网站安全漏洞检查报告Word格式.docx
《网站安全漏洞检查报告Word格式.docx》由会员分享,可在线阅读,更多相关《网站安全漏洞检查报告Word格式.docx(7页珍藏版)》请在冰豆网上搜索。
工具扫描具有很好的效率和速度,但是存在一定的误报率和漏报率,并且不能发现高层次、复杂、并且相互关联的安全问题;
安全评估需要投入的人力资源较大、对测试者的专业技能要求很高(安全评估报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。
此次安全评估的范围:
序号
域名(IP)
备注
01
//www.
xx网站
02
03
04
05
06
07
08
4安全评估方法
信息收集
信息收集分析几乎是所有入侵攻击的前提/前奏/基础。
“知己知彼,百战不殆”,信息收集分析就是完成的这个任务。
通过信息收集分析,攻击者(测试者)可以相应地、有针对性地制定入侵攻击的计划,提高入侵的成功率、减小暴露或被发现的几率。
本次评估主要是启用网络漏洞扫描工具,通过网络爬虫测试网站安全、检测流行的攻击、如交叉站点脚本、SQL注入等。
权限提升
通过收集信息和分析,存在两种可能性,其一是目标系统存在重大弱点:
测试者可以直接控制目标系统,这时测试者可以直接调查目标系统中的弱点分布、原因,形成最终的测试报告;
其二是目标系统没有远程重大弱点,但是可以获得远程普通权限,这时测试者可以通过该普通权限进一步收集目标系统信息。
接下来,尽最大努力获取本地权限,收集本地资料信息,寻求本地权限升级的机会。
这些不停的信息收集分析、权限升级的结果构成了整个安全评估过程的输出。
溢出测试
当无法直接利用帐户口令登陆系统时,也会采用系统溢出的方法直接获得系统控制权限,此方法有时会导致系统死机或从新启动,但不会导致系统数据丢失,如出现死机等故障,只要将系统从新启动并开启原有服务即可。
SQL注入攻击
SQL注入常见于那些应用了SQL数据库后端的网站服务器,黑客通过向提交某些特殊SQL语句,最终可能获取、篡改、控制网站服务器端数据库中的内容。
此类漏洞是黑客最常用的入侵方式之一。
检测页面隐藏字段
网站应用系统常采用隐藏字段存储信息。
许多基于网站的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感内容。
心存恶意的用户,通过操作隐藏字段内容,达到恶意交易和窃取信息等行为,是一种非常危险的漏洞。
跨站攻击
攻击者可以借助网站来攻击访问此网站的终端用户,来获得用户口令或使用站点挂马来控制客户端。
第三方软件误配置
第三方软件的错误设置可能导致黑客利用该漏洞构造不同类型的入侵攻击。
Cookie利用
网站应用系统常使用cookies机制在客户端主机上保存某些信息,例如用户ID、口令、时间戳等。
黑客可能通过篡改cookies内容,获取用户的账号,导致严重的后果。
后门程序检查
系统开发过程中遗留的后门和调试选项可能被黑客所利用,导致黑客轻易地从捷径实施攻击。
其他测试
在安全评估中还需要借助暴力破解、网络嗅探等其他方法,目的也是为获取用户名及密码。
5XX网站检查情况(http:
//www.)
网站地址
名称
漏洞统计
高
中
低
总计
截图(AcunetixWebVulnerabilityScanner报告中)
结果:
本次网站安全检查是完全站在攻击者角度,模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试,通过结合多方面的攻击技术进行测试,发现本市网站系统存在比较明显的、可利用的安全漏洞,网站安全等级为非常危险,针对已存在漏洞的系统需要进行重点加固。
6发现安全隐患
发现安全隐患:
SQL注入漏洞
6.1.1漏洞位置
例如:
//域名/dzly/index.php?
id=88(可截图)
XSS(跨脚本攻击)
6.1.2漏洞位置
(可截图)
7通用安全建议
SQL注入类
没有被授权的恶意攻击者可以在有该漏洞的系统上任意执行SQL命令,这将威胁到数据库的安全,并且会泄漏敏感信息。
针对SQL注入,目前的解决办法是:
1、在程序中限制用户提交数据的长度。
2、对用户输入的数据进行合法性检查,只允许合法字符通过检测。
对于非字符串类型的,强制检查类型;
字符串类型的,过滤单引号。
3、WEB程序调动低权限的sql用户连接,勿用类似于dbo高权限的sql账号。
细化Sql用户权限,限定用户仅对自身数据库的访问控制权限。
4、使用具备拦截SQL注入攻击能力(专门算法)的IPS(入侵防御设备)来保护网站系统。
跨站脚本类
3、使用具备拦截跨站脚本攻击能力(专门算法)的IPS(入侵防御设备)来保护网站系统。
密码泄漏类
采用HTTPS协议,保护登录页面。
并对用户名密码参数采用密文传输。
其他类
如上传漏洞修改程序过滤恶意文件;
证书错误修改证书;
链接错误修改错误链接,开放不安全端口等。
服务最小化
对系统主机的服务进行确认关闭一些无用的服务或端口,确保主机安全。
对数据库的一些端口建议对端口进行做防火墙连接限制,保证不能让外界主机对数据库进行管理。
配置权限
将网站的各个目录(包括子目录)尽量减小权限,需要用什么权限开什么权限,其他的权限全部删除。
配置日志
对访问网站的URL动作进行记录全部日志,以便日后的审计和检查。
8附录
Web应用漏洞原理
8.1.1WEB漏洞的定义
WEB程序语言,无论是ASP、PHP、JSP或者perl等等,都遵循一个基本的接口规范,那就是CGI(CommonGaterwayInterface),这也就使得WEB漏洞具有很多相通的地方,但是由于各种实现语言有自己的特点,所以WEB漏洞体现在各种语言方面又有很多不同的地方,WEB漏洞就是指在WEB程序设计开发的过程中,由于各种原因所导致的安全问题,这可能包括设计缺陷,编程错误或者是配置问题等。
8.1.2WEB漏洞的特点
WEB漏洞包括四大特点,即普遍存在、后果严重、容易利用和容易隐藏。
普遍存在是因为WEB应用广泛以及WEB程序员普遍不懂安全知识导致的;
后果严重是因为WEB漏洞可以导致对数据库中的敏感数据的任意增加、篡改和删除,以及执行任意代码或者读、写、删除任意文件;
容易利用是因为攻击者不需要任何特殊的工具,只需要一个浏览器就可以完成整个攻击的过程;
容易隐藏则是由于HTTP协议和WEB服务器的特点,攻击者可以非常容易的隐藏自己的攻击行为。
典型漏洞介绍
XSS跨站脚本攻击
●漏洞成因
是因为WEB程序没有对用户提交的变量中的HTML代码进行过滤或转换。
●漏洞形式
这里所说的形式,实际上是指WEB输入的形式,主要分为两种:
1.显示输入
2.隐式输入
其中显示输入明确要求用户输入数据,而隐式输入则本来并不要求用户输入数据,但是用户却可以通过输入数据来进行干涉。
显示输入又可以分为两种:
1.输入完成立刻输出结果
2.输入完成先存储在文本文件或数据库中,然后再输出结果
注意:
后者可能会让你的网站面目全非!
而隐式输入除了一些正常的情况外,还可以利用服务器或WEB程序处理错误信息的方式来实施。
●漏洞危害
比较典型的危害包括但不限于:
1.获取其他用户Cookie中的敏感数据
2.屏蔽页面特定信息
3.伪造页面信息
4.拒绝服务攻击
5.突破外网内网不同安全设置
6.与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等
7.其它
一般来说,上面的危害还经常伴随着页面变形的情况。
而所谓跨站脚本执行漏洞,也就是通过别人的网站达到攻击的效果,也就是说,这种攻击能在一定程度上隐藏身份。
SQLINJECTION数据库注入攻击
●SQLInjection定义
所谓SQLInjection,就是通过向有SQL查询的WEB程序提交一个精心构造的请求,从而突破了最初的SQL查询限制,实现了未授权的访问或存取。
●SQLInjection原理
随着WEB应用的复杂化,多数WEB应用都使用数据库作为后台,WEB程序接受用户参数作为查询条件,即用户可以在某种程度上控制查询的结果,如果WEB程序对用户输入过滤的比较少,那么入侵者就可能提交一些特殊的参数,而这些参数可以使该查询语句按照自己的意图来运行,这往往是一些未授权的操作,这样只要组合后的查询语句在语法上没有错误,那么就会被执行。
●SQLInjection危害
SQLInjection的危害主要包括:
1.露敏感信息
2.提升WEB应用程序权限
3.操作任意文件
4.执行任意命令
●SQLInjection技巧
利用SQLInjection的攻击技巧主要有如下几种:
1.逻辑组合法:
通过组合多种逻辑查询语句,获得所需要的查询结果。
2.错误信息法:
通过精心构造某些查询语句,使数据库运行出错,错误信息中包含了敏感信息。
3.有限穷举法:
通过精心构造查询语句,可以快速穷举出数据库中的任意信息。
4.移花接木法:
利用数据库已有资源,结合其特性立刻获得所需信息。
升级会员 