XX投资集团-网站渗透测试报告

中国电力投资集团网站渗透测试报告 第3页共18页 _______________________________XXXX投资集团网站渗透测试报告_______________________________页脚：宋体，Arial，五号，单倍行距，需填写客户公司名称页脚：宋体，Arial，五号，单倍行距，需填写客户公司名称目录第1章 概述 41.1. 测试目的 41.2. 测试范围 41.3. 实施流程 41.3.1. 信息收集 51.3.2. 渗透测试 61.3.3. 本地信息收集 71.3.4. 权限提升 71.3.5. 清除 71.3.6. 输出报告 71.4. 参考标准 7第2章 测试综述 82.1. 总体安全现状 82.2. 安全漏洞列表 8第3章 测试结果 103.1. 门户网站 103.1.1. Apache版本低 103.1.2. SQL注入漏洞 103.1.3. 跨站脚本漏洞（内网中存在） 123.1.4. 敏感信息泄漏 143.2. 邮件系统 153.2.1. 跨站点请求伪造 153.2.2. 已解密的登录请求 163.2.3. 未使用验证码机制 173.3. 党群工作信息管理系统 18第4章 安全建议 20 文档信息表 文档基本信息项目名称XXXX投资集团文档名称网站渗透测试报告创建者创建时间2011-07-19文档修订信息版本修正章节日期作者变更记录1.0全部2011-07-19创建概述测试目的模拟黑客的入侵行为，对指定的网站应用系统进行安全漏洞扫描和利用测试，评估是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小，为制定相应的安全措施与解决方案提供实际的依据。测试范围应用系统名称应用系统IP门户网站邮箱系统实施流程渗透测试服务流程定义如下：信息收集此阶段中，渗透测试小组进行必要的信息收集，如IP地址、DNS记录、软件版本信息、IP段等。采用方法基本网络信息获取ping目标网络得到IP地址和ttl等信息tcptraceroute和traceroute的结果whois结果netcraft获取目标可能存在的域名、Web及服务器信息curl获取目标web基本信息nmap对网站进行端口扫描并判断操作系统类型google、yahoo、baidu等搜索引擎获取目标信息FWtester、hping3等工具进行防火墙规则探测其他渗透测试此阶段中，渗透测试小组根据第一阶段获得的信息对网络、系统进行渗透测试。此阶段如果成功的话，可能获得普通权限。采用方法常规漏洞扫描和采用商用软件进行检查结合使用ISS与Nessus等商用或免费的扫描工具进行漏洞扫描采用SolarWinds对网络设备等进行搜索发现采用nikto、webinspect等软件对web常见漏洞进行扫描采用如AppDetectiv之类的商用软件对数据库进行扫描分析对Web和数据库应用进行分析采用WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe等工具进行分析用Ethereal抓包协助分析用webscan、fuzzer进行SQL注入和XSS漏洞初步分析手工检测SQL注入和XSS漏洞采用类似OScanner的工具对数据库进行分析基于通用设备、数据库、操作系统和应用的攻击采用各种公开及私有的缓冲区溢出程序代码，也采用诸如MetasploitFramework之类的利用程序集合。基于应用的攻击基于web、数据库或特定的B/S或C/S结构的网络应用程序存在的弱点进行攻击。口令猜解技术进行口令猜解可以采用X-Scan、Brutus、Hydra、溯雪等工具。本地信息收集此阶段中，渗透测试小组进行本地信息收集，用于下一阶段的权限提升。权限提升此阶段中，渗透测试小组尝试由普通权限提升为管理员权限，获得对系统的完全控制权。在时间许可的情况下，必要时从第一阶段重新进行。采用方法口令嗅探与键盘记录嗅探、键盘记录、木马等软件，功能简单，但要求不被防病毒软件发觉，因此通常需要自行开发或修改。口令破解有许多著名的口令破解软件，如L0phtCrack、JohntheRipper、Cain等清除此阶段中，渗透测试小组清除中间数据。输出报告此阶段中，渗透测试小组根据测试的结果编写渗透测试报告。参考标准《OWASPTestingGuide》测试综述总体安全现状通过本次安全渗透测试的结果看，门户网站自身的安全性较好，虽然存在部分安全漏洞，但利用的可能性低，这得益于门户网站防护体系较完善，包括防篡改系统、双层防火墙、发布管理机制等。但从整性安全性看，门户网站被成功突破的风险还是很大，其中，本次渗透中对门户网站统一网段中的党群工作信息管理系统（xxxx/）、投标系统（xxx）都成功渗透，并获取管理员权限。利用党群工作信息管理系统，安全工程师可对门户网站发起内部攻击，进而可完全入侵门户网站。 因时间关系，以及昨天交流渗透结果后，管理员关闭党群工作信息管理系统，无法进一步测试和验证。安全漏洞列表下表展示了本次测试发现的安全漏洞与相应的风险：应用系统利用漏洞威胁来源风险等级风险描述门户网站Apache版本低外部黑客高可远程执行代码，直接得到管理员权限SQL注入漏洞外部黑客高恶意用户可以通过注入JavaScript、VBScript、ActiveX、HTML或者Flash的方式欺骗用户，可以收集Cookie等相关数据并冒充其他用户，当然也可以修改当前用户信息。跨站脚本编制外部黑客高恶意用户可以通过注入JavaScript、VBScript、ActiveX、HTML或者Flash的方式欺骗用户，并收集Cookie等相关数据并冒充其他用户。通过精心构造的恶意代码，甚至可以获取系统的管理权限，或者让访问者访问非法网站或下载恶意木马。敏感信息泄漏外部黑客中泄漏敏感信息邮件系统跨站点请求伪造外部黑客中可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。已解密的登录请求外部黑客中可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息未设置验证码机制外部黑客中恶意攻击者可以使用暴力破解的手段猜解帐号和密码测试结果门户网站Apache版本低测试过程探测发现Apache的版本低，为Apachehttpd2.2.9((Win32)风险分析该版本存在一个mod_isapiDanglingPointer漏洞，可远程执行代码，直接得到管理员权限风险等级高影响URL无解决方法升级Apache版本。SQL注入漏洞测试过程访问如下地址：/count/access.jsp?docid=从错误信息判断，数据库为微软的SQLServer数据库，泄漏表名和字段名visiter.docid，由此判断该页面存在SQL注入漏洞风险分析攻击者可以通过构造特殊URL的手段，利用SQL注入漏洞从数据库中获取敏感数据、修改数据库数据（插入/更新/删除）、执行数据库管理操作（如关闭数据库管理系统）、恢复存在于数据库文件系统中的指定文件内容，在某些情况下能执行操作系统命令。风险等级高影响URL/count/access.jsp解决方法对用户输入的数据进行全面安全检查或过滤，尤其注意检查是否包含HTML特殊字符。这些检查或过滤必须在服务器端完成，建议过滤的常见危险字符如下：|（竖线符号）&（&符号）;（分号）$（美元符号）%（百分比符号）@（at符号）'（单引号）"（引号）\'（反斜杠转义单引号）\"（反斜杠转义引号）<>（尖括号）()（括号）+（加号）CR（回车符，ASCII0x0d）LF（换行，ASCII0x0a）,（逗号）\（反斜杠）跨站脚本漏洞（内网中存在）测试过程使用如下经过特殊构造的URL访问网站：2/resin-admin/digest.php?digest_attempt=1&digest_realm="><script>alert(15973)</script><br><iframesrc=width=700height=400></iframe><br><a&digest_username[]=显示出预先嵌入的百度框架，如下图：说明该页面存在跨站脚本漏洞。风险分析攻击者可以通过构造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段，利用跨站脚本漏洞欺骗用户，收集Cookie等相关数据并冒充其他用户。通过精心构造的恶意代码，可以让访问者访问非法网站或下载恶意木马，如果再结合其他攻击手段（如社会工程学、提权等），甚至可以获取系统的管理权限。风险等级高影响URL2/resin-admin/digest.php解决方法对用户输入的数据进行全面安全检查或过滤，尤其注意检查是否包含HTML特殊字符。这些检查或过滤必须在服务器端完成，建议过滤的常见危险字符如下：|（竖线符号）&（&符号）;（分号）$（美元符号）%（百分比符号）@（at符号）'（单引号）"（引号）\'（反斜杠转义单引号）\"（反斜杠转义引号）<>（尖括号）()（括号）+（加号）CR（回车符，ASCII0x0d）LF（换行，ASCII0x0a）,（逗号）\（反斜杠）敏感信息泄漏测试过程访问如下地址：/fzlm/rss/default.htm查看源代码，发现泄漏XML路径访问/fzlm/rss/200908/P020090813614616258085.xml风险分析泄漏敏感信息风险等级中影响URLhttp:///dqgz/sktw/upload.asp解决方法去掉注释语句中的敏感信息邮件系统跨站点请求伪造测试过程对比如下两个请求结果：原始测试（将HTTP头设置为“”）测试响应与原始有效响应相同，意味着尽管登录尝试中包含危险字符，但是它仍然已成功，说明该页面存在跨站请求响应漏洞。风险分析可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。风险等级中影响URLhttp://xx/wm/mail/login.html解决方法添加取自会话cookie的会话标识，使它成为一个参数。服务器必须检查这个参数是否符合会话cookie，若不符合，便废弃请求。攻击者无法猜测这个参数的原因是应用于cookie的“同源策略”，因此，攻击者无法伪造一个虚假的请求，让服务器误以为真。攻击者难以猜测且无法访问的任何秘密（也就是无法从其他域访问），都可用来替换会话标识。这可以防止攻击者设计看似有效的请求。已解密的登录请求测试过程访问如下地址，发现登录时没有使用加密的方式（如https）提交用户的数据，如帐号和密码。http://xx/wm/mail/login.html风险分析攻击者可以轻松地窃取诸如用户名和密码等未经加密即发送了的用户登录信息。风险等级中影响URLhttp://xx/wm/mail/login.html解决方法确保所有登录请求都以加密方式发送到服务器。请确保敏感信息，