xx网站安全漏洞调查报告.doc

资源描述

xx网站安全漏洞检验汇报目录： 1 工作描述 3 2 安全评定方法 3 3 安全评定必需性 3 4 安全评定方法 4 4.1 信息搜集 4 4.2 权限提升 4 4.3 溢出测试 5 4.4 SQL注入攻击 5 4.5 检测页面隐藏字段 5 4.6 跨站攻击 5 4.7 第三方软件误配置 5 4.8 Cookie利用 6 4.9 后门程序检验 6 4.10 其它测试 6 5 XX网站检验情况(http://www. ) 6 5.1 漏洞统计 6 5.2 结果: 7 6 发觉安全隐患 7 6.1 发觉安全隐患: SQL 注入漏洞 7 6.1.1 漏洞位置 7 6.2 发觉安全隐患: XSS（跨脚本攻击） 7 6.2.1 漏洞位置 7 7 通用安全提议 8 7.1 SQL注入类 8 7.2 跨站脚本类 8 7.3 密码泄漏类 8 7.4 其它类 8 7.5 服务最小化 9 7.6 配置权限 9 7.7 配置日志 9 8 附录 9 8.1 Web应用漏洞原理 9 8.1.1 WEB漏洞定义 9 8.1.2 WEB漏洞特点 9 8.2 经典漏洞介绍 10 8.3 XSS跨站脚本攻击 10 8.4 SQL INJECTION数据库注入攻击 11 1 工作描述此次项目标安全评定对象为：http:// 安全评定是能够帮助用户对现在自己网络、系统、应用缺点有相对直观认识和了解。以第三方角度对用户网络安全性进行检验，能够让用户了解从外部网络漏洞能够被利用情况，安全顾问经过解释所用工具在探查过程中所得到结果，并把得到结果和已经有安全方法进行比对。 2 安全评定方法安全评定关键依据安全工程师已经掌握安全漏洞和安全检测工具，采取工具扫描 + 手工验证方法。模拟黑客攻击方法在用户授权和监督下对用户系统和网络进行非破坏性质攻击性测试。 3 安全评定必需性安全评定利用网络安全扫描器、专用安全测试工具和富有经验安全工程师人工经验对授权测试环境中关键服务器及关键网络设备，包含服务器、防火墙等进行非破坏性质模拟黑客攻击，目标是侵入系统并获取机密信息并将入侵过程和细节产生汇报给用户。安全评定和工具扫描能够很好相互补充。工具扫描含有很好效率和速度，不过存在一定误报率和漏报率，而且不能发觉高层次、复杂、而且相互关联安全问题；安全评定需要投入人力资源较大、对测试者专业技能要求很高（安全评定汇报价值直接依靠于测试者专业技能），不过很正确，能够发觉逻辑性更强、更深层次弱点。此次安全评定范围：序号域名(IP) 备注 01 http://www. xx网站 02 03 04 05 06 07 08 4 安全评定方法 4.1 信息搜集信息搜集分析几乎是全部入侵攻击前提/前奏/基础。“知己知彼，百战不殆”，信息搜集分析就是完成这个任务。经过信息搜集分析，攻击者（测试者）能够对应地、有针对性地制订入侵攻击计划，提升入侵成功率、减小暴露或被发觉几率。此次评定关键是启用网络漏洞扫描工具，经过网络爬虫测试网站安全、检测流行攻击、如交叉站点脚本、SQL注入等。 4.2 权限提升经过搜集信息和分析，存在两种可能性，其一是目标系统存在重大弱点：测试者能够直接控制目标系统，这时测试者能够直接调查目标系统中弱点分布、原因，形成最终测试汇报；其二是目标系统没有远程重大弱点，不过能够取得远程一般权限，这时测试者能够经过该一般权限深入搜集目标系统信息。接下来，尽最大努力获取当地权限，搜集当地资料信息，寻求当地权限升级机会。这些不停信息搜集分析、权限升级结果组成了整个安全评定过程输出。 4.3 溢出测试当无法直接利用帐户口令登陆系统时，也会采取系统溢出方法直接取得系统控制权限，此方法有时会造成系统死机或从新开启，但不会造成系统数据丢失，如出现死机等故障，只要将系统从新开启并开启原有服务即可。 4.4 SQL注入攻击 SQL注入常见于那些应用了SQL 数据库后端网站服务器，黑客经过向提交一些特殊SQL语句，最终可能获取、篡改、控制网站服务器端数据库中内容。这类漏洞是黑客最常见入侵方法之一 4.5 检测页面隐藏字段网站应用系统常采取隐藏字段存放信息。很多基于网站电子商务应用程序用隐藏字段来存放商品价格、用户名、密码等敏感内容。心存恶意用户，经过操作隐藏字段内容，达成恶意交易和窃取信息等行为，是一个很危险漏洞。 4.6 跨站攻击攻击者能够借助网站来攻击访问此网站终端用户，来取得用户口令或使用站点挂马来控制用户端。 4.7 第三方软件误配置第三方软件错误设置可能造成黑客利用该漏洞结构不一样类型入侵攻击。 4.8 Cookie利用网站应用系统常使用cookies 机制在用户端主机上保留一些信息，比如用户ID、口令、时间戳等。黑客可能经过篡改cookies 内容，获取用户账号，造成严重后果。 4.9 后门程序检验系统开发过程中遗留后门和调试选项可能被黑客所利用，造成黑客轻易地从捷径实施攻击。 4.10 其它测试在安全评定中还需要借助暴力破解、网络嗅探等其它方法，目标也是为获取用户名及密码。 5 XX网站检验情况(http://www. ) 网站地址名称 http://www. xx网站 5.1 漏洞统计网站地址高中低总计总计截图（Acunetix Web Vulnerability Scanner 汇报中） 5.2 结果: 此次网站安全检验是完全站在攻击者角度，模拟黑客可能使用攻击技术和漏洞发觉技术进行安全性测试，经过结合多方面攻击技术进行测试，发觉本市网站系统存在比较显著、可利用安全漏洞，网站安全等级为很危险，针对已存在漏洞系统需要进行关键加固。 6 发觉安全隐患 6.1 发觉安全隐患: SQL 注入漏洞 6.1.1 漏洞位置比如：http://域名 /dzly/index.php?id=88（可截图） 6.2 发觉安全隐患: XSS（跨脚本攻击） 6.2.1 漏洞位置（可截图） 7 通用安全提议 7.1 SQL注入类没有被授权恶意攻击者能够在有该漏洞系统上任意实施SQL命令，这将威胁到数据库安全，而且会泄漏敏感信息。针对SQL注入，现在处理措施是： 1、在程序中限制用户提交数据长度。 2、对用户输入数据进行正当性检验，只许可正当字符经过检测。对于非字符串类型，强制检验类型；字符串类型，过滤单引号。 3、WEB程序调动低权限sql用户连接，勿用类似于dbo高权限sql 账号。细化Sql用户权限，限定用户仅对本身数据库访问控制权限。 4、使用含有拦截SQL注入攻击能力（专门算法）IPS（入侵防御设备）来保护网站系统。 7.2 跨站脚本类 1、在程序中限制用户提交数据长度。 2、对用户输入数据进行正当性检验，只许可正当字符经过检测。 3、使用含有拦截跨站脚本攻击能力（专门算法）IPS（入侵防御设备）来保护网站系统。 7.3 密码泄漏类采取HTTPS协议，保护登录页面。并对用户名密码参数采取密文传输。 7.4 其它类如上传漏洞修改程序过滤恶意文件；证书错误修改证书；链接错误修改错误链接，开放不安全端口等。 7.5 服务最小化对系统主机服务进行确定关闭部分无用服务或端口，确保主机安全。对数据库部分端口提议对端口进行做防火墙连接限制，确保不能让外界主机对数据库进行管理。 7.6 配置权限将网站各个目录（包含子目录）尽可能减小权限，需要用什么权限开什么权限，其它权限全部删除。 7.7 配置日志对访问网站URL动作进行统计全部日志，方便以后审计和检验。 8 附录 8.1 Web应用漏洞原理 8.1.1 WEB漏洞定义 WEB程序语言，不管是ASP、PHP、JSP或perl等等，全部遵照一个基础接口规范，那就是CGI（Common Gaterway Interface），这也就使得WEB漏洞含有很多相通地方，不过因为多种实现语言有自己特点，所以WEB漏洞表现在多种语言方面又有很多不一样地方，WEB漏洞就是指在WEB程序设计开发过程中，因为多种原因所造成安全问题，这可能包含设计缺点，编程错误或是配置问题等。 8.1.2 WEB漏洞特点 WEB漏洞包含四大特点，即普遍存在、后果严重、轻易利用和轻易隐藏。普遍存在是因为WEB应用广泛和WEB程序员普遍不懂安全知识造成；后果严重是因为WEB漏洞能够造成对数据库中敏感数据任意增加、篡改和删除，和实施任意代码或读、写、删除任意文件；轻易利用是因为攻击者不需要任何特殊工具，只需要一个浏览器就能够完成整个攻击过程；轻易隐藏则是因为HTTP协议和WEB服务器特点，攻击者能够很轻易隐藏自己攻击行为。 8.2 经典漏洞介绍 8.3 XSS跨站脚本攻击 l 漏洞成因是因为WEB程序没有对用户提交变量中HTML代码进行过滤或转换。 l 漏洞形式这里所说形式，实际上是指WEB输入形式，关键分为两种： 1．显示输入 2．隐式输入其中显示输入明确要求用户输入数据，而隐式输入则原来并不要求用户输入数据，不过用户却能够经过输入数据来进行干涉。显示输入又能够分为两种： 1．输入完成立即输出结果 2．输入完成先存放在文本文件或数据库中，然后再输出结果注意：后者可能会让你网站面目全非! 而隐式输入除了部分正常情况外，还能够利用服务器或WEB程序处理错误信息方法来实施。 l 漏洞危害比较经典危害包含但不限于： 1．获取其它用户Cookie中敏感数据 2．屏蔽页面特定信息 3．伪造页面信息 4．拒绝服务攻击 5．突破外网内网不一样安全设置 6．和其它漏洞结合，修改系统设置，查看系统文件，实施系统命令等 7．其它通常来说，上面危害还常常伴伴随页面变形情况。而所谓跨站脚本实施漏洞，也就是经过她人网站达成攻击效果，也就是说，这种攻击能在一定程度上隐藏身份。 8.4 SQL INJECTION数据库注入攻击 l SQL Injection定义所谓SQL Injection ，就是经过向有SQL查询WEB程序提交一个精心结构请求，从而突破了最初SQL查询限制，实现了未授权访问或存取。 l SQL Injection原理伴随WEB应用复杂化，多数WEB应用全部使用数据库作为后台，WEB程序接收用户参数作为查询条件，即用户能够在某种程度上控制查询结果，假如WEB程序对用户输入过滤比较少，那么入侵者就可能提交部分特殊参数，而这些参数能够使该查询语句根据自己意图来运行，这往往是部分未授权操作，这么只要组合后查询语句在语法上没有错误，那么就会被实施。 l SQL Injection危害 SQL Injection危害关键包含： 1．露敏感信息 2．提升WEB应用程序权限 3．操作任意文件 4．实施任意命令 l SQL Injection 技巧利用SQL Injection攻击技巧关键有以下多个： 1．逻辑组正当：经过组合多个逻辑查询语句，取得所需要查询结果。 2．错误信息法：经过精心结构一些查询语句，使数据库运行犯错，错误信息中包含了敏感信息。 3．有限穷举法：经过精心结构查询语句，能够快速穷举出数据库中任意信息。 4．移花接木法：利用数据库已经有资源，结合其特征立即取得所需信息。

展开阅读全文