中國電力投資集團網(wǎng)站滲透測試報告 第3頁共18頁 _______________________________XXXX投資集團網(wǎng)站滲透測試報告_______________________________頁腳：宋體，Arial，五號，單倍行距，需填寫客戶公司名稱頁腳：宋體，Arial，五號，單倍行距，需填寫客戶公司名稱目錄第1章 概述 41.1. 測試目的 41.2. 測試范圍 41.3. 實施流程 41.3.1. 信息收集 51.3.2. 滲透測試 61.3.3. 本地信息收集 71.3.4. 權(quán)限提升 71.3.5. 清除 71.3.6. 輸出報告 71.4. 參考標(biāo)準(zhǔn) 7第2章 測試綜述 82.1. 總體安全現(xiàn)狀 82.2. 安全漏洞列表 8第3章 測試結(jié)果 103.1. 門戶網(wǎng)站 103.1.1. Apache版本低 103.1.2. SQL注入漏洞 103.1.3. 跨站腳本漏洞（內(nèi)網(wǎng)中存在） 123.1.4. 敏感信息泄漏 143.2. 郵件系統(tǒng) 153.2.1. 跨站點請求偽造 153.2.2. 已解密的登錄請求 163.2.3. 未使用驗證碼機制 173.3. 黨群工作信息管理系統(tǒng) 18第4章 安全建議 20 文檔信息表 文檔基本信息項目名稱XXXX投資集團文檔名稱網(wǎng)站滲透測試報告創(chuàng)建者創(chuàng)建時間2011-07-19文檔修訂信息版本修正章節(jié)日期作者變更記錄1.0全部2011-07-19創(chuàng)建概述測試目的模擬黑客的入侵行為，對指定的網(wǎng)站應(yīng)用系統(tǒng)進行安全漏洞掃描和利用測試，評估是否存在可以被攻擊者真實利用的漏洞以及由此引起的風(fēng)險大小，為制定相應(yīng)的安全措施與解決方案提供實際的依據(jù)。測試范圍應(yīng)用系統(tǒng)名稱應(yīng)用系統(tǒng)IP門戶網(wǎng)站郵箱系統(tǒng)實施流程滲透測試服務(wù)流程定義如下：信息收集此階段中，滲透測試小組進行必要的信息收集，如IP地址、DNS記錄、軟件版本信息、IP段等。采用方法基本網(wǎng)絡(luò)信息獲取ping目標(biāo)網(wǎng)絡(luò)得到IP地址和ttl等信息tcptraceroute和traceroute的結(jié)果whois結(jié)果netcraft獲取目標(biāo)可能存在的域名、Web及服務(wù)器信息curl獲取目標(biāo)web基本信息nmap對網(wǎng)站進行端口掃描并判斷操作系統(tǒng)類型google、yahoo、baidu等搜索引擎獲取目標(biāo)信息FWtester、hping3等工具進行防火墻規(guī)則探測其他滲透測試此階段中，滲透測試小組根據(jù)第一階段獲得的信息對網(wǎng)絡(luò)、系統(tǒng)進行滲透測試。此階段如果成功的話，可能獲得普通權(quán)限。采用方法常規(guī)漏洞掃描和采用商用軟件進行檢查結(jié)合使用ISS與Nessus等商用或免費的掃描工具進行漏洞掃描采用SolarWinds對網(wǎng)絡(luò)設(shè)備等進行搜索發(fā)現(xiàn)采用nikto、webinspect等軟件對web常見漏洞進行掃描采用如AppDetectiv之類的商用軟件對數(shù)據(jù)庫進行掃描分析對Web和數(shù)據(jù)庫應(yīng)用進行分析采用WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe等工具進行分析用Ethereal抓包協(xié)助分析用webscan、fuzzer進行SQL注入和XSS漏洞初步分析手工檢測SQL注入和XSS漏洞采用類似OScanner的工具對數(shù)據(jù)庫進行分析基于通用設(shè)備、數(shù)據(jù)庫、操作系統(tǒng)和應(yīng)用的攻擊采用各種公開及私有的緩沖區(qū)溢出程序代碼，也采用諸如MetasploitFramework之類的利用程序集合。基于應(yīng)用的攻擊基于web、數(shù)據(jù)庫或特定的B/S或C/S結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用程序存在的弱點進行攻擊?？诹畈陆饧夹g(shù)進行口令猜解可以采用X-Scan、Brutus、Hydra、溯雪等工具。本地信息收集此階段中，滲透測試小組進行本地信息收集，用于下一階段的權(quán)限提升。權(quán)限提升此階段中，滲透測試小組嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對系統(tǒng)的完全控制權(quán)。在時間許可的情況下，必要時從第一階段重新進行。采用方法口令嗅探與鍵盤記錄嗅探、鍵盤記錄、木馬等軟件，功能簡單，但要求不被防病毒軟件發(fā)覺，因此通常需要自行開發(fā)或修改。口令破解有許多著名的口令破解軟件，如L0phtCrack、JohntheRipper、Cain等清除此階段中，滲透測試小組清除中間數(shù)據(jù)。輸出報告此階段中，滲透測試小組根據(jù)測試的結(jié)果編寫滲透測試報告。參考標(biāo)準(zhǔn)《OWASPTestingGuide》測試綜述總體安全現(xiàn)狀通過本次安全滲透測試的結(jié)果看，門戶網(wǎng)站自身的安全性較好，雖然存在部分安全漏洞，但利用的可能性低，這得益于門戶網(wǎng)站防護體系較完善，包括防篡改系統(tǒng)、雙層防火墻、發(fā)布管理機制等。但從整性安全性看，門戶網(wǎng)站被成功突破的風(fēng)險還是很大，其中，本次滲透中對門戶網(wǎng)站統(tǒng)一網(wǎng)段中的黨群工作信息管理系統(tǒng)（xxxx/）、投標(biāo)系統(tǒng)（xxx）都成功滲透，并獲取管理員權(quán)限。利用黨群工作信息管理系統(tǒng)，安全工程師可對門戶網(wǎng)站發(fā)起內(nèi)部攻擊，進而可完全入侵門戶網(wǎng)站。 因時間關(guān)系，以及昨天交流滲透結(jié)果后，管理員關(guān)閉黨群工作信息管理系統(tǒng)，無法進一步測試和驗證。安全漏洞列表下表展示了本次測試發(fā)現(xiàn)的安全漏洞與相應(yīng)的風(fēng)險：應(yīng)用系統(tǒng)利用漏洞威脅來源風(fēng)險等級風(fēng)險描述門戶網(wǎng)站Apache版本低外部黑客高可遠(yuǎn)程執(zhí)行代碼，直接得到管理員權(quán)限SQL注入漏洞外部黑客高惡意用戶可以通過注入JavaScript、VBScript、ActiveX、HTML或者Flash的方式欺騙用戶，可以收集Cookie等相關(guān)數(shù)據(jù)并冒充其他用戶，當(dāng)然也可以修改當(dāng)前用戶信息?？缯灸_本編制外部黑客高惡意用戶可以通過注入JavaScript、VBScript、ActiveX、HTML或者Flash的方式欺騙用戶，并收集Cookie等相關(guān)數(shù)據(jù)并冒充其他用戶。通過精心構(gòu)造的惡意代碼，甚至可以獲取系統(tǒng)的管理權(quán)限，或者讓訪問者訪問非法網(wǎng)站或下載惡意木馬。敏感信息泄漏外部黑客中泄漏敏感信息郵件系統(tǒng)跨站點請求偽造外部黑客中可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)。已解密的登錄請求外部黑客中可能會竊取諸如用戶名和密碼等未經(jīng)加密即發(fā)送了的用戶登錄信息未設(shè)置驗證碼機制外部黑客中惡意攻擊者可以使用暴力破解的手段猜解帳號和密碼測試結(jié)果門戶網(wǎng)站Apache版本低測試過程探測發(fā)現(xiàn)Apache的版本低，為Apachehttpd2.2.9((Win32)風(fēng)險分析該版本存在一個mod_isapiDanglingPointer漏洞，可遠(yuǎn)程執(zhí)行代碼，直接得到管理員權(quán)限風(fēng)險等級高影響URL無解決方法升級Apache版本。SQL注入漏洞測試過程訪問如下地址：/count/access.jsp?docid=從錯誤信息判斷，數(shù)據(jù)庫為微軟的SQLServer數(shù)據(jù)庫，泄漏表名和字段名visiter.docid，由此判斷該頁面存在SQL注入漏洞風(fēng)險分析攻擊者可以通過構(gòu)造特殊URL的手段，利用SQL注入漏洞從數(shù)據(jù)庫中獲取敏感數(shù)據(jù)、修改數(shù)據(jù)庫數(shù)據(jù)（插入/更新/刪除）、執(zhí)行數(shù)據(jù)庫管理操作（如關(guān)閉數(shù)據(jù)庫管理系統(tǒng)）、恢復(fù)存在于數(shù)據(jù)庫文件系統(tǒng)中的指定文件內(nèi)容，在某些情況下能執(zhí)行操作系統(tǒng)命令。風(fēng)險等級高影響URL/count/access.jsp解決方法對用戶輸入的數(shù)據(jù)進行全面安全檢查或過濾，尤其注意檢查是否包含HTML特殊字符。這些檢查或過濾必須在服務(wù)器端完成，建議過濾的常見危險字符如下：|（豎線符號）&（&符號）;（分號）$（美元符號）%（百分比符號）@（at符號）'（單引號）"（引號）\'（反斜杠轉(zhuǎn)義單引號）\"（反斜杠轉(zhuǎn)義引號）<>（尖括號）()（括號）+（加號）CR（回車符，ASCII0x0d）LF（換行，ASCII0x0a）,（逗號）\（反斜杠）跨站腳本漏洞（內(nèi)網(wǎng)中存在）測試過程使用如下經(jīng)過特殊構(gòu)造的URL訪問網(wǎng)站：2/resin-admin/digest.php?digest_attempt=1&digest_realm="><script>alert(15973)</script><br><iframesrc=width=700height=400></iframe><br><a&digest_username[]=顯示出預(yù)先嵌入的百度框架，如下圖：說明該頁面存在跨站腳本漏洞。風(fēng)險分析攻擊者可以通過構(gòu)造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段，利用跨站腳本漏洞欺騙用戶，收集Cookie等相關(guān)數(shù)據(jù)并冒充其他用戶。通過精心構(gòu)造的惡意代碼，可以讓訪問者訪問非法網(wǎng)站或下載惡意木馬，如果再結(jié)合其他攻擊手段（如社會工程學(xué)、提權(quán)等），甚至可以獲取系統(tǒng)的管理權(quán)限。風(fēng)險等級高影響URL2/resin-admin/digest.php解決方法對用戶輸入的數(shù)據(jù)進行全面安全檢查或過濾，尤其注意檢查是否包含HTML特殊字符。這些檢查或過濾必須在服務(wù)器端完成，建議過濾的常見危險字符如下：|（豎線符號）&（&符號）;（分號）$（美元符號）%（百分比符號）@（at符號）'（單引號）"（引號）\'（反斜杠轉(zhuǎn)義單引號）\"（反斜杠轉(zhuǎn)義引號）<>（尖括號）()（括號）+（加號）CR（回車符，ASCII0x0d）LF（換行，ASCII0x0a）,（逗號）\（反斜杠）敏感信息泄漏測試過程訪問如下地址：/fzlm/rss/default.htm查看源代碼，發(fā)現(xiàn)泄漏XML路徑訪問/fzlm/rss/200908/P020090813614616258085.xml風(fēng)險分析泄漏敏感信息風(fēng)險等級中影響URLhttp:///dqgz/sktw/upload.asp解決方法去掉注釋語句中的敏感信息郵件系統(tǒng)跨站點請求偽造測試過程對比如下兩個請求結(jié)果：原始測試（將HTTP頭設(shè)置為“”）測試響應(yīng)與原始有效響應(yīng)相同，意味著盡管登錄嘗試中包含危險字符，但是它仍然已成功，說明該頁面存在跨站請求響應(yīng)漏洞。風(fēng)險分析可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)。風(fēng)險等級中影響URLhttp://xx/wm/mail/login.html解決方法添加取自會話cookie的會話標(biāo)識，使它成為一個參數(shù)。服務(wù)器必須檢查這個參數(shù)是否符合會話cookie，若不符合，便廢棄請求。攻擊者無法猜測這個參數(shù)的原因是應(yīng)用于cookie的“同源策略”，因此，攻擊者無法偽造一個虛假的請求，讓服務(wù)器誤以為真。攻擊者難以猜測且無法訪問的任何秘密（也就是無法從其他域訪問），都可用來替換會話標(biāo)識。這可以防止攻擊者設(shè)計看似有效的請求。已解密的登錄請求測試過程訪問如下地址，發(fā)現(xiàn)登錄時沒有使用加密的方式（如https）提交用戶的數(shù)據(jù)，如帳號和密碼。http://xx/wm/mail/login.html風(fēng)險分析攻擊者可以輕松地竊取諸如用戶名和密碼等未經(jīng)加密即發(fā)送了的用戶登錄信息。風(fēng)險等級中影響URLhttp://xx/wm/mail/login.html解決方法確保所有登錄請求都以加密方式發(fā)送到服務(wù)器。請確保敏感信息，