中国石化AppScan安全测试报告Word下载.doc
《中国石化AppScan安全测试报告Word下载.doc》由会员分享,可在线阅读,更多相关《中国石化AppScan安全测试报告Word下载.doc(6页珍藏版)》请在冰豆网上搜索。
1.2针对中国石化资金集中管理信息系统应用特点的安全测试设置
针对于中国石化资金集中管理信息系统应用的以上特点,并结合实际使用情况分为三种场景进行测试,测试内容选择了系统的功能1和功能2:
1)使用用户名/密码,但不进行登陆验证:
此场景如同一般用户登陆系统,但不进行登陆验证,即不判断针对特殊应用安全的登陆,是否存在安全问题。
2)使用用户名/密码,进行登陆验证:
此场景选择正常用户登陆系统,进行登陆验证,即判断针对特殊应用安全的登陆,是否存在安全问题。
3)基于不同角色登陆处理:
结合权限较高的admin用户和权限较低的cqusr1用户进行登陆,除了常规的安全的检测,特别还要针对跨权限的安全访问进行判断。
通过以上的配置,结合AppScan的登陆设置就可以了。
2.测试结果简析
结合以上的三个场景,针对部分功能进行安全测试后,初步获得以下测试结果。
2.1整体内容分析
场景内容
安全问题总计
问题分类及数量
场景1:
用户名/密码登陆,无登陆验证
访问192url,发现60问题
严重:
2类/16个
中等:
2类/3个
低等:
3类/6个
泄漏:
4类/35个
场景2:
用户名/密码登陆,进行登陆验证
访问243url,发现104问题
3类/22个
3类/36个
4类/43个
场景3:
分角色用户登陆
访问192url,发现69问题
3类/23个
4类/37个
3.严重安全问题分析及修改建议
3.1XSS跨站点脚本攻击漏洞
问题概述:
黑客可以应用此漏洞,获取最终用户信息,并基于此进行伪装,进行攻击。
url:
http:
//10.1.19.92:
40001/wfProject/jsp/app/sinopec/wf/loan/commissionedLoanApply.jsp
40001/wfProject/jsp/app/sinopec/wf/loan/loanApply.jsp
40001/wfProject/jsp/app/sinopec/wf/tongye/RMBOverdraftApply.jsp
40001/wfProject/jsp/app/sinopec/wf/tongye/RMBchaijieApply.jsp
测试方式:
在参数中增加javascript:
alert(134108)处理,可执行url
修改方法:
修改对于参数的处理,将无效值进行排除。
3.2注入漏洞
黑客可以应用此漏洞,获取交易信息。
url:
40001/wfProject/jsp/app/netbank/common/customDropDownDict.jsp
在httprequest中填写foobar=foobar之类内容进行攻击
修改httpparameter处理,将无效内容过滤
3.3JBoss管理控制台打开
对于jboss控制台没有进行控制。
40001/
直接进行访问即可
如果上线,此控制台建议关闭或者设置安全。
3.4跨权限设置访问
登陆用户,即可不受权限限制,通过url直接访问用户管理。
40001/wfProject/jsp/app/acountmanager/interestBill.jsp
40001/wfProject/jsp/app/acountmanager/outlayBill.jsp
40001/wfProject/jsp/app/acountmanager/paymentBill.jsp
40001/wfProject/jsp/app/acountmanager/reciveBill.jsp
40001/wfProject/jsp/app/netbank/common/bankInfo.jsp
40001/wfProject/servlet/dataengine
采用权限较低用户,可以访问用户管理内容。
一定要配置用户授权内容。
4.总结
详细内容请详见通过AppScan生成的测试结果,并针对其进行修改。
针对此次扫描的情况建议:
1)将应用的授权进行设置,保障不同角色能够针对的不同功能的角色权限。
2)防止XSS以及SQL注入攻击,对于httpparameter进行过滤和控制。
3)设置登陆处理逻辑,比如对用户登陆账户设置访问三次后冻结/Session不可重用等登陆处理逻辑。
本次安全测试工作,只是选择了部分功能,针对jboss的测试部署环境进行的,本应用一定还包括大量其他问题,等待进行验证和处理。
IBMRationalAppScan
升级会员 