項(xiàng)目一網(wǎng)站系統(tǒng)滲透測(cè)試報(bào)告

1、滲透測(cè)試報(bào)告XXXX有限公司網(wǎng)站系統(tǒng)滲透測(cè)試報(bào)告 2011年3月2日目 錄一、概述31.1 滲透測(cè)試范圍31.2 滲透測(cè)試主要內(nèi)容3二、脆弱性分析方法42.1工具自動(dòng)分析4三、滲透測(cè)試過(guò)程描述53.1脆弱性分析綜述53.2脆弱性分析統(tǒng)計(jì)53.3網(wǎng)站結(jié)構(gòu)分析63.4目錄遍歷探測(cè)63.5隱藏文件探測(cè)83.6備份文件探測(cè)83.7 CGI漏洞掃描93.8用戶名和密碼猜解93.9 驗(yàn)證登陸漏洞103.10 跨站腳本漏洞挖掘113.10 SQL注射漏洞挖掘123.11數(shù)據(jù)庫(kù)挖掘分析17四、分析結(jié)果總結(jié)18一、概述按照江蘇電信網(wǎng)上營(yíng)業(yè)廳滲透測(cè)試授權(quán)書時(shí)間要求，我們從2011年2月15日至2011年2月某25

2、期間，對(duì)網(wǎng)上營(yíng)業(yè)廳官方網(wǎng)站系統(tǒng)http:/www.*進(jìn)行了全面細(xì)致的脆弱性掃描，同時(shí)結(jié)合南京青苜信息技術(shù)有限公司安全專家的手工分析，兩者匯總得到了該分析報(bào)告。1.1 滲透測(cè)試范圍此次滲透測(cè)試的主要對(duì)象包括：網(wǎng)上營(yíng)業(yè)廳官方網(wǎng)站。注：所有本報(bào)告中描述的測(cè)試過(guò)程和測(cè)試漏洞都是針對(duì)江蘇電信網(wǎng)上營(yíng)業(yè)廳官方網(wǎng)站系統(tǒng)。1.2 滲透測(cè)試主要內(nèi)容在本次滲透測(cè)試過(guò)程中，南京青苜信息技術(shù)有限公司通過(guò)對(duì)網(wǎng)上營(yíng)業(yè)廳網(wǎng)站結(jié)構(gòu)分析，目錄遍歷探測(cè)，隱藏文件探測(cè)，備份文件探測(cè)，CGI漏洞掃描，用戶和密碼猜解，跨站腳本分析，SQL注射漏洞挖掘，數(shù)據(jù)庫(kù)挖掘分析等幾個(gè)方面進(jìn)行測(cè)試，得出了網(wǎng)上營(yíng)業(yè)廳網(wǎng)站系統(tǒng)存在的安全風(fēng)險(xiǎn)點(diǎn)，針對(duì)這些風(fēng)

3、險(xiǎn)點(diǎn)，我門將提供網(wǎng)上營(yíng)業(yè)廳安全加固建議。二、脆弱性分析方法2.1工具自動(dòng)分析2.1.1工具自動(dòng)分析機(jī)制由于WEB程序語(yǔ)言遵循CGI接口規(guī)范，因此WEB漏洞主要體現(xiàn)在程序?qū)斎氲奶幚砩厦?。而WEB應(yīng)用掃描軟件則是根據(jù)這個(gè)特點(diǎn)，通過(guò)發(fā)送精心構(gòu)造的請(qǐng)求，并且對(duì)服務(wù)器返回的響應(yīng)來(lái)判斷服務(wù)器是否存在指定的WEB漏洞。基于這個(gè)原因，WEB應(yīng)用掃描軟件應(yīng)該可以發(fā)現(xiàn)包括XSS、SQL Injection和緩沖區(qū)溢出在內(nèi)的大部分常見(jiàn)的WEB漏洞。2.1.2工具自動(dòng)分析過(guò)程WEB應(yīng)用掃描軟件首先對(duì)目標(biāo)站點(diǎn)進(jìn)行分析，獲取目標(biāo)應(yīng)用系統(tǒng)的組織結(jié)構(gòu)，然后找出可能存在問(wèn)題的程序，并且獲取這些程序允許的參數(shù)輸入，然后根據(jù)知識(shí)

4、庫(kù)中的內(nèi)容，精心構(gòu)造一些特殊的請(qǐng)求，然后發(fā)送給服務(wù)器，并且最終服務(wù)器會(huì)把請(qǐng)求交給該程序處理，通過(guò)分析服務(wù)器返回的響應(yīng)，我們就可以判斷出目標(biāo)應(yīng)用系統(tǒng)存在什么漏洞，漏洞位于什么程序，是哪個(gè)參數(shù)出現(xiàn)了問(wèn)題。同時(shí)，對(duì)于無(wú)法準(zhǔn)確判斷結(jié)果的程序，我們的WEB應(yīng)用掃描軟件提供了交互式漏洞挖掘工具，可以準(zhǔn)確判斷目標(biāo)應(yīng)用系統(tǒng)是否存在安全漏洞。2.1.3本次分析工具介紹本次分析使用的自動(dòng)分析工具為國(guó)際上的著名應(yīng)用安全產(chǎn)品Sanctum公司（以色列）的AppScan V.0（ 評(píng)估系統(tǒng)，可以對(duì)各種已知及未知、應(yīng)用程序特有及普遍存在的漏洞進(jìn)行評(píng)估，并能夠分析并且學(xué)習(xí)每一個(gè)Web應(yīng)用獨(dú)特的個(gè)性，通過(guò)組合變化各種攻擊特征

5、，測(cè)試并驗(yàn)證目標(biāo)系統(tǒng)的脆弱性。三、滲透測(cè)試過(guò)程描述3.1工具掃描脆弱性分析綜述 南京青苜信息技術(shù)有限公司本次對(duì)網(wǎng)上營(yíng)業(yè)廳官方網(wǎng)站系統(tǒng)http:/www.*進(jìn)行了細(xì)致的掃描工作，發(fā)現(xiàn)部分明顯的安全漏洞。3.2工具掃描脆弱性分析統(tǒng)計(jì) 根據(jù)漏洞類別進(jìn)行統(tǒng)計(jì)，如下所示:漏洞類別高中低風(fēng)險(xiǎn)值網(wǎng)站結(jié)構(gòu)分析0目錄遍歷探測(cè)0隱藏文件探測(cè)0備份文件探測(cè)0CGI漏洞掃描0用戶和密碼猜解0跨站腳本分析0SQL注射漏洞挖掘（含數(shù)據(jù)庫(kù)挖掘分析）0風(fēng)險(xiǎn)總值0注：通過(guò)工具分析沒(méi)有發(fā)現(xiàn)XXXX網(wǎng)站系統(tǒng)的存在的安全漏洞。3.3網(wǎng)站結(jié)構(gòu)人工分析通過(guò)對(duì)網(wǎng)站進(jìn)行智能搜索掃描和結(jié)構(gòu)分析，發(fā)現(xiàn)XXXX網(wǎng)站使用兩種web服務(wù)、兩種腳本語(yǔ)言

6、和兩種數(shù)據(jù)庫(kù)，分別是iis6+asp+Access和apache tomcat+jsp+oracle，分別跑在80和8080兩個(gè)端口上，另外通過(guò)掃描可以看出網(wǎng)站使用的windows 2003的操作系統(tǒng)，由于近期并有針對(duì)windows 2003和iis6以及apache可以利用的安全漏洞，所以從端口上看在系統(tǒng)層上是沒(méi)有有利用價(jià)值的漏洞，因此，我們只能從asp和jsp腳本上對(duì)網(wǎng)站進(jìn)行滲透測(cè)試，并最終發(fā)現(xiàn)了腳本存在的漏洞，并利用這些漏洞進(jìn)入XXXX網(wǎng)站后臺(tái)系統(tǒng)。3.4目錄遍歷人工探測(cè)通過(guò)遍歷每個(gè)存在的目錄，智能搜索并探測(cè)除公開(kāi)網(wǎng)頁(yè)中包含的所有目錄以外，是否存在非授權(quán)不能訪問(wèn)卻被訪問(wèn)的目錄。這些目錄很

7、有可能就是網(wǎng)站管理員后臺(tái)程序所在目錄或者是數(shù)據(jù)庫(kù)所在目錄。如果這些目錄沒(méi)有做好權(quán)限設(shè)置，那么極有可能導(dǎo)致網(wǎng)站后臺(tái)失陷于此。3.4.1 apache tomcat存在漏洞通過(guò)XX公司安全人員對(duì)apache tomcat手工測(cè)試發(fā)現(xiàn)，XXXX網(wǎng)站由于配置原因存在目錄過(guò)濾不嚴(yán)，可瀏覽任意web目錄漏洞如下：1. http:/www.XXXXXX.com:8080/XXXXXX/Library/ 2. http:/www.XXXXXX.com:8080/XXXXXX/doc/database/3. http:/www.XXXXXX.com:8080/manager/4. http:/www.XXXXX

8、X.com:8080/XXXXXX/5. http:/www.XXXXXX.com:8080/tphealth/yw/6. http:/www.XXXXXX.com:8080/tphealth/include/7. http:/www.XXXXXX.com:8080/card/yw/其中http:/www.XXXXXX.com:8080/XXXXXX/doc/database/目錄下有oracle數(shù)據(jù)庫(kù)配置文件見(jiàn)下圖： 圖一：數(shù)據(jù)庫(kù)配置文件圖3.4.2可能的安全危害這是Web服務(wù)器常見(jiàn)的Apache設(shè)置錯(cuò)誤，惡意用戶可以讀取任意可讀文件。3.4.3解決方案建議在目錄下放置Apache默認(rèn)訪問(wèn)頁(yè)

9、面，或者修改Apache配置文件，禁止目錄遍歷。3.5隱藏文件人工探測(cè)通過(guò)隱藏文件的智能探測(cè)，除了已有的所有公開(kāi)頁(yè)面以外，智能搜索并探測(cè)在這些目錄下是否存在隱藏文件。這些文件很有可能就是網(wǎng)站的一些配置文件，或者是網(wǎng)站管理員忘記刪除的程序說(shuō)明書，或者是網(wǎng)站后臺(tái)登陸的重要文件。這些文件極有可能導(dǎo)致網(wǎng)站重要數(shù)據(jù)的泄漏，最終導(dǎo)致整個(gè)網(wǎng)站權(quán)限的淪陷。3.5.1探測(cè)結(jié)果沒(méi)有發(fā)現(xiàn)隱藏文件。3.6備份文件人工探測(cè)通過(guò)備份文件的智能探測(cè)，除了已有的所有公開(kāi)頁(yè)面以外，智能搜索并探測(cè)在這些目錄下是否存在備份文件。這些文件很有可能就是網(wǎng)站的一些重要文件的備份信息，或者是網(wǎng)站管理員忘記刪除的網(wǎng)站數(shù)據(jù)庫(kù)備份。這些文件是最

10、有可能導(dǎo)致網(wǎng)站重要數(shù)據(jù)的泄漏的風(fēng)險(xiǎn)點(diǎn)，直接威脅著整個(gè)網(wǎng)站的整體安全。3.6.1探測(cè)結(jié)果在本次掃描分析中，發(fā)現(xiàn)了0個(gè)備份文件。3.6.2可能的安全危害無(wú)。3.6.3解決方案建議及時(shí)刪除備份文件。3.7 CGI漏洞掃描這種類型的漏洞通常是導(dǎo)致服務(wù)端腳本文件源代碼的暴露，或者是程序的任意執(zhí)行等等。同時(shí)，由于這類已知的CGI漏洞利用技術(shù)都是很成熟了的，所以對(duì)網(wǎng)站的安全也有較大的威脅。3.7.1掃描結(jié)果通過(guò)對(duì)WEB服務(wù)器進(jìn)行已知的CGI漏洞掃描，并未發(fā)現(xiàn)CGI漏洞。3.7.2可能的安全危害無(wú)。3.7.3解決方案建議及時(shí)安裝WEB服務(wù)器的安全補(bǔ)丁。3.8用戶名和密碼猜解通常，網(wǎng)站是不提供內(nèi)部用戶注冊(cè)的，但

11、是由于內(nèi)部用戶的粗心大意留下了簡(jiǎn)單密碼的帳戶，導(dǎo)致外部人員可以使用內(nèi)部功能。于此同時(shí)，內(nèi)部功能上的風(fēng)險(xiǎn)也暴露給了外部人員。3.8.1分析結(jié)果通過(guò)對(duì)網(wǎng)站中存在的FORM表單進(jìn)行用戶名和簡(jiǎn)單密碼猜解，沒(méi)有發(fā)現(xiàn)存在存在問(wèn)題。3.8.2可能的安全危害導(dǎo)致外部用戶可以登陸管理員后臺(tái)，使用高權(quán)限功能，并造成內(nèi)部功能缺陷的暴露。3.8.3解決方案建議使用強(qiáng)壯的帳號(hào)密碼。3.9 驗(yàn)證登陸漏洞經(jīng)過(guò)測(cè)試我們發(fā)現(xiàn)用戶保單查詢頁(yè)面，在保單查詢登陸認(rèn)證方法二中，輸入or 1=1-可以繞過(guò)登陸驗(yàn)證，可以任意查詢客戶信息，詳見(jiàn)下圖：3.9.1可能的安全危害能夠未授權(quán)得到XXXX所有被?？蛻粜畔?。容易信息泄漏和對(duì)客戶商業(yè)機(jī)密

12、產(chǎn)生影響。3.9.2解決方案建議建議增加對(duì)提交腳本的長(zhǎng)度和特殊字符過(guò)濾，同時(shí)對(duì)文件目錄的權(quán)限進(jìn)行配置。3.10 跨站腳本漏洞人工挖掘跨站類型的漏洞通常是出現(xiàn)在用戶和服務(wù)器進(jìn)行信息交互的接口處，這種漏洞使用戶訪問(wèn)服務(wù)器的時(shí)候執(zhí)行惡意代碼，可以直接導(dǎo)致用戶數(shù)據(jù)的泄漏，最終不但有損網(wǎng)站的信譽(yù)度，同時(shí)還威脅到服務(wù)器的安全性。3.10.1漏洞挖掘結(jié)果通過(guò)對(duì)該類型漏洞的挖掘，共發(fā)現(xiàn)1個(gè)跨站腳本漏洞。漏洞詳細(xì)情況描述如下：通過(guò)對(duì)jsp腳本的漏洞測(cè)試，我們發(fā)現(xiàn)其中有一處有XSS漏洞，這樣我們可以構(gòu)造出一個(gè)內(nèi)容,為hello彈出對(duì)話框進(jìn)行測(cè)試http:/www.XXXXXX.com:8080/666%0a%0a

13、<script>alert("HELLO");</script>666.jsp，如果我們構(gòu)造的不是彈出對(duì)話框而是一個(gè)帶有木馬的網(wǎng)頁(yè)，這樣就可以發(fā)給管理員誘使管理員訪問(wèn)植入木馬，具體詳見(jiàn)見(jiàn)下圖：1. 該漏洞存在于如下頁(yè)面：http:/www.XXXXXX.com:8080/666%0a%0a<script>alert("HELLO");</script>666.jsp2. 該漏洞利用工作原理介紹：當(dāng)用戶注冊(cè)的時(shí)候，添加X(jué)SS跨站腳本代碼，當(dāng)管理員或其它用戶查看該用戶信息的時(shí)候，就會(huì)導(dǎo)致數(shù)據(jù)的泄漏等等。3.9.

14、2可能的安全危害泄漏敏感數(shù)據(jù)。3.9.3解決方案建議在程序中檢查參數(shù)的輸入，進(jìn)行關(guān)鍵字的過(guò)濾。3.10 SQL注射漏洞人工挖掘SQL注射類型的漏洞通常是出現(xiàn)在用戶和服務(wù)器進(jìn)行信息交互的接口處，這種漏洞使得服務(wù)器的后臺(tái)數(shù)據(jù)庫(kù)很有可能直接暴露出來(lái)，造成機(jī)密信息的泄漏。如果其中包含管理員的帳號(hào)信息，其危害也就不言而喻了。更重要的是站在網(wǎng)站用戶的角度來(lái)說(shuō)，這種問(wèn)題的出現(xiàn)嚴(yán)重影響到了網(wǎng)站在客戶心中的信譽(yù)度。3.10.1漏洞挖掘結(jié)果通過(guò)對(duì)該類型漏洞的挖掘，共發(fā)現(xiàn)2個(gè)SQL注射類型的漏洞。漏洞一詳細(xì)情況描述如下：1. 漏洞存在的頁(yè)面如下：http:/claimds.XXXXXX.com/print/9_Tp

15、ProCheck.jsp?CASENO=zero2. 該漏洞利用工作原理介紹：在i參數(shù)提交的時(shí)候，構(gòu)造相關(guān)的SQL語(yǔ)句，改變數(shù)據(jù)庫(kù)查詢流程，達(dá)到獲取數(shù)據(jù)庫(kù)敏感資料。通過(guò)對(duì)分站jsp腳本的測(cè)試，我們發(fā)現(xiàn)claimds.XXXXXX.com系統(tǒng)和主站jsp 使用的是一個(gè)oracle數(shù)據(jù)庫(kù)，通過(guò)對(duì)其腳本測(cè)試我們發(fā)現(xiàn)一個(gè)注入點(diǎn)，該注入點(diǎn)可以得到數(shù)據(jù)庫(kù)的信息；另外，由于本次測(cè)試時(shí)間有限，如果測(cè)試時(shí)間足夠的話，根據(jù)我們對(duì)這個(gè)漏洞的利用，我們就可以暴庫(kù)，獲得jsp腳本后臺(tái)管理員密碼，從而進(jìn)入后臺(tái)更改后臺(tái)設(shè)置，甚至上傳webshell。3.10.2 eweb編輯器漏洞挖掘（最嚴(yán)重漏洞）因?yàn)闀r(shí)間關(guān)系，XX公司安

16、全人員沒(méi)有選擇利用jsp腳本對(duì)oracle進(jìn)行暴庫(kù)，所以我們把主要測(cè)試重心選擇asp腳本，經(jīng)過(guò)對(duì)asp腳本的測(cè)試發(fā)現(xiàn)，asp腳本目錄下有eweb網(wǎng)站編輯器。我們下載了一個(gè)eweb腳本編輯器對(duì)其代碼進(jìn)行分析，發(fā)現(xiàn)eweb腳本存在注入，通過(guò)這個(gè)漏洞我們添加一個(gè)名為antiwebeditor管理員，并登陸進(jìn)入后臺(tái)，具體可以參見(jiàn)我們的截圖： 通過(guò)對(duì)eweb編輯器的研究發(fā)現(xiàn)，可以通過(guò)其樣式管理，把FLASH類型里的swf改成.asa文件保存，就可以通過(guò)樣式管理上傳后綴名為.asa的腳本木馬了，見(jiàn)下圖：但是我們?cè)谏蟼鞯倪^(guò)程中eweb腳本出現(xiàn)了問(wèn)題，腳本有錯(cuò)誤不能上傳文件，通過(guò)我們跟eweb客服了解，該問(wèn)題

17、是因?yàn)榉?wù)器上裝了kaspersky殺毒軟件，kaspersky對(duì)eweb低版本的腳本程序進(jìn)行查殺導(dǎo)致木馬文件不能上傳，但該漏洞問(wèn)題是存在的，通過(guò)修改木馬文件后綴，可以避開(kāi)kaspersky測(cè)查殺程序，并最終上傳webshell成功。見(jiàn)下圖：3.10.2可能的安全危害此2個(gè)漏洞可能的安全危害都為：未授權(quán)用戶可能通過(guò)該漏洞獲取數(shù)據(jù)庫(kù)敏感資料，造成敏感信息泄漏，最終獲取網(wǎng)站后臺(tái)，上傳WEBSHELL，控制網(wǎng)站。3.10.3解決方案建議針對(duì)此類型漏洞，應(yīng)盡量過(guò)慮各種輸入?yún)?shù)，如上述2個(gè)漏洞，應(yīng)對(duì)“用戶名”或“密碼”，id這三個(gè)參數(shù)進(jìn)行過(guò)慮。并且由于客戶eweb編輯器文件本身存在安全漏洞，除非刪除該文

18、件，暫時(shí)沒(méi)有更好解決方案。3.11數(shù)據(jù)庫(kù)漏洞挖掘人工分析在使用MSSQL、MYSQL、Sybase和Oracle等常用數(shù)據(jù)庫(kù)的時(shí)候，只要存在SQL注射漏洞，就能夠通過(guò)這種漏洞對(duì)數(shù)據(jù)庫(kù)中的信息進(jìn)行挖掘，如果數(shù)據(jù)庫(kù)服務(wù)器設(shè)置不當(dāng)甚至可以導(dǎo)致數(shù)據(jù)庫(kù)服務(wù)器被入侵。3.11.1挖掘分析結(jié)果通過(guò)利用已發(fā)現(xiàn)的SQL注射漏洞對(duì)服務(wù)器后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)的挖掘，發(fā)現(xiàn)本后臺(tái)數(shù)據(jù)庫(kù)類型為Oracle數(shù)據(jù)庫(kù)。3.11.2可能的安全危害敏感數(shù)據(jù)泄漏。3.11.3解決方案建議由于數(shù)據(jù)庫(kù)挖掘使用的是SQL服務(wù)器合法的語(yǔ)句，所以需要根治漏洞的根源，加固所有的外部腳本，避免產(chǎn)生SQL注入漏洞。四、分析結(jié)果總結(jié)通過(guò)XX公司通過(guò)這次測(cè)試可以看出，XXXX在網(wǎng)站安全上做了很多的工作，網(wǎng)站有防注入和篡改系統(tǒng)，但是XXXX只關(guān)注了防注入，但是對(duì)于到系統(tǒng)層上的安全如apache tomcat 瀏覽任