Web风险评估分析报告.doc

1、 网站风险评定汇报信息安全工程汇报课程名称 信息安全工程 班 级 专 业 信息安全 任课老师 学 号 姓 名 目录封面-1 目录-2 一、评定准备-3 1、安全评定准备-3 2、安全评定范围-3 3、安全评定团体-3 4、安全评定量划-3 二、风险原因评定-3 1威胁分析-3 1.1威胁分析概述-3 1.2威胁分析起源-4 1.3威胁种类-4 2安全评定-7 2.1高危漏洞-7 2.2中级漏洞-7 2.3低级漏洞-8 三、综述-8 1.1含有最多安全性问题文件-9 1.2Web风险分布统计-9 2.Web风险类别分布-10 3.渗透测试-10 4.漏洞信息-15 四、风险评价-18 五、风险控

2、制提议-19 附录:-22一、评定准备1、安全评定目标在项目评定阶段，为了充足了解SecurityTweets这个网站安全系数，所以需要对SecurityTweets这个网站目前关键服务器和web应用程序进行一次抽样扫描和安全弱点分析，对象为SecurityTweets全站，然后依据安全弱点扫描分析汇报，作为提升SecurityTweets系统整体安全关键参考依据之一。2、安全评定范围本小组将对以下系统进行安全评定：采取linux系统web服务器（IP地址：176.28.50.165）采取nginx服务器程序web站点采取MySQL数据库3、安全评定团体组员组成：组员姓名班级学号使用工具：1、

3、Acunetix Web Vulnerability Scanner2、BurpSuite4、安全评定量划1、此次针对网站安全评定分为2个步骤进行。第一步利用现有优异安全评定软件来模拟攻击行为进行自动探测安全隐患；第二步依据第一步得出扫描结果进行分析由小组组员亲自进行手动检测，排除误报情况，查找扫描软件无法找到安全漏洞。2、第一步我们采取两种不一样渗透测试软件对网站做总体扫描。采取两种工具是因为这两个工具侧关键不一样，能够互为补充，使得分析更为正确。然后生成测试汇报。3、依据上一步生成测试汇报，由组员亲自手动验证汇报可信性。4、依据安全扫描程序和人工分析结果写出这次安全评定汇报书。二、风险原因

4、评定1. 威胁分析1.1. 威胁分析概述此次威胁分析是对一个德国SecurityTweets网站进行。威胁分析包含具体内容有：威胁主体、威胁路径、威胁种类。1.2. 威胁起源SecurityTweets 网站是基于Internet 体系结构建立，网络业务系统大全部采取TCP/IP作为关键网络通讯协议，其本身提供了多种多样接口以供使用和维护，然而，这些接口一样可能向威胁主体提供了攻击路径：起源描述环境原因断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾难，和软件、硬件、数据、通讯线路等方面故障人为原因恶意人员不满或有预谋内部人员对信息系统进行恶意破坏

5、；采取自主或内外勾结方法偷窃机密信息或进行篡改，获取利益外部人员利用信息系统脆弱性，对网络或系统保密性、完整性和可用性进行破坏，以获取利益或炫耀能力非恶意人员内部人员因为缺乏责任心，或因为不关心或不专注，或没有遵照规章制度和操作步骤而造成故障或信息损坏；内部人员因为缺乏培训、专业技能不足、不含有岗位技能要求而造成信息系统故障或被攻击1.3. 威胁种类：1.描述这个脚本是可能轻易受到跨站点脚本（XSS）攻击。 跨站点脚本（也被称为XSS）是一个漏洞，许可攻击者发送恶意代码（通常在Javascript中形式）给其它用户。因为浏览器无法知道是否该脚本应该是可信是否，它会在用户上下文中，许可攻击者访问

6、被浏览器保留任何Cookie或会话令牌实施脚本。即使传统跨站点脚本漏洞发生在服务器端代码，文档对象模型跨站点脚本是一个类型漏洞会影响脚本代码在用户端浏览器。2. 描述 基于堆缓冲区溢出在nginx1.3.15SPDY实施1.4.7和1.5.x版本1.5.12之前之前许可远程攻击者经过特制请求实施任意代码。该问题影响ngx_http_spdy_module模块（默认情况下不编译），并编译nginx - 和调试配置选项，假如“听”指令“SPDY”选项用于在配置文件中。 3描述 您使用是脆弱Javascript库。一个或多个漏洞汇报这个版本JavaScript库。咨询攻击细节和Web引用相关受影响库

7、，并进行了报道，该漏洞具体信息。4.描述 XML支持被称为“外部实体”，它指示XML处理器来检索和实施内嵌设施包含XML在特定URI。一个外部XML实体能够用来追加或修改和XML文档相关联文档类型定义（DTD）。外部XML实体也能够用于对XML文档内容中包含XML。 现在假设XML处理器解析数据从下攻击者控制一个光源发出。大多数时候，处理器将不会被确定，但它可能包含替换文本从而引发意想不到文件打开操作，或HTTP传输，或任何系统IDSXML处理器知道怎样访问。 以下是将使用此功效包含当地文件（/ etc / passwd文件）内容示例XML文档 ！DOCTYPEAcunetix acuneti

8、xent;4.描述 此警报可能是假阳性，手动确定是必需。 跨站请求伪造，也称为一次单击攻击或会话骑马和缩写为CSRF或XSRF，是一个类型恶意攻击网站即未经授权命令是从一个用户，该网站信任传输。 WVSAcunetix找到一个HTML表单和实施没有显著CSRF保护。具体信息请咨询相关受影响HTML表单信息。5.描述 用户凭据传送是在一个未加密通道。这些信息应该一直经过加密通道（HTTPS），以避免被拦截恶意用户转移。6.描述 点击劫持（用户界面补救攻击，用户界面补救攻击，用户界面救助权利）是诱骗网络用户点击东西从什么用户会感觉到她们是点击，从而有可能泄露机密资料，或利用其电脑同时控制不一样恶意

9、技术点击看似无害网页。 该服务器没有返回X帧选项头这意味着该网站可能是在点击劫持攻击风险。 X框，选择HTTP响应头能够被用于指示浏览器是否应该被许可以展现页面中或。网站能够利用这一点避免点击劫持攻击，以确保其内容不会嵌入到其它网站。7.描述 一个常见威胁Web开发人员面正确是一个密码猜测攻击被称为蛮力攻击。蛮力攻击是试图经过系统地尝试字母，数字和符号每个可能组合，直到你发觉工作一个正确组合来发觉密码。 这个登录页面没有对密码猜测攻击（蛮力攻击）任何保护。它提议，以实现一个定义不正确密码尝试次数后，一些类型帐户锁定。对于咨询相关处理此问题具体信息Web引用。8.描述 HTTP OPTIONS方

10、法在此Web伺服器已启用。 OPTIONS方法提供了由web服务器所支持方法列表，它代表约可在发觉Request-URI请求/响应链中通讯选项信息请求。9.描述 一个可能敏感目录已经找到。这个目录不是直接从website.This检验一下常见敏感资源，如备份目录链接，数据库转储，管理页面，临时目录。这些目录中每一个能够帮助攻击者更多地了解她目标。10描述 虚拟主机是一台服务器（或服务器池）上托管多个域名（每名独立处理）方法。这许可一个服务器共享它资源，诸如存放器和处理器周期，而无需提供使用相同主机名全部服务。 这个Web服务器响应不一样，当主机头操纵和多种常见虚拟主机进行测试。这可能表明有一个

11、虚拟主机存在。11.描述 此cookie不含有HTTPOnly标志设置。当一个cookie设置和HTTPOnly标志，它指示该cookie只能由服务器而不是由用户端脚本访问浏览器。这是一个会话cookie一个关键安全保护。12.描述 当一个新名称，并输入密码形式和提交表单时，浏览器会问询密码应该是saved.Thereafter显示表单时，该名和密码自动填充或完成输入名称。和当地访问攻击者能够从浏览器缓存中获取明文密码。2. 安全评定2.1. 高危漏洞：1.影响恶意用户可能注入JavaScript，VBScript中，ActiveX，HTML或Flash成为一个易受攻击应用程序来欺骗用户，方便

12、从她们那里搜集数据。攻击者能够窃取会话cookie并接管帐户，冒充用户。另外，也能够修改展现给用户网页内容。2.影响 攻击者能够造成堆内存缓冲区溢出工作进程经过使用特制请求，可能造成任意代码实施。3.影响 攻击能够包含公开当地文件，其中可能包含敏感数据，如密码或用户私人数据，使用文件：系统识别计划或相对路径。因为攻击发生相对于应用程序处理XML文档，攻击者可能会利用此受信任应用程序转动到其它内部系统，有可能泄露经过HTTP（S）请求其它内部内容。2.2. 中级漏洞1.影响 攻击者可能会迫使一个Web应用程序用户实施攻击者选择行动。一个成功CSRF攻击会危及最终用户数据和操作情况下，一般用户。假

13、如最终目标用户是管理员帐户，这可能会危及整个Web应用程序。2. 影响 第三方能够经过拦截一个未加密HTTP连接来读取用户凭据。2.3. 低级漏洞1.影响 影响取决于受影响Web应用程序。2.影响 攻击者可能试图经过系统地尝试字母，数字和符号每个可能组合，直到发觉工作一个正确组合，以发觉一个弱口令。3.影响 OPTIONS方法可能暴露敏感信息能够帮助一个恶意用户编写更优异攻击。4.影响 此目录可能暴露敏感信息，能够帮助恶意用户准备更高级攻击。5.影响 可能敏感信息泄露。三、 综述1.1含有最多安全性问题文件URL漏洞数4231.2 web风险分布统计2. Web风险类别分布分类别高风险中风险低

14、风险总计跨站脚本攻击3205信息泄露2057内容欺骗1001系统命令实施3003功效滥用1012资源位置可估计0202其它00113. 渗透测试输入网址，然后开始扫描正在扫描该网站扫描结束，共20个漏洞。点击Report生成汇报软件自动生成扫描汇报4.漏洞信息四、风险评价安全威胁是一个对系统、组织及其资产组成潜在破坏能力可能性原因或事件。产生安全威胁关键原因能够分为人为原因和环境原因。人为原因包含有意和无意原因。环境原因包含自然界不可抗力原因和其它物理原因。威胁可能源于对web站点直接或间接攻击，比如非授权泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发或蓄意事件

15、。通常来说，威胁总是要利用web站点系统、应用或服务弱点才可能成功造成损害。所以威胁分析是围绕信息系统可用性、保密性、完整性、可控性、可审查性、可抵赖性进行。安全风险则是一个可能性，是指某个威胁利用弱点引发某项信息资产或一组信息资产损害，从而直接地或间接地引发企业或机构损害可能性。此次风险分析关键采取自顶向下和自底向上分析、定性分析和定量分析相结合分析方法。首先自顶向下识别关键，然后自底向上采取定性、定量相结合方法进行风险分析。形成一个分层次树形分析体系。在这次评定中，整体系统存在威胁和其产生安全风险关键有以下多个方面：1、针对主机攻击威胁包含针对linux系统和其使用nginx等组件安全漏洞

16、攻击威胁，攻击者可能由此获取系统信息资源或对系统信息进行破坏。2、 针对数据库攻击威胁包含在对数据库系统攻击行为，包含非法获取、篡改、删除数据库信息资源和进行其它形式服务攻击。3、 管理不妥所引发威胁包含因为用户管理策略不妥使得攻击者可能获取某一等级用户访问权限，并由此提升用户权限，造成用户权限滥用和信息资源泄露、损毁等；因为采取远程管理而引发威胁；缺乏足够安全审计致使对安全事件不敏感，无法发觉攻击行为等。4、 配置不妥所引发威胁包含在主机上开放了未做安全防范服务所造成威胁。5、 程序逻辑漏洞造成威胁包含编码时因为对用户输入处理考虑不完全和代码本身bug被利用所造成威胁。在现场核查测试结束后，

17、我们将对得到脆弱性、威胁数据进行风险分析。我们认为在复杂系统风险评定过程中，不能将定性分析和定量分析两种方法简单割裂开来。而是应该将这两种方法融合起来，采取综合评定方法。在信息系统风险分析过程中，定性分析是灵魂，是形成概念、见解，作出判定，得出结论所必需依靠。定量分析则是手段，是定性分析基础和前提，定性分析应建立在定量分析基础上才能揭示客观事物内在规律。是为作出判定和得出结论。对于所识别出各类安全风险，处理方法有四种，即预防、避免、降低、转移和接收，但对于整个系统而言，风险不可能完全被消亡。在风险识别后，应根据风险程度轻重缓急和本身经济实力及安全需求，综合考虑法律法规要求、机构本身发展需要、风

18、险评定结果等众多原因，实施处理风险各类方法。对不可接收风险选择合适处理方法及控制方法，并形成风险处理计划。控制方法选择应兼顾管理和技术，并尤其关注成本和风险平衡。五、风险控制提议 安全这个话题是多层次，一个网站要安全必需满足物理安全、链路安全、网络级安全、应用安全和用户安全这5个层次。大多数网站没有完整采取防护方法，所以，建立一套有效网络安全机制就显得尤为关键，以下是必需考虑安全防护关键点： 1、布署防火墙 在互联网和服务器之间布署硬件防火墙，这么，经过互联网进来用户只能访问到对外公开部分服务（如W W W、E - m a i l、F T P、D N S 等 ），既 保 护 内 网 资 源 不

19、 被非法访问或破坏，也阻止了内部用户对外部不良资源使用，并能够对发生安全事件进行跟踪和审计。在网站服务器上安装软件防火墙后还要深入设置访问策略。2、漏洞及补丁管理Web服务器是一个由多协议、多应用、多用户组成网络环境，网络设备、操作系统统、数据库、应用软件全部存在难以避免安全漏洞。为了要保障网站安全, 必需做好漏洞管理。3、入侵检测工作 作为服务器日常管理，入侵检测是一项很关键工作，在日常检测程序中，关键包含日常服务器安全例行检验和遭到入侵时入侵检验，也就是分为在入侵进行时安全检验和在入侵前后安全检验。系统安全性遵照木桶原理，木桶原理指是：一个木桶由很多块木板组成，假如组成木桶这些木板长短不一

20、，那么这个木桶最大容量不取决于长木板，而取决于最短那块木板。应用到安全方面也就是说系统安全性取决于系统中最脆弱地方，这些地方是日常安全检测关键所在。4、数据备份和恢复数据是整个网络关键。数据一旦被破坏或丢失，对于 W e b 服务器，严重影响网站形象，影响到web服务正常进行。所以做一套完整数据备份和恢复机制能够在服务器发生故障时将损失降低到最小。5、安装反病毒软件病毒、木马、蠕虫等恶意代码是网站关键安全隐患，必需做到有效控制。现在反病毒件查杀面也很广，在网站服务器上安装反病毒软件能从邮件、FTP 文件、网页、软盘、光盘等全部可能信息源进行监控和安全拦截。安装完后要立即升级，这么杀毒软件查杀能

21、力能够覆盖最新恶意代码。6、网站密码安全。相关密码设置，我们能够从CSDN事件中看到，很大一部分人采取甚至数字密码，这类 密码很轻易被破解。尤其是管理员密码，我们需要学习下国外网站设置，采取大小写字母加数字，甚至特殊字符夹杂在里面作为密码。7、网站维护管理频率。我们网站也需要和人一样做定时检验体检，检验文件日志，通常我们网站文件全部有时 间日志，被修改后时间日志会更新。我们需要查看文件被修改时间。即便我们网站能够正常访问，也需要查看文件是不是被挂黑链接，因为黑链接产品也十分猖 狂。鉴于自己网站安全和权重考虑，也是需要进行安全体检。8、检验站点程序是否存在漏洞站点程序完整性能够确保网站在发展过程

22、中有一个完善发展过程，选择技术和组建时候一定要注意淘汰和抉择，不要拿自己网站去测试程序利和弊。附录：Scan of :80/Scan detailsScan informationStart time/6/29 14:30:59Finish timeThe scan was abortedScan time8 minutes, 10 secondsProfileDefaultServer informationResponsiveTrueServer bannernginx/1.4.1Server OSUnknownServer technologiesThreat levelAcunetix

23、 Threat Level 3One or more high-severity type vulnerabilities have been discovered by the scanner. A malicious user can exploit these vulnerabilities and compromise the backend database and/or deface your website.Alerts distributionTotal alerts found20High10Medium2Low7Informational1Alerts summaryCro

24、ss site scripting (verified)ClassificationCVSSBase Score: 4.4- Access Vector: Network- Access Complexity: Medium- Authentication: None- Confidentiality Impact: None- Integrity Impact: Partial- Availability Impact: NoneCWECWE-79Affected itemsVariations/1Acunetix Website Audit2DOM-based cross site scr

25、iptingClassificationCVSSBase Score: 4.4- Access Vector: Network- Access Complexity: Medium- Authentication: None- Confidentiality Impact: None- Integrity Impact: Partial- Availability Impact: NoneCWECWE-79Affected itemsVariations/6nginx SPDY heap buffer overflowClassificationCVSSBase Score: 5.1- Acc

26、ess Vector: Network- Access Complexity: High- Authentication: None- Confidentiality Impact: Partial- Integrity Impact: Partial- Availability Impact: PartialCWECWE-122CVECVE-0133Affected itemsVariationsWeb Server1Vulnerable Javascript libraryClassificationCVSSBase Score: 6.4- Access Vector: Network-

27、Access Complexity: Low- Authentication: None- Confidentiality Impact: Partial- Integrity Impact: Partial- Availability Impact: NoneCWECWE-16Affected itemsVariations/static/app/libs/sessvars.js1XML external entity injectionClassificationCVSSBase Score: 6.8- Access Vector: Network- Access Complexity:

28、Medium- Authentication: None- Confidentiality Impact: Partial- Integrity Impact: Partial- Availability Impact: PartialCWECWE-611Affected itemsVariations/forgotpw1Acunetix Website Audit3HTML form without CSRF protectionClassificationCVSSBase Score: 2.6- Access Vector: Network- Access Complexity: High

29、- Authentication: None- Confidentiality Impact: None- Integrity Impact: Partial- Availability Impact: NoneCWECWE-352Affected itemsVariations/1User credentials are sent in clear textClassificationCVSSBase Score: 5.0- Access Vector: Network- Access Complexity: Low- Authentication: None- Confidentialit

30、y Impact: Partial- Integrity Impact: None- Availability Impact: NoneCWECWE-310Affected itemsVariations/1Clickjacking: X-Frame-Options header missingClassificationCVSSBase Score: 6.8- Access Vector: Network- Access Complexity: Medium- Authentication: None- Confidentiality Impact: Partial- Integrity I

31、mpact: Partial- Availability Impact: PartialCWECWE-693Affected itemsVariationsWeb Server1Login page password-guessing attackClassificationCVSSBase Score: 5.0- Access Vector: Network- Access Complexity: Low- Authentication: None- Confidentiality Impact: Partial- Integrity Impact: None- Availability I

32、mpact: NoneCWECWE-307Affected itemsVariations/login1Acunetix Website Audit4OPTIONS method is enabledClassificationCVSSBase Score: 5.0- Access Vector: Network- Access Complexity: Low- Authentication: None- Confidentiality Impact: Partial- Integrity Impact: None- Availability Impact: NoneCWECWE-200Aff

33、ected itemsVariationsWeb Server1Possible sensitive directoriesClassificationCVSSBase Score: 5.0- Access Vector: Network- Access Complexity: Low- Authentication: None- Confidentiality Impact: Partial- Integrity Impact: None- Availability Impact: NoneCWECWE-200Affected itemsVariations/admin1Possible v

34、irtual host foundClassificationCVSSBase Score: 5.0- Access Vector: Network- Access Complexity: Low- Authentication: None- Confidentiality Impact: Partial- Integrity Impact: None- Availability Impact: NoneCWECWE-200Affected itemsVariationslocalhost1Session Cookie without HttpOnly flag setClassificati

35、onCVSSBase Score: 0.0- Access Vector: Network- Access Complexity: Low- Authentication: None- Confidentiality Impact: None- Integrity Impact: None- Availability Impact: NoneCWECWE-16Affected itemsVariations/1Acunetix Website Audit5Session Cookie without Secure flag setClassificationCVSSBase Score: 0.

36、0- Access Vector: Network- Access Complexity: Low- Authentication: None- Confidentiality Impact: None- Integrity Impact: None- Availability Impact: NoneCWECWE-16Affected itemsVariations/1Password type input with auto-complete enabledClassificationCVSSBase Score: 0.0- Access Vector: Network- Access C

37、omplexity: Low- Authentication: None- Confidentiality Impact: None- Integrity Impact: None- Availability Impact: NoneCWECWE-200Affected itemsVariations/1Acunetix Website Audit6Alert detailsCross site scripting (verified)SeverityHighTypeValidationReported by moduleScripting (XSS.script)DescriptionThis script is possibly vulnerable to Cross Site Scripting (XSS) atta