ImageVerifierCode 换一换
格式:DOCX , 页数:9 ,大小:493.78KB ,
资源ID:26835940      下载积分:10 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/26835940.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(网站渗透测试报告.docx)为本站会员(b****3)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

网站渗透测试报告.docx

1、网站渗透测试报告 The following text is amended on 12 November 2020.网站渗透测试报告_电子信息学院渗透测试课程实验报告_实验名称:_实验时间:_学生姓名:_学生学号:_第1章 概述.测试目的通过实施针对性的渗透测试,发现XXXX网站系统的安全漏洞,保障XXX业务系统安全运行。.测试范围根据事先交流,本次测试的范围详细如下:系统名称XXX网站测试域名测试时间2014年10月16日2014年10月17日说 明本次渗透测试过程中使用的源IP可能为:合肥.数据来源 通过漏洞扫描和手动分析获取相关数据。第2章 详细测试结果.测试工具 根据测试的范围,本次

2、渗透测试可能用到的相关工具列表如下:检测工具用途和说明WVSWVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具,它可以通过检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来审核Web应用程序。NmapLinux,FreeBSD,UNIX,Windows下的网络扫描和嗅探工具包。Burpsuite网络抓包工具,对网络的数据包传输进行抓取。浏览器插件对工具扫描结果进行人工检测,来判定问题是否真实存在,具体方法依据实际情况而定。其他系统本身具备的相关命令,或者根据实际情况采用的其他工具。.测试步骤预扫描通过端口扫描或主机查看,确定主机所开放的服务。来检查是

3、否有非正常的服务程序在运行。工具扫描 主要通过Nessus进行主机扫描,通过WVS进行WEB扫描。通过Nmap进行端口扫描,得出扫描结果。三个结果进行对比分析。人工检测 对以上扫描结果进行手动验证,判断扫描结果中的问题是否真实存在。其他 根据现场具体情况,通过双方确认后采取相应的解决方式。.测试结果 本次渗透测试共发现2个类型的高风险漏洞,1个类型的低风险漏洞。这些漏洞可以直接登陆web管理后台管理员权限,同时可能引起内网渗透。获取到的权限如下图所示:可以获取web管理后台管理员权限,如下步骤所示:通过SQL盲注漏洞获取管理员用户名和密码hash值,并通过暴力破解工具破解得到root用户的密码

4、“mylove1993.” 利用工具扫描得到管理后台url,使用root/mylove1993.登陆后台如图:跨站脚本漏洞风险等级:高漏洞描述:攻击者可通过该漏洞构造特定带有恶意Javascript代码的URL并诱使浏览者点击,导致浏览者执行恶意代码。漏洞位置:&page=324变量:page变量:kd变量:kd变量:num、psd漏洞验证: 以其中一个XSS漏洞利用示范为例,在浏览器中输入:&page=324%27%22%28%29%26%25%3C/span%3E%3CScRiPt%20%3Eprompt%29%3C/ScRiPt%3E%3Cspan%3E 结果如图: 修复建议: 对传入的

5、参数进行有效性检测,应限制其只允许提交开发设定范围之内的数据内容。要解决跨站脚本漏洞,应对输入内容进行检查过滤,对输出内容的特定字符转义后输出,可采取以下方式:在服务器端对所有的输入进行过滤,限制敏感字符的输入。对输出进行转义,尤其是 ( ) & # 这些符号。 可以转义为 <和 >。(和) 可以转义为(和 )。#和& 可以转义为#和 &。盲注风险等级:高漏洞描述:系统中测试页面中存在SQL注入漏洞,攻击者可通过该漏洞查看、修改或删除数据库条目和表以获取敏感信息。漏洞位置:&psd=1&Submit3=%bf%aa%ca%bc%b2%e9%d1%af变量:num

6、漏洞验证: 如下图所示,参数num存在UNION query类型的盲注: 利用工具列出数据库名 利用工具列出数据库hnrllb中的表名 利用工具列出表admin中的列名 利用工具列出表admin中id、username、truename和password字段内容整改建议: 过滤( select update or and )等特殊符号或者使用preparestatement函数,直接删除该测试页面,或部署web应用防护设备。管理后台风险等级:低漏洞描述:攻击者可通过工具或者人工猜解,获取管理后台url地址。漏洞位置:漏洞验证: 在浏览器中输入结果如图:整改建议: 修改管理后台url。.实验总结通过本次渗透测试发现新网站系统存在的薄弱环节较多,后续完全修复工作量较大:1. 应用系统在正式部署上线前应在内网先进行安全测试,通过安全测试后再放至公网;2 应用系统在开发过程中,应考虑网站应具备的安全功能需求,如:登录框的验证码机制、口令的复杂度限制、口令的加密传输、后台管理页面限定IP访问及上传功能安全机制等方面;3. 建立统一、切实可用的的基础环境规范并落实,如:中间件的安装部署基线、操作系统的安装部署基线等;4. 部署网站防篡改及网页防火墙系统,保护DMZ区域内的所有WEB网站。

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1