中国石化AppScan安全测试报告Word下载.doc

1、1.2 针对中国石化资金集中管理信息系统应用特点的安全测试设置针对于中国石化资金集中管理信息系统应用的以上特点，并结合实际使用情况分为三种场景进行测试，测试内容选择了系统的功能1和功能2：1） 使用用户名/密码，但不进行登陆验证：此场景如同一般用户登陆系统，但不进行登陆验证，即不判断针对特殊应用安全的登陆，是否存在安全问题。2） 使用用户名/密码，进行登陆验证：此场景选择正常用户登陆系统，进行登陆验证，即判断针对特殊应用安全的登陆，是否存在安全问题。3） 基于不同角色登陆处理：结合权限较高的admin用户和权限较低的cqusr1用户进行登陆，除了常规的安全的检测，特别还要针对跨权限的安全访问进

2、行判断。通过以上的配置，结合AppScan的登陆设置就可以了。2. 测试结果简析结合以上的三个场景，针对部分功能进行安全测试后，初步获得以下测试结果。2.1 整体内容分析场景内容安全问题总计问题分类及数量场景1：用户名/密码登陆，无登陆验证访问192url，发现60问题严重: 2类/16个中等: 2类/3个低等: 3类/6个泄漏：4类/35个场景2：用户名/密码登陆，进行登陆验证访问243url，发现104问题 3类/22个 3类/36个4类/43个场景3：分角色用户登陆访问192url，发现69问题 3类/23个4类/37个3. 严重安全问题分析及修改建议3.1 XSS跨站点脚本攻击漏洞问题

3、概述：黑客可以应用此漏洞，获取最终用户信息，并基于此进行伪装，进行攻击。url:http:/10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/loan/commissionedLoanApply.jsp 40001/wfProject/jsp/app/sinopec/wf/loan/loanApply.jsp40001/wfProject/jsp/app/sinopec/wf/tongye/RMBOverdraftApply.jsp40001/wfProject/jsp/app/sinopec/wf/tongye/RMBchaijieApply.jsp

4、测试方式：在参数中增加javascript:alert（134108）处理，可执行url修改方法：修改对于参数的处理，将无效值进行排除。3.2 注入漏洞黑客可以应用此漏洞，获取交易信息。url：40001/wfProject/jsp/app/netbank/common/customDropDownDict.jsp 在http request中填写 foobar=foobar之类内容进行攻击修改http parameter处理，将无效内容过滤3.3 JBoss管理控制台打开对于jboss控制台没有进行控制。40001/直接进行访问即可如果上线，此控制台建议关闭或者设置安全。3.4 跨权限设置访

5、问登陆用户，即可不受权限限制，通过url直接访问用户管理。40001/wfProject/jsp/app/acountmanager/interestBill.jsp40001/wfProject/jsp/app/acountmanager/outlayBill.jsp40001/wfProject/jsp/app/acountmanager/paymentBill.jsp40001/wfProject/jsp/app/acountmanager/reciveBill.jsp40001/wfProject/jsp/app/netbank/common/bankInfo.jsp40001/wfP

6、roject/servlet/dataengine采用权限较低用户，可以访问用户管理内容。一定要配置用户授权内容。4. 总结详细内容请详见通过AppScan生成的测试结果，并针对其进行修改。针对此次扫描的情况建议：1） 将应用的授权进行设置，保障不同角色能够针对的不同功能的角色权限。2） 防止XSS以及SQL注入攻击，对于http parameter进行过滤和控制。3） 设置登陆处理逻辑，比如对用户登陆账户设置访问三次后冻结/Session不可重用等登陆处理逻辑。本次安全测试工作，只是选择了部分功能，针对jboss的测试部署环境进行的，本应用一定还包括大量其他问题，等待进行验证和处理。 IBM Rational AppScan