网站安全漏洞检查报告华东庄园.docx
《网站安全漏洞检查报告华东庄园.docx》由会员分享,可在线阅读,更多相关《网站安全漏洞检查报告华东庄园.docx(11页珍藏版)》请在冰豆网上搜索。
网站安全漏洞检查报告华东庄园
华东庄园
平安漏洞检查报告
6.4逻辑漏洞7
1工作描述
本次项目的平安评估对象为:
.huadongwinery.
平安评估是可以帮助用户对目前自己的网络、系统、应用的缺陷有相对直观的认识和了解。
以第三方角度对用户网络平安性进展检查,可以让用户了解从外部网络漏洞可以被利用的情况,平安参谋通过解释所用工具在探查过程中所得到的结果,并把得到的结果与已有的平安措施进展比对。
漏洞统计
地址
高危
中危
低危
提示
总计
.huadongwinery.
0
13
10
2
25
总计
0
13
10
2
25
威胁定级:
中风险
平安测试时间
开场时间:
2018-02-0817:
24:
38
完毕时间:
2018-02-0900:
36:
58
2平安评估方式
本次平安扫描是站在攻击者的角度,从公网对目标系统通过平安扫描系统进展扫描。
扫描系统将自动对目标进展端口、效劳、应用等层面的平安漏洞检测。
为防止自动化扫描带来的误报,在扫描完成后,平安技术参谋会对扫描结果进展分析处理,排除误报,综合分析漏洞的影响,将最终分析结果汇报给客户。
3平安评估的必要性
平安评估利用网络平安扫描器、专用平安测试工具和富有经历的平安工程师的人工经历对授权测试环境中的核心效劳器与重要的网络设备,包括效劳器、防火墙等进展非破坏性质的模拟黑客攻击,目的是侵入系统并获取信息并将入侵的过程和细节产生报告给用户。
平安评估和工具扫描可以很好的互相补充。
工具扫描具有很好的效率和速度,但是存在一定的误报率和漏报率,并且不能发现高层次、复杂、并且相互关联的平安问题;平安评估需要投入的人力资源较大、对测试者的专业技能要求很高〔平安评估报告的价值直接依赖于测试者的专业技能〕,但是非常准确,可以发现逻辑性更强、更深层次的弱点。
此次平安评估的围:
序号
域名(IP)
备注
01
.huadongwinery.
华东庄园
02
03
04
4检查结果
本次平安检查是完全站在攻击者角度,模拟黑客可能使用的攻击技术和漏洞发现技术进展的平安性测试,通过结合多方面的攻击技术进展测试,发现本系统存在比拟明显的、可利用的平安漏洞,平安等级为中风险,针对已存在漏洞的系统需要进展重点加固。
要求7个工作日整改完毕。
5平安整改方案
6平安评估方法
弱口令检测
就是说由常用数字、字母、字符等组合成的,容易被别人通过简单与平常的思维方式就能猜到的密码,利用弱口令结合计算机系统等漏洞可以做到入侵的事半功倍的效果。
6.1.1危害
利用弱口令可以进入后台修改资料,比方考试成绩,电费水费等。
财务报销,比方企业的财务申请。
窃取企业部资料。
例如OA平台中的文件等。
获取用户信息。
比方通过后台登陆某个用户的账号,把里面的资金转出。
实时监控,监控别人的一举一动,甚至可以看到“潜规那么〞。
检测容
FTP、SSH、RDP、SMB、SMTP、POP3、IMAPMYSQL、MSSQL、MongoDB、MemCache、Redis、Oracle、Subversion、LDAP、PPTP、VPN、HTTP根底登录、WebFrom登录表单。
Web注入漏洞
WEB漏洞通常是指程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞,常见的WEB漏洞有Sql注入、Xss漏洞、上传漏洞等。
危害
如果存在WEB漏洞并被黑客攻击者利用,攻击者可以轻易控制整个,并可进一步提权获取效劳器权限,控制整个效劳器。
这些危害包括但不局限于:
1)数据库信息泄漏:
数据库中存放的用户的隐私信息的泄露;
2)网页篡改:
通过操作数据库对特定网页进展篡改;
3)被挂马,传播恶意软件:
修改数据库一些字段的值,嵌入网马,进展挂马攻击;
4)数据库被恶意操作:
数据库效劳器被攻击,数据库的系统管理员被篡改;
5)效劳器被远程控制安装后门,经由数据库效劳器提供的操作系统支持,让黑客得以修改或控制操作系统;
6)破坏硬盘数据,瘫痪全系统;一些类型的数据库系统能够让SQL指令操作文件系统,这使得SQL注入的危害被进一步放大。
检测容
SQL注入、命令注入、代码注入、SSRF网络注入、表达式注入、JAVAEL表达式注入命令执行、序列化、XPATH注入等注入漏洞。
文件包含漏洞
效劳器通过php的特性〔函数〕去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,而我们可以构造这个恶意文件来到达邪恶的目的。
危害
在通过引入文件时,引用的文件名,用户可控,由于传入的文件名没有经过合理的校验,或者校验被绕过,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。
检测容
文件包含(LFI/RFI)、任意文件读取、任意文件上传、XXE、任意文件删除
逻辑漏洞
逻辑错误漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,一般出现在任意密码修改〔没有旧密码验证〕、越权访问、密码找回、交易支付金额。
危害
就是一样级别〔权限〕的用户或者同一角色不同的用户之间,可以越权访问、修改或者删除的非法操作。
如果出现次漏洞,那么将可能会造成大批量数据泄露,严重的甚至会造成用户信息被恶意篡改。
另外,某些,像发布文章、删除文章等操作属于管理员该做的事情。
一个匿名用户也可以做一样的事情。
检测容
JSONP数据劫持、身份认证平安、验证码限制被绕过、业务一致性平安、业务数据篡改、认证权限找回逻辑、业务授权(水平/垂直越权)平安、业务流程乱序、业务接口调用平安。
前端漏洞
检测容
XSS、CSRF、ClickJacking、Jsonp劫持、HTTP头注入CRLF、URL跳转。
错误配置
危害
第三方软件的错误设置可能导致黑客利用该漏洞构造不同类型的入侵攻击。
检测容
WebServer配置失误、中间件配置失误、容器配置失误。
信息泄露
危害
目标WEB程序和效劳器未屏蔽错误信息,未做有效权限控制,可能导致泄漏敏感信息,恶意攻击者利用这些信息进展进一步渗透测试。
检测容
配置文件、测试文件、目录遍历、备份文件、SVN、GIT、压缩包、临时文件、接口暴露、心脏滴血。
7平安隐患
漏洞参考标准目前定义有四类漏洞危害等级,危害等级定义依据为:
详细漏洞列表见附件1
附件1漏洞详情
附件2产品介绍
WAF
WAF防护简述
〔1〕Web应用攻击防护
1〕防护OWASP常见威胁
置多种防护策略,可选择进展SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web效劳器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等平安防护
2〕0day漏洞快速防护
针对高危Web0day漏洞,专业平安团队24小时提供虚拟补丁,自动防御保障效劳器平安
3〕隐身
通过域名DNS牵引流量,不对攻击者暴露效劳器地址、防止绕过Web应用防火墙直接攻击
〔2〕缓解恶意CC攻击
1〕低误杀的防护算法
不再是对访问频率过快的IP直接粗暴封禁,而是综合URL请求、响应码等分布特征判断异常行为
2〕恶意特征攻击100%拦截
针对请求中的常见头部字段,如IP、URL、User-Agent、Referer、参数中出现的恶意特征配置访问控制
3〕专属业务的定制规那么
企业版可设置针对某具体URL业务的正常访问频率规那么
4〕强大的威胁情报
可定制化提供对海量恶意IP黑、恶意爬虫库的封禁能力
〔3〕业务平安保障
1〕自动化快速接入
无需修改效劳器源码,调用API接口等复杂操作,一键配置,自动防护
2〕良好用户体验
针对正常的浏览器或者APP访问,无需访问者任何额外操作;针对疑似机器人访问行为,浮层滑块验证
3〕精准拦截
强大的设备指纹、人机识别能力保障业务运营活动正常开展。
〔4〕HTTPS优化
1〕支持一键HTTPS
源站如果为HTTP,上传证书私钥后,可一键改造为HTTPS,无需效劳器改造
2〕支持HTTP回源
支持HTTPS业务流量以HTTP回源,降低源站的负载消耗,优化业务性能
〔5〕HTTP/HTTPS访问控制
1〕IP访问控制
支持对指定IP或网段,以与恶意IP的封禁或者加白
2〕URL访问控制
支持对指定URL地址的禁止访问或加白
3〕恶意CC变种攻击
支持如wordpresspingback等常见CC变种型攻击防护
4〕IP访问控制
支持对指定IP或网段,以与恶意IP的封禁或者加白
5〕URL访问控制
支持对指定URL地址的禁止访问或加白
6〕恶意CC变种攻击
支持如wordpresspingback等常见CC变种型攻击防护
〔6〕日志管理
全量访问日志
提供全量日志智能检索,一键搜索异常请求与平安攻击拦截、了解当前业务状况
安骑士
安骑士防护简述
〔1〕平安预防
1〕漏洞管理:
Linux软件漏洞:
通过检测效劳器上安装软件的版本信息,与CVE官方的漏洞库进展匹配,检测出存在漏洞的软件并给您推送漏洞信息〔可检测如:
SSH、OpenSSL、Mysql等软件漏洞〕
Windows漏洞:
通过订阅微软官方更新源,假设发现您效劳器存在高危的官方漏洞未修复,将为您推送微软官方补丁〔如“SMB远程执行漏洞〞,另外系统将只推送高危漏洞,平安更新和低危漏洞需要您手动更新〕
CMS漏洞:
共享阿里云平安情报源,通过目录与文件的检测方案,检出Web-CMS软件漏洞,并给您提供云盾自研补丁〔可修复如:
Wordpress、Discuz等软件漏洞〕
配置型、组件型的漏洞:
无法通过版本匹配和文件判断的漏洞〔如:
redis未授权访问漏洞等〕
2〕基线检查:
账户平安检测:
检测效劳器上是否存在黑客入侵后,留下的账户,对影子账户、隐藏账户、克隆账户,同时对密码策略合规、系统与应用弱口令进展检测
系统配置检测:
系统组策略、登录基线策略、注册表配置风险检测
数据库风险检测:
支持对Redis数据库高危配置进展检测
合规对标检测:
CIS-LinuxCentos7系统基线合规检测
〔2〕入侵检测
1〕异常登录:
异地登录:
系统记录所有登录记录,对于非常用登录的行为进展实时提醒,可自由配置常用登录地
非白IP登录提醒:
配置白IP后,对非白IP的事件进展告警
非法时间登录提醒:
配置合法登录时间后,对非合法时间登录事件进展告警
非法账号登录提醒:
配置合法登录账号后,对非合法账号登录事件进展告警
暴力破解登录拦截:
对非法破解密码的行为进展识别,并上报到阿里云处分中心进展拦截,防止被黑客屡次猜解密码而入侵
2〕后门〔Webshell〕查杀:
自研后门查杀引擎,拥有本地查杀加云查杀体系,同时兼有定时查杀和实时防护扫描策略,支持常见的php、jsp等后门文件类型
3〕主机异常(含云查杀):
进程异常行为:
反弹Shell、JAVA进程执行CMD命令、bash异常文件下载等
异常网络连接:
C&C肉鸡检测、恶意病毒源连接下载等
恶意进程〔云查杀〕:
常见DDoS木马、挖矿木马与病毒程序检测,支持云端一键隔离〔自研沙箱+国外主流杀毒引擎〕
敏感文件篡改:
系统与应用的关键文件被黑客篡改
异常账号:
黑客入侵后创立隐藏账号、公钥账号等
〔3〕资产指纹
1〕主机管理:
分组和标签:
支持四级资产分组和子分组、支持资产标签管理
2〕端口、账号、进程、软件:
端口监听:
对端口监听信息收集和呈现,对变动进展记录,便于清点端口开放
账号管理:
收集账户与对应权限信息,可清点特权账户,发现提权行为
进程管理:
进程快照信息收集与呈现,便于自主清点合法进程发现异常进程
软件管理:
清点软件安装信息,同时在高危漏洞爆发可快速定位受影响资产〔待上线〕
〔4〕日志检索
1〕进程相关:
进程启动:
进程一旦启动,那么记录下该启动事件的详细信息
进程快照:
某一时刻的进程全量日志抓取并存储
2〕网络连接:
主动外联:
对外网络连接的五元组相关信息实时采集
3〕其他日志:
系统登录:
SSH、RDP的系统登录流水日志
端口监听快照:
某一时刻的所有对外监听端口的快照数据
账号快照:
某一时刻的所有账号信息的快照数据
平安管家
(1)加固指导
指导用户进展平安风险管理,根据出具的漏洞扫描报告,帮助用户控制平安风险,修补平安漏洞。
(2)平安危险管理
1.监控客户平安攻击态势,高危攻击与时告警
2.定期分析平安攻击态势与平安趋势,知道平安建立方向
3.根据平安威胁信息与时调整平安防御策略
(3)云盾产品支持
1.协助用户进展WAF产品部署,实现产品的快速上线。
2.根据业务特点优化云盾产品策略,防护效果最大化。
3.定期分析云盾产品使用效果,平安态势一目了然。
(4)平安应急响应
1.快速响应、与时处置,将黑客攻击的影响降到最低。
2.分析黑客入侵手法与入侵后行为,评估入侵损失。
3.提供平安加固与平安防指导,防止重复发生平安事件。
联系单位:
市公安局网络警察支队
联系人:
钟警官:
技术支持单位:
阿里云效劳中心
联系人:
丁贺:
王欣: