网站安全漏洞检查报告华东庄园.doc
《网站安全漏洞检查报告华东庄园.doc》由会员分享,可在线阅读,更多相关《网站安全漏洞检查报告华东庄园.doc(15页珍藏版)》请在冰豆网上搜索。
华东庄园
网站安全漏洞检查报告
目录
1 工作描述 3
1.1 漏洞统计 3
1.2 安全测试时间 3
2 安全评估方式 4
3 安全评估的必要性 4
4 检查结果 4
5 网站安全整改方案 5
6 安全评估方法 5
6.1 弱口令检测 5
6.1.1 危害 5
6.1.2 检测内容 5
6.2 Web注入漏洞 6
6.2.1 危害 6
6.2.2 检测内容 6
6.3 文件包含漏洞 6
6.3.1 危害 7
6.3.2 检测内容 7
6.4 逻辑漏洞 7
6.4.1 危害 7
6.4.2 检测内容 7
6.5 前端漏洞 8
6.5.1 检测内容 8
6.6 错误配置 8
6.6.1 危害 8
6.6.2 检测内容 8
6.7 信息泄露 8
6.7.1 危害 8
6.7.2 检测内容 8
7 安全隐患 8
附件1漏洞详情 10
附件2产品介绍 10
WAF 10
WAF防护简述 10
安骑士 12
安骑士防护简述 12
安全管家 14
1工作描述
本次项目的安全评估对象为:
http:
//
安全评估是可以帮助用户对目前自己的网络、系统、应用的缺陷有相对直观的认识和了解。
以第三方角度对用户网络安全性进行检查,可以让用户了解从外部网络漏洞可以被利用的情况,安全顾问通过解释所用工具在探查过程中所得到的结果,并把得到的结果与已有的安全措施进行比对。
1.1漏洞统计
网站地址
高危
中危
低危
提示
总计
0
13
10
2
25
总计
0
13
10
2
25
威胁定级:
中风险
1.2安全测试时间
开始时间:
2018-02-0817:
24:
38
结束时间:
2018-02-0900:
36:
58
2安全评估方式
本次安全扫描是站在攻击者的角度,从公网对目标系统通过安全扫描系统进行扫描。
扫描系统将自动对目标进行端口、服务、应用等层面的安全漏洞检测。
为避免自动化扫描带来的误报,在扫描完成后,安全技术顾问会对扫描结果进行分析处理,排除误报,综合分析漏洞的影响,将最终分析结果汇报给客户。
3安全评估的必要性
安全评估利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对授权测试环境中的核心服务器及重要的网络设备,包括服务器、防火墙等进行非破坏性质的模拟黑客攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。
安全评估和工具扫描可以很好的互相补充。
工具扫描具有很好的效率和速度,但是存在一定的误报率和漏报率,并且不能发现高层次、复杂、并且相互关联的安全问题;安全评估需要投入的人力资源较大、对测试者的专业技能要求很高(安全评估报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。
此次安全评估的范围:
序号
域名(IP)
备注
01
华东庄园
02
03
04
4检查结果
本次网站安全检查是完全站在攻击者角度,模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试,通过结合多方面的攻击技术进行测试,发现本网站系统存在比较明显的、可利用的安全漏洞,网站安全等级为中风险,针对已存在漏洞的系统需要进行重点加固。
要求7个工作日内整改完毕。
5网站安全整改方案
6安全评估方法
6.1弱口令检测
就是说由常用数字、字母、字符等组合成的,容易被别人通过简单及平常的思维方式就能猜到的密码,利用弱口令结合计算机系统等漏洞可以做到入侵的事半功倍的效果。
6.1.1危害
利用弱口令可以进入后台修改资料,比如考试成绩,电费水费等。
财务报销,比如企业的财务申请。
窃取企业内部资料。
例如OA平台中的文件等。
获取用户信息。
比如通过后台登陆某个用户的账号,把里面的资金转出。
实时监控,监控别人的一举一动,甚至可以看到“潜规则”。
6.1.2检测内容
FTP、SSH、RDP、SMB、SMTP、POP3、IMAPMYSQL、MSSQL、MongoDB、MemCache、Redis、Oracle、Subversion、LDAP、PPTP、VPN、HTTP基础登录、WebFrom登录表单。
6.2Web注入漏洞
WEB漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞,常见的WEB漏洞有Sql注入、Xss漏洞、上传漏洞等。
6.2.1危害
如果网站存在WEB漏洞并被黑客攻击者利用,攻击者可以轻易控制整个网站,并可进一步提权获取网站服务器权限,控制整个服务器。
这些危害包括但不局限于:
1)数据库信息泄漏:
数据库中存放的用户的隐私信息的泄露;
2)网页篡改:
通过操作数据库对特定网页进行篡改;
3)网站被挂马,传播恶意软件:
修改数据库一些字段的值,嵌入网马链接,进行挂马攻击;
4)数据库被恶意操作:
数据库服务器被攻击,数据库的系统管理员帐户被篡改;
5)服务器被远程控制安装后门,经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统;
6)破坏硬盘数据,瘫痪全系统;一些类型的数据库系统能够让SQL指令操作文件系统,这使得SQL注入的危害被进一步放大。
6.2.2检测内容
SQL注入、命令注入、代码注入、SSRF网络注入、表达式注入、JAVAEL表达式注入命令执行、范序列化、XPATH注入等注入漏洞。
6.3文件包含漏洞
服务器通过php的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,而我们可以构造这个恶意文件来达到邪恶的目的。
6.3.1危害
在通过引入文件时,引用的文件名,用户可控,由于传入的文件名没有经过合理的校验,或者校验被绕过,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。
6.3.2检测内容
文件包含(LFI/RFI)、任意文件读取、任意文件上传、XXE、任意文件删除
6.4逻辑漏洞
逻辑错误漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,一般出现在任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额。
6.4.1危害
就是相同级别(权限)的用户或者同一角色不同的用户之间,可以越权访问、修改或者删除的非法操作。
如果出现次漏洞,那么将可能会造成大批量数据泄露,严重的甚至会造成用户信息被恶意篡改。
另外,某些网站,像发布文章、删除文章等操作属于管理员该做的事情。
一个匿名用户也可以做相同的事情。
6.4.2检测内容
JSONP数据劫持、身份认证安全、验证码限制被绕过、业务一致性安全、业务数据篡改、认证权限找回逻辑、业务授权(水平/垂直越权)安全、业务流程乱序、业务接口调用安全。
6.5前端漏洞
6.5.1检测内容
XSS、CSRF、ClickJacking、Jsonp劫持、HTTP头注入CRLF、URL跳转。
6.6错误配置
6.6.1危害
第三方软件的错误设置可能导致黑客利用该漏洞构造不同类型的入侵攻击。
6.6.2检测内容
WebServer配置失误、中间件配置失误、容器配置失误。
6.7信息泄露
6.7.1危害
目标网站WEB程序和服务器未屏蔽错误信息,未做有效权限控制,可能导致泄漏敏感信息,恶意攻击者利用这些信息进行进一步渗透测试。
6.7.2检测内容
配置文件、测试文件、目录遍历、备份文件、SVN、GIT、压缩包、临时文件、接口暴露、心脏滴血。
7安全隐患
漏洞参考标准目前定义有四类漏洞危害等级,危害等级定义依据为:
详细漏洞列表见附件1
附件1漏洞详情
附件2产品介绍
WAF
WAF防护简述
(1)Web应用攻击防护
1)防护OWASP常见威胁
内置多种防护策略,可选择进行SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护
2)0day漏洞快速防护
针对高危Web0day漏洞,专业安全团队24小时内提供虚拟补丁,自动防御保障服务器安全
3)网站隐身
通过域名DNS牵引流量,不对攻击者暴露服务器地址、避免绕过Web应用防火墙直接攻击
(2)缓解恶意CC攻击
1)低误杀的防护算法
不再是对访问频率过快的IP直接粗暴封禁,而是综合URL请求、响应码等分布特征判断异常行为
2)恶意特征攻击100%拦截
针对请求中的常见头部字段,如IP、URL、User-Agent、Referer、参数中出现的恶意特征配置访问控制
3)专属业务的定制规则
企业版可设置针对某具体URL业务的正常访问频率规则
4)强大的威胁情报
可定制化提供对海量恶意IP黑名单、恶意爬虫库的封禁能力
(3)业务安全保障
1)自动化快速接入
无需修改服务器源码,调用API接口等复杂操作,一键配置,自动防护
2)良好用户体验
针对正常的浏览器或者APP访问,无需访问者任何额外操作;针对疑似机器人访问行为,浮层滑块验证
3)精准拦截
强大的设备指纹、人机识别能力保障业务运营活动正常开展。
(4)HTTPS优化
1)支持网站一键HTTPS
源站如果为HTTP网站,上传证书私钥后,可一键改造为HTTPS,无需服务器改造
2)支持HTTP回源
支持HTTPS业务流量以HTTP回源,降低源站的负载消耗,优化业务性能
(5)HTTP/HTTPS访问控制
1)IP访问控制
支持对指定IP或网段,以及恶意IP的封禁或者加白
2)URL访问控制
支持对指定URL地址的禁止访问或加白
3)恶意CC变种攻击
支持如wordpresspingback等常见CC变种型攻击防护
4)IP访问控制
支持对指定IP或网段,以及恶意IP的封禁或者加白
5)URL访问控制
支持对指定URL地址的禁止访问或加白
6)恶意CC变种攻击
支持如wordpresspingback等常见CC变种型攻击防护
(6)日志管理
全量访问日志
提供全量日志智能检索,一键搜索异常请求及安全攻击拦截、了解当前网站业务状况
安骑士
安骑士防护简述
(1)安全预防
1)漏洞管理:
Linux软件漏洞:
通过检测服务器上安装软件的版本信息,与CVE官方的漏洞库进行匹配,检测出存在漏洞的软件并给您推送漏洞信息(可检测如:
SSH、OpenSSL、Mysql等软件漏洞)
Windows漏洞:
通过订阅微软官方更新源,若发现您服务器存在高危的官方漏洞未修复,将为您推送微软官方补丁(如“SMB远程执行漏洞”,另外系统将只推送高危漏洞,安全更新和低危漏洞需要您手动更新)
CMS漏洞:
共享阿里云安全情报源,通过目录及文件的检测方案,检出Web-CMS软件漏洞,并给您提供云盾自研补丁(可修复如:
Wordpress、Discuz等软件漏洞)
配置型、组件型的漏洞:
无法通过版本匹配和文件判断的漏洞(如:
redis未授权访问漏洞等)
2)基线检查:
账户安全检测:
检测服务器上是否存在黑客入侵后,留下的账户,对影子账户、隐藏账户、克隆账户,同时对密码策略合规、系统及应用弱口令进行检测
系统配置检测:
系统组策略、登录基线策略、注册表配置风险检测
数据库风险检测:
支持对Redis数据库高危配置进行检测
合规对标检测:
CIS-LinuxCentos7系统基线合规检测
(2)入侵检
升级会员 