項目一網(wǎng)站系統(tǒng)滲透測試報告

1、滲透測試報告XXXX有限公司網(wǎng)站系統(tǒng)滲透測試報告 2011年3月2日目 錄一、概述31.1 滲透測試范圍31.2 滲透測試主要內(nèi)容3二、脆弱性分析方法42.1工具自動分析4三、滲透測試過程描述53.1脆弱性分析綜述53.2脆弱性分析統(tǒng)計53.3網(wǎng)站結(jié)構(gòu)分析63.4目錄遍歷探測63.5隱藏文件探測83.6備份文件探測83.7 CGI漏洞掃描93.8用戶名和密碼猜解93.9 驗證登陸漏洞103.10 跨站腳本漏洞挖掘113.10 SQL注射漏洞挖掘123.11數(shù)據(jù)庫挖掘分析17四、分析結(jié)果總結(jié)18一、概述按照江蘇電信網(wǎng)上營業(yè)廳滲透測試授權(quán)書時間要求，我們從2011年2月15日至2011年2月某25

2、期間，對網(wǎng)上營業(yè)廳官方網(wǎng)站系統(tǒng)http:/www.*進行了全面細致的脆弱性掃描，同時結(jié)合南京青苜信息技術(shù)有限公司安全專家的手工分析，兩者匯總得到了該分析報告。1.1 滲透測試范圍此次滲透測試的主要對象包括：網(wǎng)上營業(yè)廳官方網(wǎng)站。注：所有本報告中描述的測試過程和測試漏洞都是針對江蘇電信網(wǎng)上營業(yè)廳官方網(wǎng)站系統(tǒng)。1.2 滲透測試主要內(nèi)容在本次滲透測試過程中，南京青苜信息技術(shù)有限公司通過對網(wǎng)上營業(yè)廳網(wǎng)站結(jié)構(gòu)分析，目錄遍歷探測，隱藏文件探測，備份文件探測，CGI漏洞掃描，用戶和密碼猜解，跨站腳本分析，SQL注射漏洞挖掘，數(shù)據(jù)庫挖掘分析等幾個方面進行測試，得出了網(wǎng)上營業(yè)廳網(wǎng)站系統(tǒng)存在的安全風險點，針對這些風

3、險點，我門將提供網(wǎng)上營業(yè)廳安全加固建議。二、脆弱性分析方法2.1工具自動分析2.1.1工具自動分析機制由于WEB程序語言遵循CGI接口規(guī)范，因此WEB漏洞主要體現(xiàn)在程序?qū)斎氲奶幚砩厦?。而WEB應(yīng)用掃描軟件則是根據(jù)這個特點，通過發(fā)送精心構(gòu)造的請求，并且對服務(wù)器返回的響應(yīng)來判斷服務(wù)器是否存在指定的WEB漏洞?；谶@個原因，WEB應(yīng)用掃描軟件應(yīng)該可以發(fā)現(xiàn)包括XSS、SQL Injection和緩沖區(qū)溢出在內(nèi)的大部分常見的WEB漏洞。2.1.2工具自動分析過程WEB應(yīng)用掃描軟件首先對目標站點進行分析，獲取目標應(yīng)用系統(tǒng)的組織結(jié)構(gòu)，然后找出可能存在問題的程序，并且獲取這些程序允許的參數(shù)輸入，然后根據(jù)知識

4、庫中的內(nèi)容，精心構(gòu)造一些特殊的請求，然后發(fā)送給服務(wù)器，并且最終服務(wù)器會把請求交給該程序處理，通過分析服務(wù)器返回的響應(yīng)，我們就可以判斷出目標應(yīng)用系統(tǒng)存在什么漏洞，漏洞位于什么程序，是哪個參數(shù)出現(xiàn)了問題。同時，對于無法準確判斷結(jié)果的程序，我們的WEB應(yīng)用掃描軟件提供了交互式漏洞挖掘工具，可以準確判斷目標應(yīng)用系統(tǒng)是否存在安全漏洞。2.1.3本次分析工具介紹本次分析使用的自動分析工具為國際上的著名應(yīng)用安全產(chǎn)品Sanctum公司（以色列）的AppScan V.0（ 評估系統(tǒng)，可以對各種已知及未知、應(yīng)用程序特有及普遍存在的漏洞進行評估，并能夠分析并且學習每一個Web應(yīng)用獨特的個性，通過組合變化各種攻擊特征

5、，測試并驗證目標系統(tǒng)的脆弱性。三、滲透測試過程描述3.1工具掃描脆弱性分析綜述 南京青苜信息技術(shù)有限公司本次對網(wǎng)上營業(yè)廳官方網(wǎng)站系統(tǒng)http:/www.*進行了細致的掃描工作，發(fā)現(xiàn)部分明顯的安全漏洞。3.2工具掃描脆弱性分析統(tǒng)計 根據(jù)漏洞類別進行統(tǒng)計，如下所示:漏洞類別高中低風險值網(wǎng)站結(jié)構(gòu)分析0目錄遍歷探測0隱藏文件探測0備份文件探測0CGI漏洞掃描0用戶和密碼猜解0跨站腳本分析0SQL注射漏洞挖掘（含數(shù)據(jù)庫挖掘分析）0風險總值0注：通過工具分析沒有發(fā)現(xiàn)XXXX網(wǎng)站系統(tǒng)的存在的安全漏洞。3.3網(wǎng)站結(jié)構(gòu)人工分析通過對網(wǎng)站進行智能搜索掃描和結(jié)構(gòu)分析，發(fā)現(xiàn)XXXX網(wǎng)站使用兩種web服務(wù)、兩種腳本語言

6、和兩種數(shù)據(jù)庫，分別是iis6+asp+Access和apache tomcat+jsp+oracle，分別跑在80和8080兩個端口上，另外通過掃描可以看出網(wǎng)站使用的windows 2003的操作系統(tǒng)，由于近期并有針對windows 2003和iis6以及apache可以利用的安全漏洞，所以從端口上看在系統(tǒng)層上是沒有有利用價值的漏洞，因此，我們只能從asp和jsp腳本上對網(wǎng)站進行滲透測試，并最終發(fā)現(xiàn)了腳本存在的漏洞，并利用這些漏洞進入XXXX網(wǎng)站后臺系統(tǒng)。3.4目錄遍歷人工探測通過遍歷每個存在的目錄，智能搜索并探測除公開網(wǎng)頁中包含的所有目錄以外，是否存在非授權(quán)不能訪問卻被訪問的目錄。這些目錄很

7、有可能就是網(wǎng)站管理員后臺程序所在目錄或者是數(shù)據(jù)庫所在目錄。如果這些目錄沒有做好權(quán)限設(shè)置，那么極有可能導(dǎo)致網(wǎng)站后臺失陷于此。3.4.1 apache tomcat存在漏洞通過XX公司安全人員對apache tomcat手工測試發(fā)現(xiàn)，XXXX網(wǎng)站由于配置原因存在目錄過濾不嚴，可瀏覽任意web目錄漏洞如下：1. http:/www.XXXXXX.com:8080/XXXXXX/Library/ 2. http:/www.XXXXXX.com:8080/XXXXXX/doc/database/3. http:/www.XXXXXX.com:8080/manager/4. http:/www.XXXXX

8、X.com:8080/XXXXXX/5. http:/www.XXXXXX.com:8080/tphealth/yw/6. http:/www.XXXXXX.com:8080/tphealth/include/7. http:/www.XXXXXX.com:8080/card/yw/其中http:/www.XXXXXX.com:8080/XXXXXX/doc/database/目錄下有oracle數(shù)據(jù)庫配置文件見下圖： 圖一：數(shù)據(jù)庫配置文件圖3.4.2可能的安全危害這是Web服務(wù)器常見的Apache設(shè)置錯誤，惡意用戶可以讀取任意可讀文件。3.4.3解決方案建議在目錄下放置Apache默認訪問頁

9、面，或者修改Apache配置文件，禁止目錄遍歷。3.5隱藏文件人工探測通過隱藏文件的智能探測，除了已有的所有公開頁面以外，智能搜索并探測在這些目錄下是否存在隱藏文件。這些文件很有可能就是網(wǎng)站的一些配置文件，或者是網(wǎng)站管理員忘記刪除的程序說明書，或者是網(wǎng)站后臺登陸的重要文件。這些文件極有可能導(dǎo)致網(wǎng)站重要數(shù)據(jù)的泄漏，最終導(dǎo)致整個網(wǎng)站權(quán)限的淪陷。3.5.1探測結(jié)果沒有發(fā)現(xiàn)隱藏文件。3.6備份文件人工探測通過備份文件的智能探測，除了已有的所有公開頁面以外，智能搜索并探測在這些目錄下是否存在備份文件。這些文件很有可能就是網(wǎng)站的一些重要文件的備份信息，或者是網(wǎng)站管理員忘記刪除的網(wǎng)站數(shù)據(jù)庫備份。這些文件是最

10、有可能導(dǎo)致網(wǎng)站重要數(shù)據(jù)的泄漏的風險點，直接威脅著整個網(wǎng)站的整體安全。3.6.1探測結(jié)果在本次掃描分析中，發(fā)現(xiàn)了0個備份文件。3.6.2可能的安全危害無。3.6.3解決方案建議及時刪除備份文件。3.7 CGI漏洞掃描這種類型的漏洞通常是導(dǎo)致服務(wù)端腳本文件源代碼的暴露，或者是程序的任意執(zhí)行等等。同時，由于這類已知的CGI漏洞利用技術(shù)都是很成熟了的，所以對網(wǎng)站的安全也有較大的威脅。3.7.1掃描結(jié)果通過對WEB服務(wù)器進行已知的CGI漏洞掃描，并未發(fā)現(xiàn)CGI漏洞。3.7.2可能的安全危害無。3.7.3解決方案建議及時安裝WEB服務(wù)器的安全補丁。3.8用戶名和密碼猜解通常，網(wǎng)站是不提供內(nèi)部用戶注冊的，但

11、是由于內(nèi)部用戶的粗心大意留下了簡單密碼的帳戶，導(dǎo)致外部人員可以使用內(nèi)部功能。于此同時，內(nèi)部功能上的風險也暴露給了外部人員。3.8.1分析結(jié)果通過對網(wǎng)站中存在的FORM表單進行用戶名和簡單密碼猜解，沒有發(fā)現(xiàn)存在存在問題。3.8.2可能的安全危害導(dǎo)致外部用戶可以登陸管理員后臺，使用高權(quán)限功能，并造成內(nèi)部功能缺陷的暴露。3.8.3解決方案建議使用強壯的帳號密碼。3.9 驗證登陸漏洞經(jīng)過測試我們發(fā)現(xiàn)用戶保單查詢頁面，在保單查詢登陸認證方法二中，輸入or 1=1-可以繞過登陸驗證，可以任意查詢客戶信息，詳見下圖：3.9.1可能的安全危害能夠未授權(quán)得到XXXX所有被?？蛻粜畔?。容易信息泄漏和對客戶商業(yè)機密

12、產(chǎn)生影響。3.9.2解決方案建議建議增加對提交腳本的長度和特殊字符過濾，同時對文件目錄的權(quán)限進行配置。3.10 跨站腳本漏洞人工挖掘跨站類型的漏洞通常是出現(xiàn)在用戶和服務(wù)器進行信息交互的接口處，這種漏洞使用戶訪問服務(wù)器的時候執(zhí)行惡意代碼，可以直接導(dǎo)致用戶數(shù)據(jù)的泄漏，最終不但有損網(wǎng)站的信譽度，同時還威脅到服務(wù)器的安全性。3.10.1漏洞挖掘結(jié)果通過對該類型漏洞的挖掘，共發(fā)現(xiàn)1個跨站腳本漏洞。漏洞詳細情況描述如下：通過對jsp腳本的漏洞測試，我們發(fā)現(xiàn)其中有一處有XSS漏洞，這樣我們可以構(gòu)造出一個內(nèi)容,為hello彈出對話框進行測試http:/www.XXXXXX.com:8080/666%0a%0a

13、<script>alert("HELLO");</script>666.jsp，如果我們構(gòu)造的不是彈出對話框而是一個帶有木馬的網(wǎng)頁，這樣就可以發(fā)給管理員誘使管理員訪問植入木馬，具體詳見見下圖：1. 該漏洞存在于如下頁面：http:/www.XXXXXX.com:8080/666%0a%0a<script>alert("HELLO");</script>666.jsp2. 該漏洞利用工作原理介紹：當用戶注冊的時候，添加XSS跨站腳本代碼，當管理員或其它用戶查看該用戶信息的時候，就會導(dǎo)致數(shù)據(jù)的泄漏等等。3.9.

14、2可能的安全危害泄漏敏感數(shù)據(jù)。3.9.3解決方案建議在程序中檢查參數(shù)的輸入，進行關(guān)鍵字的過濾。3.10 SQL注射漏洞人工挖掘SQL注射類型的漏洞通常是出現(xiàn)在用戶和服務(wù)器進行信息交互的接口處，這種漏洞使得服務(wù)器的后臺數(shù)據(jù)庫很有可能直接暴露出來，造成機密信息的泄漏。如果其中包含管理員的帳號信息，其危害也就不言而喻了。更重要的是站在網(wǎng)站用戶的角度來說，這種問題的出現(xiàn)嚴重影響到了網(wǎng)站在客戶心中的信譽度。3.10.1漏洞挖掘結(jié)果通過對該類型漏洞的挖掘，共發(fā)現(xiàn)2個SQL注射類型的漏洞。漏洞一詳細情況描述如下：1. 漏洞存在的頁面如下：http:/claimds.XXXXXX.com/print/9_Tp

15、ProCheck.jsp?CASENO=zero2. 該漏洞利用工作原理介紹：在i參數(shù)提交的時候，構(gòu)造相關(guān)的SQL語句，改變數(shù)據(jù)庫查詢流程，達到獲取數(shù)據(jù)庫敏感資料。通過對分站jsp腳本的測試，我們發(fā)現(xiàn)claimds.XXXXXX.com系統(tǒng)和主站jsp 使用的是一個oracle數(shù)據(jù)庫，通過對其腳本測試我們發(fā)現(xiàn)一個注入點，該注入點可以得到數(shù)據(jù)庫的信息；另外，由于本次測試時間有限，如果測試時間足夠的話，根據(jù)我們對這個漏洞的利用，我們就可以暴庫，獲得jsp腳本后臺管理員密碼，從而進入后臺更改后臺設(shè)置，甚至上傳webshell。3.10.2 eweb編輯器漏洞挖掘（最嚴重漏洞）因為時間關(guān)系，XX公司安

16、全人員沒有選擇利用jsp腳本對oracle進行暴庫，所以我們把主要測試重心選擇asp腳本，經(jīng)過對asp腳本的測試發(fā)現(xiàn)，asp腳本目錄下有eweb網(wǎng)站編輯器。我們下載了一個eweb腳本編輯器對其代碼進行分析，發(fā)現(xiàn)eweb腳本存在注入，通過這個漏洞我們添加一個名為antiwebeditor管理員，并登陸進入后臺，具體可以參見我們的截圖： 通過對eweb編輯器的研究發(fā)現(xiàn)，可以通過其樣式管理，把FLASH類型里的swf改成.asa文件保存，就可以通過樣式管理上傳后綴名為.asa的腳本木馬了，見下圖：但是我們在上傳的過程中eweb腳本出現(xiàn)了問題，腳本有錯誤不能上傳文件，通過我們跟eweb客服了解，該問題

17、是因為服務(wù)器上裝了kaspersky殺毒軟件，kaspersky對eweb低版本的腳本程序進行查殺導(dǎo)致木馬文件不能上傳，但該漏洞問題是存在的，通過修改木馬文件后綴，可以避開kaspersky測查殺程序，并最終上傳webshell成功。見下圖：3.10.2可能的安全危害此2個漏洞可能的安全危害都為：未授權(quán)用戶可能通過該漏洞獲取數(shù)據(jù)庫敏感資料，造成敏感信息泄漏，最終獲取網(wǎng)站后臺，上傳WEBSHELL，控制網(wǎng)站。3.10.3解決方案建議針對此類型漏洞，應(yīng)盡量過慮各種輸入?yún)?shù)，如上述2個漏洞，應(yīng)對“用戶名”或“密碼”，id這三個參數(shù)進行過慮。并且由于客戶eweb編輯器文件本身存在安全漏洞，除非刪除該文

18、件，暫時沒有更好解決方案。3.11數(shù)據(jù)庫漏洞挖掘人工分析在使用MSSQL、MYSQL、Sybase和Oracle等常用數(shù)據(jù)庫的時候，只要存在SQL注射漏洞，就能夠通過這種漏洞對數(shù)據(jù)庫中的信息進行挖掘，如果數(shù)據(jù)庫服務(wù)器設(shè)置不當甚至可以導(dǎo)致數(shù)據(jù)庫服務(wù)器被入侵。3.11.1挖掘分析結(jié)果通過利用已發(fā)現(xiàn)的SQL注射漏洞對服務(wù)器后臺數(shù)據(jù)庫進行數(shù)據(jù)的挖掘，發(fā)現(xiàn)本后臺數(shù)據(jù)庫類型為Oracle數(shù)據(jù)庫。3.11.2可能的安全危害敏感數(shù)據(jù)泄漏。3.11.3解決方案建議由于數(shù)據(jù)庫挖掘使用的是SQL服務(wù)器合法的語句，所以需要根治漏洞的根源，加固所有的外部腳本，避免產(chǎn)生SQL注入漏洞。四、分析結(jié)果總結(jié)通過XX公司通過這次測試可以看出，XXXX在網(wǎng)站安全上做了很多的工作，網(wǎng)站有防注入和篡改系統(tǒng)，但是XXXX只關(guān)注了防注入，但是對于到系統(tǒng)層上的安全如apache tomcat 瀏覽任