普元材料2安全测试报告

EOSPlatform7.2安全测试报告/第15页共15页PRIMETONTECHNOLOGIES,LTD.上海普元信息技术有限责任公司EOSPlatform7.2项目安全测试报告Nopartofthisdocumentmaybereproduced,storedinanyelectronicretrievalsystem,ortransmittedinanyformorbyanymeans,mechanical,photocopying,recording,otherwise,withoutthewrittenpermissionofthecopyrightowner.COPYRIGHT2008byPrimetonTechnologies,Ltd.ALLRIGHTSRESERVED.文档修订记录序号版本号修订日期修订概述修订人审核人批准人备注1.0.02014-08-11创建朱倩容

目录1 测试概述 31.1 测试目的 31.2 测试对象 41.3 测试范围 42 测试环境 42.1 测试环境 42.2 测试工具 43 测试过程概述 44 测试结论 54.1 总体说明 54.2 附录 54.2.1 default应用 54.2.2 governor应用 94.2.3 workspace应用 114.2.4 portal应用 14测试概述测试目的本次测试的目的是对EOSPlatform7.2产品的功能进行安全扫描，发现缺陷，验证缺陷，同时对EOSPlatform7.2版本的安全情况出客观评价。测试对象EOSPlatform7.2产品安装包测试范围default应用的sce和seegovernor应用workspace应用portal应用测试环境测试环境本次安全测试主要是针对多服务器的单机版：Windows7+Tomcat7Windows7+Jboss6Windows7+Weblogic10.3Linux+WAS7.0Windows7+Pas6.0测试工具本次安全扫描使用业内主流的安全扫描软件Appscan9.0版本。测试过程概述整个测试过程是使用测试工具appscan对EOSPlatform7.2的功能进行扫描的过程，因为工具对EOSPlatform7.2的功能的URL识别不完全，工具自带的浏览器也和IE显示的不同，所以应用上需要手工修改一些内容。对于default应用，默认扫描出登录页面，里面的应用的url都是手工探索出的，扫描sce时左侧的树会出现频繁报错，需要修改default\common\skins\skin0和default\common\skins\capskin0的component.jsp，把把eos-web.js.gzip的.gzip去掉在governor应用下，登录后左侧的树不显示，修改

webapps\governor\common\skins\skin0\component.jsp，把eos-web.js.gzip的.gzip去掉测试过程中默认不要使用试用版的license，需要使用无并发限制的license对于安全扫描，每个应用的user-config.xml中设置了安全的开关，扫描时需要打开开关。测试结论总体说明测试结果显示；高严重性和中严重性的漏洞已经基本得到修复，低严重性的漏洞有所遗留。特别说明：目前存在的一些问题主要在于三类：扫描工具本身的测试用例存在问题，在高并发大数据包情况下，存在数据包长度与http头中长度标识不一致的情况，导致sql盲注等漏洞应用服务器本身存在漏洞，需要用户自行选择合适的服务器及补丁解决扫描工具过于严格，一些中严重性和低严重性漏洞的出现属于合理范围（比如jsp上存在注释，会话缺少secure属性等），这类问题产品没有集中解决附录default应用测试结果1、应用服务器Tomcat7.0（1）Tomcat下的see遗留问题的严重程度具体问题问题个数高严重性SQL盲注10中等严重性不充分帐户封锁1会话标识未更新1加密会话（SSL）Cookie中缺少Secure属性1支持弱SSL密码套件1低严重性会话cookie中缺少HttpOnly属性1检测到文件替代版本36临时文件下载36（2）Tomcat下的sce遗留问题的严重程度具体问题问题个数高严重性SQL盲注6中等严重性Windows文件参数变更2会话标识未更新1加密会话（SSL）Cookie中缺少Secure属性1支持弱SSL密码套件1低严重性会话cookie中缺少HttpOnly属性1检测到文件替代版本37临时文件下载372、应用服务器Jboss6.0（1）Jboss下的see：遗留问题的严重程度具体问题问题个数高严重性JBossJava管理扩展控制台认证旁路1SQL盲注2中等严重性不充分帐户封锁1会话标识未更新1启用了不安全的HTTP方法1支持弱SSL密码套件1低严重性Flash参数AllowScriptAccess已设置为always1会话cookie中缺少HttpOnly属性2检测到文件替代版本22临时文件下载22（2）Jboss下的sce：遗留问题的严重程度具体问题问题个数高严重性JBossJava管理扩展控制台认证旁路1SQL盲注7中等严重性Windows文件参数变更2会话标识未更新1中等严重性加密会话（SSL）Cookie中缺少Secure属性1启用了不安全的HTTP方法1支持弱SSL密码套件1低严重性会话cookie中缺少HttpOnly属性2检测到文件替代版本32临时文件下载323、应用服务器Weblogic（1）Weblogic下的see遗留问题的严重程度具体问题问题个数高严重性CNCTekBizDB搜索脚本远程Shell命令执行1TektronixPhaserLinkWebserver远程管理认证旁路4中等严重性AllaireJRun2.3.X样本源代码泄露4不充分帐户封锁1会话标识未更新1支持弱SSL密码套件1低严重性发现可高速缓存的SSL页面8发现潜在订单信息9发现潜在注册信息27会话cookie中缺少HttpOnly属性1检测到文件替代版本50临时文件下载51直接访问管理页面18（2）Weblogic下的sce遗留问题的严重程度具体问题问题个数高严重性跨站点脚本编制2通过URL重定向钓鱼1中等严重性Windows文件参数变更6会话标识未更新1支持弱SSL密码套件1低严重性会话cookie中缺少HttpOnly属性1检测到文件替代版本27检测到隐藏目录4临时文件下载284、应用服务器Was（1）Was下的see遗留问题的严重程度具体问题问题个数高严重性SQL盲注6TektronixPhaserLinkWebserver远程管理认证旁路3中等严重性AllaireJRun2.3.X样本源代码泄露3不充分帐户封锁1会话标识未更新1加密会话（SSL）Cookie中缺少Secure属性1低严重性IBMWebSphereApplicationServer文件泄露1发现可高速缓存的SSL页面3发现潜在订单信息10发现潜在注册信息30会话cookie中缺少HttpOnly属性1检测到文件替代版本46检测到隐藏目录1临时文件下载43直接访问管理页面17（2）Was下的sce遗留问题的严重程度具体问题问题个数高严重性SQL盲注2通过URL重定向钓鱼1中等严重性会话标识未更新1加密会话（SSL）Cookie中缺少Secure属性1跨站点请求伪造1低严重性IBMWebSphereApplicationServer文件泄露1SSL请求中的查询参数5发现可高速缓存的SSL页面2会话cookie中缺少HttpOnly属性1检测到文件替代版本26检测到隐藏目录1临时文件下载275、应用服务器Pas（1）Pas下的see遗留问题的严重程度具体问题问题个数高严重性SQL盲注1TektronixPhaserLinkWebserver远程管理认证旁路13中等严重性AllaireJRun2.3.X样本源代码泄露13不充分帐户封锁1会话标识未更新1加密会话（SSL）Cookie中缺少Secure属性1跨站点请求伪造1支持弱SSL密码套件1低严重性发现可高速缓存的SSL页面12发现潜在订单信息15发现潜在注册信息45会话cookie中缺少HttpOnly属性2检测到文件替代版本58临时文件下载58直接访问管理页面30（2）Pas下的sce遗留问题的严重程度具体问题问题个数高严重性通过URL重定向钓鱼1中等严重性会话标识未更新1加密会话（SSL）Cookie中缺少Secure属性1支持弱SSL密码套件1低严重性发现可高速缓存的SSL页面8会话cookie中缺少HttpOnly属性2检测到文件替代版本26临时文件下载24结果分析高严重性问题属于总体说明中的特别说明第一类问题，属于测试工具的问题，具体可通过tcp抓包或开启应用服务器日志查看；中严重性问题中，与SSL相关的问题，需要用户自行申请可信证书解决，产品已提供安全协议转换能力。对于账户封锁等问题，可通过IP锁定，黑白名单等能力解决，需要结合用户应用需求，产品未提供相关能力；其他问题属于总体说明中的特别说明第二、三类问题。governor应用测试结果1、应用服务器Tomcat遗留问题的严重程度具体问题问题个数高严重性已解密的登录请求6中等严重性会话标识未更新2低严重性检测到文件替代版本1临时文件下载1在参数值中找到了内部IP公开模式35自动填写未对密码字段禁用的HTML属性32、应用服务器Jboss遗留问题的严重程度具体问题问题个数高严重性AlibabaWeb服务器文件下载和远程命令执行4Apache::ASP模块Source.asp文件创建4AuctionWeaverCGI远程Shell执行8Bugzilla远程命令执行4CNCTekBizDB搜索脚本远程Shell命令执行4Conservatives脚本远程Shell执行8已解密的登录请求7中等严重性AccountManagerCGI远程密码更改4AHGEZshopper文件下载4会话标识未更新2跨站点请求伪造1启用了不安全的HTTP方法1新闻更新访问控制旁路4应用流程Subversion所用的Webevent管理权43、应用服务器Weblogic遗留问题的严重程度具体问题问题个数高严重性OracleApplicationServerPL/SQL未授权的SQL查询执行2SQL盲注1会话定置3已解密的登录请求6中等严重性登录错误消息凭证枚举1会话标识未更新3跨站点请求伪造1低严重性MicrosoftSiteServeradSamples信息泄露1Oracle日志文件信息泄露2发现可高速缓存的登录页面1会话cookie中缺少HttpOnly属性1检测到文件替代版本1临时文件下载3在参数值中找到了内部IP公开模式34直接访问管理页面19自动填写未对密码字段禁用的HTML属性14、应用服务器Was遗留问题的严重程度具体问题问题个数高严重性已解密的登录请求7中等严重性不充分帐户封锁1会话标识未更新3跨站点请求伪造1低严重性MicrosoftSiteServeradSamples信息泄露1会话cookie中缺少HttpOnly属性1检测到文件替代版本1临时文件下载2在参数值中找到了内部IP公开模式36在未加密连接中发现信用卡号模式(Visa)1直接访问管理页面19自动填写未对密码字段禁用的HTML属性35、应用服务器Pas遗留问题的严重程度具体问题问题个数高严重性已解密的登录请求7中等严重性不充分帐户封锁1会话标识未更新2跨站点请求伪造1低严重性MicrosoftSiteServeradSamples信息泄露1会话cookie中缺少HttpOnly属性1检测到文件替代版本1临时文件下载2在参数值中找到了内部IP公开模式36在未加密连接中发现信用卡号模式(Visa)2直接访问管理页面19自动填写未对密码字段禁用的HTML属性2结果分析分析结果与default应用类似，对于高严重性中出现的“已解密的登录请求”问题，考虑到管理类应用的安全要求一般不会太高，没有采用类似default应用的安全协议转换方案，如果对安全性要求很高，可采用整体安全协议的方案（整个governor应用都使用https协议访问）。workspace应用测试结果应用服务器Tomcat遗留问题的严重程度具体问题问题个数高严重性AlibabaWeb服务器文件下载和远程命令执行3SQL盲注17StatisticsServerLiveStatsss.cfg拒绝服务3TektronixPhaserLinkWebserver远程管理认证旁路3UtilMindMaillist.cgi远程命令执行3Whois_raw.cgi远程命令执行3已解密的登录请求5中等严重性AccountManagerCGI远程密码更改3AHGEZshopper文件下载3AllaireJRun2.3.X样本源代码泄露3BannerRotating01特权升级3BigBrother远程文件下载3BytesInteractiveShopper.cgi购物车目录遍历3CGIForum文件下载3DCForum文件下载3低严重性LyrisListManager访问控制旁路3Mailfile.cgi任意文件下载3MailForm.pl文件下载3MoreoverCachedFeed.cgi文件下载3MultiHTMLPoisonNullByte任意文件下载3Netauth目录遍历3临时文件下载61直接访问管理页面57自动填写未对密码字段禁用的HTML属性32、应用服务器Jboss遗留问题的严重程度具体问题问题个数高严重性SQL盲注7StatisticsServerLiveStatsss.cfg拒绝服务4TektronixPhaserLinkWebserver远程管理认证旁路4UtilMindMaillist.cgi远程命令执行4Whois_raw.cgi远程命令执行4已解密的登录请求2中等严重性AccountManagerCGI远程密码更改4AHGEZshopper文件下载4BytesInteractiveShopper.cgi购物车目录遍历4YaBB任意文件下载4会话标识未更新1启用了不安全的HTTP方法1新闻更新访问控制旁路4应用流程Subversion所用的Webevent管理权43、应用服务器Weblogic遗留问题的严重程度具体问题问题个数高严重性SQL盲注8已解密的登录请求5中等严重性会话标识未更新1跨装点请求伪造1链接注入（便于跨站请求伪造）3低严重性MicrosoftIIS缺少Host头信息泄露1发现压缩目录2会话cookie中缺少HttpOnly属性1检测到文件替代版本22临时文件下载23在未加密连接中发现信用卡号模式(Visa)1直接访问管理页面10自动填写未对密码字段禁用的HTML属性14、应用服务器Was遗留问题的严重程度具体问题问题个数高严重性SQL盲注35已解密的登录请求5中等严重性会话标识未更新1低严重性IBMWebSphereApplicationServer文件泄露1MicrosoftSiteServeradSamples信息泄露1Oracle日志文件信息泄露2发现潜在订单信息3发现潜在注册信息9发现压缩目录8归档文件下载14会话cookie中缺少HttpOnly属性1检测到文件替代版本34临时文件下载34在未加密连接中发现信用卡号模式(MasterCard)1直接访问管理页面19自动填写未对密码字段禁用的HTML属性35、应用服务器Pas遗留问题的严重程度具体问题问题个数高严重性AlibabaWeb服务器文件下载和远程命令执行1AuctionWeaverCGI远程Shell执行2Bugzilla远程命令执行1ExtropiaWebBanner远程命令执行1FingerServerCGIShell命令执行1已解密的登录请求2中等严重性AccountManagerCGI远程密码更改1AHGEZshopper文件下载1AllaireJRun2.3.X样本源代码泄露1BannerRotating01特权升级1低严重性BasilixWebmail访问控制旁路1会话cookie中缺少HttpOnly属性2检测到ASP.NET项目转换报告1检测到文件替代版本34临时文件下载35直接访问管理页