某网站安全漏洞检查报告.docx
《某网站安全漏洞检查报告.docx》由会员分享,可在线阅读,更多相关《某网站安全漏洞检查报告.docx(9页珍藏版)》请在冰豆网上搜索。
某网站安全漏洞检查报告
xx平安漏洞检查报告
目录:
1工作描述
本次工程的平安评估对象为:
平安评估是可以帮助用户对目前自己的网络、系统、应用的缺陷有相对直观的认识和了解。
以第三方角度对用户网络平安性进展检查,可以让用户了解从外部网络漏洞可以被利用的情况,平安参谋通过解释所用工具在探查过程中所得到的结果,并把得到的结果与已有的平安措施进展比对。
2平安评估方式
平安评估主要依据平安工程师已经掌握的平安漏洞和平安检测工具,采用工具扫描+手工验证的方式。
模拟黑客的攻击方法在客户的授权和监视下对客户的系统和网络进展非破坏性质的攻击性测试。
3平安评估的必要性
平安评估利用网络平安扫描器、专用平安测试工具和富有经历的平安工程师的人工经历对授权测试环境中的核心效劳器及重要的网络设备,包括效劳器、防火墙等进展非破坏性质的模拟黑客攻击,目的是侵入系统并获取信息并将入侵的过程和细节产生报告给用户。
平安评估和工具扫描可以很好的互相补充。
工具扫描具有很好的效率和速度,但是存在一定的误报率和漏报率,并且不能发现高层次、复杂、并且相互关联的平安问题;平安评估需要投入的人力资源较大、对测试者的专业技能要求很高〔平安评估报告的价值直接依赖于测试者的专业技能〕,但是非常准确,可以发现逻辑性更强、更深层次的弱点。
此次平安评估的围:
序号
域名(IP)
备注
01
.
xx
02
03
04
05
06
07
08
4平安评估方法
信息收集
信息收集分析几乎是所有入侵攻击的前提/前奏/根底。
“知己知彼,百战不殆〞,信息收集分析就是完成的这个任务。
通过信息收集分析,攻击者〔测试者〕可以相应地、有针对性地制定入侵攻击的方案,提高入侵的成功率、减小暴露或被发现的几率。
本次评估主要是启用网络漏洞扫描工具,通过网络爬虫测试平安、检测流行的攻击、如穿插站点脚本、SQL注入等。
权限提升
通过收集信息和分析,存在两种可能性,其一是目标系统存在重大弱点:
测试者可以直接控制目标系统,这时测试者可以直接调查目标系统中的弱点分布、原因,形成最终的测试报告;其二是目标系统没有远程重大弱点,但是可以获得远程普通权限,这时测试者可以通过该普通权限进一步收集目标系统信息。
接下来,尽最大努力获取本地权限,收集本地资料信息,寻求本地权限升级的时机。
这些不停的信息收集分析、权限升级的结果构成了整个平安评估过程的输出。
溢出测试
当无法直接利用口令登陆系统时,也会采用系统溢出的方法直接获得系统控制权限,此方法有时会导致系统死机或从新启动,但不会导致系统数据丧失,如出现死机等故障,只要将系统从新启动并开启原有效劳即可。
SQL注入攻击
SQL注入常见于那些应用了SQL数据库后端的效劳器,黑客通过向提交某些特殊SQL语句,最终可能获取、篡改、控制效劳器端数据库中的容。
此类漏洞是黑客最常用的入侵方式之一
检测页面隐藏字段
应用系统常采用隐藏字段存储信息。
许多基于的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感容。
心存恶意的用户,通过操作隐藏字段容,到达恶意交易和窃取信息等行为,是一种非常危险的漏洞。
跨站攻击
攻击者可以借助来攻击访问此的终端用户,来获得用户口令或使用站点挂马来控制客户端。
第三方软件误配置
第三方软件的错误设置可能导致黑客利用该漏洞构造不同类型的入侵攻击。
Cookie利用
应用系统常使用cookies机制在客户端主机上保存某些信息,例如用户ID、口令、时间戳等。
黑客可能通过篡改cookies容,获取用户的账号,导致严重的后果。
后门程序检查
系统开发过程中遗留的后门和调试选项可能被黑客所利用,导致黑客轻易地从捷径实施攻击。
其他测试
在平安评估中还需要借助暴力破解、网络嗅探等其他方法,目的也是为获取用户名及密码。
5XX检查情况(.)
地址
名称
.
xx
漏洞统计
地址
高
中
低
总计
总计
截图〔AcunetixWebVulnerabilityScanner报告中〕
结果:
本次平安检查是完全站在攻击者角度,模拟黑客可能使用的攻击技术和漏洞发现技术进展的平安性测试,通过结合多方面的攻击技术进展测试,发现本市系统存在比拟明显的、可利用的平安漏洞,平安等级为非常危险,针对已存在漏洞的系统需要进展重点加固。
6发现平安隐患
发现平安隐患:
SQL注入漏洞
6.1.1漏洞位置
例如:
域名/dzly/index.php?
id=88〔可截图〕
发现平安隐患:
XSS〔跨脚本攻击〕
6.1.2漏洞位置
〔可截图〕
7通用平安建议
SQL注入类
没有被授权的恶意攻击者可以在有该漏洞的系统上任意执行SQL命令,这将威胁到数据库的平安,并且会泄漏敏感信息。
针对SQL注入,目前的解决方法是:
1、在程序中限制用户提交数据的长度。
2、对用户输入的数据进展合法性检查,只允许合法字符通过检测。
对于非字符串类型的,强制检查类型;字符串类型的,过滤单引号。
3、WEB程序调动低权限的sql用户连接,勿用类似于dbo高权限的sql账号。
细化Sql用户权限,限定用户仅对自身数据库的访问控制权限。
4、使用具备拦截SQL注入攻击能力〔专门算法〕的IPS〔入侵防御设备〕来保护系统。
跨站脚本类
1、在程序中限制用户提交数据的长度。
2、对用户输入的数据进展合法性检查,只允许合法字符通过检测。
3、使用具备拦截跨站脚本攻击能力〔专门算法〕的IPS〔入侵防御设备〕来保护系统。
密码泄漏类
采用HTTPS协议,保护登录页面。
并对用户名密码参数采用密文传输。
其他类
如上传漏洞修改程序过滤恶意文件;证书错误修改证书;错误修改错误,开放不平安端口等。
效劳最小化
对系统主机的效劳进展确认关闭一些无用的效劳或端口,确保主机平安。
对数据库的一些端口建议对端口进展做防火墙连接限制,保证不能让外界主机对数据库进展管理。
配置权限
将的各个目录〔包括子目录〕尽量减小权限,需要用什么权限开什么权限,其他的权限全部删除。
配置日志
对访问的URL动作进展记录全部日志,以便日后的审计和检查。
8附录
Web应用漏洞原理
8.1.1WEB漏洞的定义
WEB程序语言,无论是ASP、PHP、JSP或者perl等等,都遵循一个根本的接口规,那就是CGI〔monGaterwayInterface〕,这也就使得WEB漏洞具有很多相通的地方,但是由于各种实现语言有自己的特点,所以WEB漏洞表达在各种语言方面又有很多不同的地方,WEB漏洞就是指在WEB程序设计开发的过程中,由于各种原因所导致的平安问题,这可能包括设计缺陷,编程错误或者是配置问题等。
8.1.2WEB漏洞的特点
WEB漏洞包括四大特点,即普遍存在、后果严重、容易利用和容易隐藏。
普遍存在是因为WEB应用广泛以及WEB程序员普遍不懂平安知识导致的;后果严重是因为WEB漏洞可以导致对数据库中的敏感数据的任意增加、篡改和删除,以及执行任意代码或者读、写、删除任意文件;容易利用是因为攻击者不需要任何特殊的工具,只需要一个浏览器就可以完成整个攻击的过程;容易隐藏那么是由于HTTP协议和WEB效劳器的特点,攻击者可以非常容易的隐藏自己的攻击行为。
典型漏洞介绍
XSS跨站脚本攻击
●漏洞成因
是因为WEB程序没有对用户提交的变量中的HTML代码进展过滤或转换。
●漏洞形式
这里所说的形式,实际上是指WEB输入的形式,主要分为两种:
1.显示输入
2.隐式输入
其中显示输入明确要求用户输入数据,而隐式输入那么本来并不要求用户输入数据,但是用户却可以通过输入数据来进展干预。
显示输入又可以分为两种:
1.输入完成立刻输出结果
2.输入完成先存储在文本文件或数据库中,然后再输出结果
注意:
后者可能会让你的面目全非!
而隐式输入除了一些正常的情况外,还可以利用效劳器或WEB程序处理错误信息的方式来实施。
●漏洞危害
比拟典型的危害包括但不限于:
1.获取其他用户Cookie中的敏感数据
2.屏蔽页面特定信息
3.伪造页面信息
4.拒绝效劳攻击
5.突破外网网不同平安设置
6.与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等
7.其它
一般来说,上面的危害还经常伴随着页面变形的情况。
而所谓跨站脚本执行漏洞,也就是通过别人的到达攻击的效果,也就是说,这种攻击能在一定程度上隐藏身份。
SQLINJECTION数据库注入攻击
●SQLInjection定义
所谓SQLInjection,就是通过向有SQL查询的WEB程序提交一个精心构造的请求,从而突破了最初的SQL查询限制,实现了未授权的访问或存取。
●SQLInjection原理
随着WEB应用的复杂化,多数WEB应用都使用数据库作为后台,WEB程序承受用户参数作为查询条件,即用户可以在某种程度上控制查询的结果,如果WEB程序对用户输入过滤的比拟少,那么入侵者就可能提交一些特殊的参数,而这些参数可以使该查询语句按照自己的意图来运行,这往往是一些未授权的操作,这样只要组合后的查询语句在语法上没有错误,那么就会被执行。
●SQLInjection危害
SQLInjection的危害主要包括:
1.露敏感信息
2.提升WEB应用程序权限
3.操作任意文件
4.执行任意命令
●SQLInjection技巧
利用SQLInjection的攻击技巧主要有如下几种:
1.逻辑组合法:
通过组合多种逻辑查询语句,获得所需要的查询结果。
2.错误信息法:
通过精心构造某些查询语句,使数据库运行出错,错误信息中包含了敏感信息。
3.有限穷举法:
通过精心构造查询语句,可以快速穷举出数据库中的任意信息。
4.移花接木法:
利用数据库已有资源,结合其特性立刻获得所需信息。