guān)鍵業(yè)務(wù)操作的CSRF漏洞等；任意文件讀取、修改、覆蓋、刪除、下載；繞過限制修改用戶個(gè)人資料、個(gè)人信息、強(qiáng)制用戶執(zhí)行某些操作；能夠?qū)δ繕?biāo)系統(tǒng)帶來危害的嚴(yán)重信息泄漏，敏感信息文件備份或源碼泄露等（如存儲密鑰泄露，數(shù)據(jù)庫連接密碼泄露，SVN／Git帳號泄露，VPN帳號泄露等）。中危漏洞能夠?qū)δ繕?biāo)系統(tǒng)的安全造成影響但無法直接證實(shí)可被利用的；能夠獲取目標(biāo)網(wǎng)絡(luò)設(shè)備權(quán)限但確定無法進(jìn)一步利用的；非重要信息泄露、開放的URL跳轉(zhuǎn)漏洞、有一定限制且確定較難利用的XSS漏洞、非核心關(guān)鍵業(yè)務(wù)操作的CSRF漏洞等。低危漏洞無法確定是否能夠?qū)δ繕?biāo)系統(tǒng)的安全造成影響的，如目標(biāo)系統(tǒng)管理端口向公網(wǎng)開放但無法直接利用，目標(biāo)系統(tǒng)Banner信息可被識別，以及其他滲透測試人員認(rèn)定，較難利用但可能會(huì)存在潛在安全威脅的漏洞。

附錄B：應(yīng)用系統(tǒng)風(fēng)險(xiǎn)評級標(biāo)準(zhǔn)公網(wǎng)應(yīng)用系統(tǒng)風(fēng)險(xiǎn)評級標(biāo)準(zhǔn)系統(tǒng)風(fēng)險(xiǎn)評級漏洞評級說明嚴(yán)重風(fēng)險(xiǎn)系統(tǒng)存在1個(gè)及以上嚴(yán)重漏洞，或2個(gè)以上高危漏洞的系統(tǒng)高風(fēng)險(xiǎn)系統(tǒng)存在1個(gè)及以上高危漏洞，或3個(gè)以上中危漏洞的系統(tǒng)中風(fēng)險(xiǎn)系統(tǒng)存在1個(gè)及以上中危漏洞，或5個(gè)以上低危漏洞的系統(tǒng)低風(fēng)險(xiǎn)系統(tǒng)存在3~5個(gè)低危漏洞的系統(tǒng)安全系統(tǒng)存在3個(gè)以內(nèi)低危漏洞，或不存在漏洞的系統(tǒng)內(nèi)網(wǎng)應(yīng)用風(fēng)險(xiǎn)級別降一級。附錄D：漏洞測試工具簡介Sqlmap注入工具Sqlmap是國外的一個(gè)免費(fèi)的注入工具，基于python開發(fā)，支持現(xiàn)在幾乎所有的數(shù)據(jù)庫，支持get、post、Cookie注入，可以添加Cookie和user-agent，支持盲注，報(bào)錯(cuò)回顯注入，DNS回顯注入等，還有其他多種注入方法，支持代理，優(yōu)化算法，更高效，可通過指紋識別技術(shù)判斷數(shù)據(jù)庫。BurpSuite代理工具BurpSuite是用于攻擊web應(yīng)用程序的集成平臺。它包含了許多工具，并為這些工具設(shè)計(jì)了許多接口，以促進(jìn)加快攻擊應(yīng)用程序的過程。所有的工具都共享一個(gè)能處理并顯示HTTP消息，持久性，認(rèn)證，代理，日志，警報(bào)的一個(gè)強(qiáng)大的可擴(kuò)展的框架。Firefoxhackbar插件簡單的安全審計(jì)、滲透測試小工具包，包含一些常用的工具。(SQLinjection，XSS，編碼，加密、解密等)。WebSOC網(wǎng)站安全立體監(jiān)控系統(tǒng)網(wǎng)站安全立體監(jiān)控系統(tǒng)（WebSOC）是高性能、周期性網(wǎng)站集中安全監(jiān)測硬件產(chǎn)品，支持單設(shè)備和集群部署。能夠從網(wǎng)站基本信息、網(wǎng)站可用性、網(wǎng)站安全事件、網(wǎng)站漏洞四個(gè)維度對大批量的網(wǎng)站進(jìn)行全方位安全監(jiān)控，對網(wǎng)站安全事件和漏洞情況及時(shí)告警，并可提供全部監(jiān)測目標(biāo)的全局統(tǒng)計(jì)報(bào)表和趨勢分析，為監(jiān)管層改進(jìn)組織的網(wǎng)站安全情況提供有價(jià)值的參考數(shù)據(jù)。Pocsuite開源遠(yuǎn)程漏洞測試框架Pocsuite是由安全研究團(tuán)隊(duì)打造的一款開源的遠(yuǎn)程漏洞測試框架。它是安全研究團(tuán)隊(duì)發(fā)展的基石，是團(tuán)隊(duì)發(fā)展至今一直維護(hù)的一個(gè)項(xiàng)目，保障了我們的Web安全研