滲透測試測試報告

文檔可自由編輯移動XXX系統(tǒng)滲透測試報告

■版本變更記錄時間版本說明修改人目錄TOC\h\z\t"附錄1（綠盟科技）,1,附錄2（綠盟科技）,2,附錄3（綠盟科技）,3,附錄4（綠盟科技）,4,標題1（綠盟科技）,1,標題2（綠盟科技）,2,標題3（綠盟科技）,3"附錄A 威脅程度分級 17附錄B 相關(guān)資料 17

摘要經(jīng)XXX的授權(quán)，XX科技滲透測試小組對XXX下屬XXX系統(tǒng)證書版進行了滲透測試。測試結(jié)果如下：嚴重問題：4個中等問題：1個輕度問題：1個安全風(fēng)險分布圖詳細內(nèi)容如下表：發(fā)現(xiàn)問題詳細內(nèi)容問題等級種類數(shù)量名稱嚴重問題4種1個登錄XXX系統(tǒng)USBKey認證可繞過漏洞1個轉(zhuǎn)賬匯款USBKey認證可繞過漏洞1個轉(zhuǎn)賬匯款數(shù)字簽名設(shè)計缺陷1個輸入驗證機制設(shè)計缺陷中等問題1種1個缺少第二信道認證輕度問題1種1個信息泄露XX科技認為被測系統(tǒng)當前安全狀態(tài)是：遠程不安全系統(tǒng)服務(wù)概述本次滲透測試工作是由XX科技的滲透測試小組獨立完成的。XX科技滲透測試小組在2010年4月xx日至2010年4月xx日對XXX的新XXX系統(tǒng)進行了遠程滲透測試工作。在此期間，XX科技滲透測試小組利用部分前沿的攻擊技術(shù)；使用成熟的黑客攻擊手段；集合軟件測試技術(shù)（標準）對指定網(wǎng)絡(luò)、系統(tǒng)做入侵攻擊測試，希望由此發(fā)現(xiàn)網(wǎng)站、應(yīng)用系統(tǒng)中存在的安全漏洞和風(fēng)險點。測試流程XX科技滲透測試服務(wù)流程定義為如下階段：信息收集：此階段中，XX科技測試人員進行必要的信息收集，如IP地址、DNS記錄、軟件版本信息、IP段、Google中的公開信息等。滲透測試：此階段中，XX科技測試人員根據(jù)第一階段獲得的信息對網(wǎng)絡(luò)、系統(tǒng)進行滲透測試。此階段如果成功的話，可能獲得普通權(quán)限。缺陷利用：此階段中，XX科技測試人員嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對系統(tǒng)的完全控制權(quán)。在時間許可的情況下，必要時從第一階段重新進行。成果收集：此階段中，XX科技測試人員對前期收集的各類弱點、漏洞等問題進行分類整理，集中展示。威脅分析：此階段中，XX科技測試人員對發(fā)現(xiàn)的上述問題進行威脅分類和分析其影響。輸出報告：此階段中，XX科技測試人員根據(jù)測試和分析的結(jié)果編寫直觀的滲透測試服務(wù)報告。信息收集缺陷信息收集缺陷利用成果收集威脅分析循環(huán)輸出報告滲透測試滲透測試流程風(fēng)險管理及規(guī)避為保障客戶系統(tǒng)在滲透測試過程中穩(wěn)定、安全的運轉(zhuǎn)，我們將提供以下多種方式來進行風(fēng)險規(guī)避。對象的選擇為更大程度的避免風(fēng)險的產(chǎn)生，滲透測試還可選擇對備份系統(tǒng)進行測試。因為備份系統(tǒng)與在線系統(tǒng)所安裝的應(yīng)用和承載的數(shù)據(jù)差異較小，而其穩(wěn)定性要求又比在線系統(tǒng)低，因此，選擇對備份系統(tǒng)進行測試也是規(guī)避風(fēng)險的一種常見方式。時間的控制從時間安排上，測試人員將將盡量避免在數(shù)據(jù)高峰時進行測試，以此來減小測試工作對被測試系統(tǒng)帶來的壓力。另外，測試人員在每次測試前也將通過電話、郵件等方式告知相關(guān)人員，以防止測試過程中出現(xiàn)意外情況。技術(shù)手段XX科技的滲透測試人員都具有豐富的經(jīng)驗和技能，在每一步測試前都會預(yù)估可能帶來的后果，對于可能產(chǎn)生影響的測試（如：溢出攻擊）將被記錄并跳過，并在隨后與客戶協(xié)商決定是否進行測試及測試方法。監(jiān)控措施針對每一系統(tǒng)進行測試前，測試人員都會告知被測試系統(tǒng)管理員，并且在測試過程中會隨時關(guān)注目標系統(tǒng)的負荷等信息，一旦出現(xiàn)任何異常，將會停止測試。工具的使用在使用工具測試的過程中，測試人員會通過設(shè)置線程、插件數(shù)量等參數(shù)來減少其對系統(tǒng)的壓力，同時還會去除任何可能對目標系統(tǒng)帶來危害的插件，如：遠程溢出攻擊類插件、拒絕服務(wù)攻擊類插件等等。測試收益通過實施滲透測試服務(wù)，可對貴方的信息化系統(tǒng)起到如下推進作用：明確安全隱患點滲透測試是一個從空間到面再到點的過程，測試人員模擬黑客的入侵，從外部整體切入最終落至某個威脅點并加以利用，最終對整個網(wǎng)絡(luò)產(chǎn)生威脅，以此明確整體系統(tǒng)中的安全隱患點。提高安全意識如上所述，任何的隱患在滲透測試服務(wù)中都可能造成“千里之堤潰于蟻穴”的效果，因此滲透測試服務(wù)可有效督促管理人員杜絕任何一處小的缺陷，從而降低整體風(fēng)險。提高安全技能在測試人員與用戶的交互過程中，可提升用戶的技能。另外，通過專業(yè)的滲透測試報告，也能為用戶提供當前流行安全問題的參考。測試目標說明測試對象測試對象名稱相關(guān)域名、對應(yīng)的URL新XXX系統(tǒng)平臺證書版登錄/IP地址：114.xx.xx.xx測試賬號測試賬號名稱相關(guān)詳細信息XXX系統(tǒng)賬號賬號所有者：XXID：95xxPIN碼：xxXXX系統(tǒng)登錄名zhdh密碼xx賬號所有者：xxID：95xxPIN碼：XXXXX系統(tǒng)登錄名xx密碼xx時間測試工作的時間段起始時間2010-4-xx結(jié)束時間2010-4-xx本份測試報告分析的各種安全風(fēng)險，僅限定于在上述時間段內(nèi)測試反饋信息的整理，不包括非上述時間段內(nèi)的因系統(tǒng)調(diào)整、維護更新后出現(xiàn)的其他變化情況。參與測試人員參測人員名單姓名所屬部門聯(lián)系方式姓名所屬部門聯(lián)系方式測試環(huán)境本次滲透測試過程中，XX科技測試小組使用過多個互聯(lián)網(wǎng)IP地址開展的分析工作，在此通知XXX新XXX系統(tǒng)相關(guān)人員在對受測試的目標站點服務(wù)器、相應(yīng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)進行安全監(jiān)控和日志分析時，排除以下IP地址產(chǎn)生的任何違規(guī)信息，以保證分析結(jié)果的準確有效。IP地址IP地址IP地址IP地址暫無暫無工具及相關(guān)資源測試工具：NetCat工具名稱NetCat工具用途端口連接，數(shù)據(jù)提交相關(guān)信息/files/nc111nt.zip測試工具：Nmap工具名稱Nmap工具用途端口掃描，服務(wù)識別，操作系統(tǒng)指紋識別相關(guān)信息/測試工具：httprint工具名稱Httprint工具用途通過遠程http指紋判斷http服務(wù)類型相關(guān)信息/httprint/測試工具：TamperIE工具名稱TamperIE工具用途HTTP數(shù)據(jù)包修改、轉(zhuǎn)發(fā)工具（Firefox插件）相關(guān)信息/TamperIE/測試工具：安全檢測工具集工具名稱XX科技整理的安全檢測工具集工具用途跨站及SQL注入測試、遠程溢出測試、暴力破解測試、嗅探分析相關(guān)信息www.xxS.com在具體的分析過程中，XX科技測試小組在微軟的Windows平臺上（涵蓋2003/Vista），使用了IE（涵蓋6.0/7.0/8.0）和Firefox瀏覽器對指定的測試對象進行的分析、校驗、測試。因此，漏洞分析檢測到的部分安全問題可能與特定的操作系統(tǒng)、軟件版本有具體關(guān)系，提醒后期實施漏洞修復(fù)工作的人員特別注意其中的差異。測試過程詳述目標信息探測域名信息滲透測試人員首先通過nslookup對主機的IP地址、NS記錄等信息的查詢，對站點進行基本的信息探測：DefaultServer:Address:xx.xx.xx.xx>//查詢ns記錄>settype=ns>Server:Address:0Non-authoritativeanswer:nameserver=>serverDefaultServer:Address:123.127.xx.xx//測試區(qū)域傳輸>settype=axfr>ls-dls:connect:Noerror***Can'tlistdomain:UnspecifiederrorTheDNSserverrefusedtotransferthezonetoyourcomputer.Ifthisisincorrect,checkthezonetransfersecuritysettingsforontheDNSserveratIPaddress123.xx.xx.xx.//查詢站點mx記錄>settype=mx>Server:Address:123.MXpreference=5,mailexchanger=nameserver=//檢查版本信息>settype=txt>setclass=chaos>version.bindServer:Address:123.xx.xx.xxversion.bindtext="Idon'tknow!!@!"version.bindnameserver=version.bind對WWW目標進行Whois的查詢，下面是獲取到的Whois信息如下：=[219.xx.xxx.xx]xxxxxxGoogleHacking搜索錯誤的文件后綴在此過程中，測試人員會對站點進行如下內(nèi)容的搜索：搜索內(nèi)容說明site:inurl:jsp.baksite:inurl:jsp.bak搜索站點中是否存在后綴為jsp.bak的文件，即，某些jsp的備份文件。site:filetype:sqlsite:filetype:sql搜索站點中是否存在SQL腳本文件site:filetype:txtsite:filetype:txt查找站點中是否有包含敏感信息的txt文件site:filetype:confsite:filetype:conf查找站點中是否有包含敏感信息的conf文件通過上述方法測試，測試人沒有在Google和Baidu等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。查找第三方組件或程序在此過程中，測試人員會對站點進行如下內(nèi)容的搜索：搜索內(nèi)容說明site:inurl:/fckeditor/site:inurl:/fckeditor/搜索站點是否使用了fckeditorsite:inurl:jsp?idinurl:ewebeditorsite:inurl:jsp?idinurl:ewebeditor搜索站點是否使用了eWebEditor通過上述方法測試，測試人沒有在Google和Baidu等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。搜索錯誤的配置在此過程中，測試人員會對站點進行如下內(nèi)容的搜索：搜索內(nèi)容說明site:intitle:”indexof/”site:intitle:”indexof/”搜索站點是否使用了列目錄功能site:intitle:"ApacheTomcat"intitle:"ErrorReport"搜索站點是否存在TOMCAT錯誤信息，通過錯誤信息可判斷TOMCAT版本site:inurl:"examples"site:inurl:"examples"搜索站點中是否存在測試代碼通過上述方法測試，測試人沒有在Google和Baidu等互聯(lián)網(wǎng)公共搜索服務(wù)商搜索出與之相關(guān)的敏感信息。對系統(tǒng)的測試端口掃描通過使用Nmap端口掃描工具對主機在Internet上的端口開放情況進行檢查：Nmap掃描結(jié)果通過Nmap掃描報告，確認主機開放兩個端口：TCP21（用于FTP服務(wù)）TCP443（用于WEB服務(wù)）通過使用nc（NetCat）對主機的TCP21進行端口連接性測試，發(fā)現(xiàn)在連接成功后較長時間內(nèi)端口無反應(yīng)：使用nc連接TCP21再次通過使用ftp客戶端對目標系統(tǒng)發(fā)起FTP連接請求，得到信息“Connectionclosedbyremotehost.”：使用ftp客戶端對目標主機進行驗證由此可確認TCP21雖開放，但應(yīng)在網(wǎng)絡(luò)層有相關(guān)的ACL限制，因此無法從Internet對其FTP服務(wù)發(fā)起連接請求。服務(wù)信息探測通過端口掃描判斷，遠程目標主機僅有TCP443端口（WEB應(yīng)用服務(wù)）可用，因此，后繼的滲透測試工作主要針對WEB應(yīng)用本身及運行于WEB應(yīng)用上的代碼展開。首先使用httprint對遠程主機的WEB應(yīng)用版本進行判斷：httprint判斷遠程WEB應(yīng)用版本根據(jù)httprint輸出無法判斷遠程主機的WEB應(yīng)用。通過nc手工提交HTTPHEAD請求，依然無法獲取到目標WEB應(yīng)用版本信息。使用nc提交HTTPHEAD請求通過nc手工提交HTTPOPTIONS請求，依然無法獲取到目標WEB應(yīng)用版本信息。使用nc提交HTTPOPTIONS請求對應(yīng)用的測試測試人員根據(jù)WASC威脅分類WASC即WebApplicationSecurityConsortium。WASC即WebApplicationSecurityConsortium。是一個由安全專家、行業(yè)顧問和諸多組織的代表組成的國際團體。他們負責為WWW制定被廣為接受的應(yīng)用安全標準。WASC組織的關(guān)鍵項目之一是“Web安全威脅分類”，也就是將Web應(yīng)用所受到的威脅、攻擊進行說明并歸納成具有共同特征的分類。認證和授權(quán)類命令執(zhí)行類暴力攻擊LDAP注入認證不充分SSI注入會話定置SQL注入會話期限不充分Xpath注入憑證/會話預(yù)測操作系統(tǒng)命令授權(quán)不充分格式字符串攻擊邏輯攻擊類緩沖區(qū)溢出功能濫用信息泄漏類拒絕服務(wù)可預(yù)測資源定位客戶端攻擊類路徑遍歷跨站點腳本編制目錄索引內(nèi)容電子欺騙信息泄露WASC威脅分類圖由于XXX系統(tǒng)區(qū)別于普通的WEB系統(tǒng)，因此，測試人員根據(jù)XXX系統(tǒng)的特點，從實際出發(fā)采用手工測試的方法，對五大類威脅中的部分內(nèi)容進行測試。認證和授權(quán)類由于XXX系統(tǒng)的特殊性賬號及密碼信息錯誤將導(dǎo)致賬號鎖定。，測試人員沒有對XXX系統(tǒng)登錄賬號進行暴力攻擊的嘗試，而是采用使用證書方式對證書的有效性進行測試。賬號及密碼信息錯誤將導(dǎo)致賬號鎖定。此次測試XX新XXX系統(tǒng)采用硬件USBKey（即XX），首先，測試人員對正常情況使用USBKey登錄XXX系統(tǒng)進行記錄和分析。使用USBKey登錄信息在沒有插入USBKey的情況下，測試人員使用其他銀行的“軟證書”通常所說的瀏覽器證書，非硬件USBKey的電子證書。進行登錄：通常所說的瀏覽器證書，非硬件USBKey的電子證書。使用其他銀行“軟證書”進行登錄通過使用TamperIE截取登錄過程提交的數(shù)據(jù)包，來對登錄信息進行替換。測試人員將使用其他銀行“軟證書”產(chǎn)生的信息替換為正常使用USBKey登錄產(chǎn)生的dn和sn信息進行欺騙。Dn和sn信息如下：Dn信息：xxSn信息：xx（威脅點）替換登錄過程的數(shù)據(jù)信息經(jīng)上述測試發(fā)現(xiàn)，XXX證書版USBKey登錄過程中，由XXX系統(tǒng)盾證書認證的相關(guān)信息SN為固定信息，任何提交者均可通過登錄認證，存在“繞過登錄XX新XXX系統(tǒng)的漏洞”（威脅點，附錄像）。同時，測試人員通過枚舉表單的方式，同樣可以獲取登錄過程中的相關(guān)認證信息，例如：dn、sn信息。采用表單枚舉的方式獲取登錄信息在轉(zhuǎn)賬匯款測試時，測試人員通過上述方法同樣可以繞過USBKey的使用，對行內(nèi)轉(zhuǎn)賬、跨行匯款進行成功操作。同時，在轉(zhuǎn)賬匯款的測試中，測試人員發(fā)現(xiàn)：轉(zhuǎn)賬匯款的最后步驟即：“確認”操作時，由客戶端向服務(wù)器端提交“簽名加密代碼”，該步驟存在設(shè)計缺陷，導(dǎo)致“簽名加密代碼”只要是正確途徑產(chǎn)生的“代碼”都可以進行成功交易，而與每次交易的信息無關(guān)。（威脅點，附錄像）測試人員第一次轉(zhuǎn)賬時使用xx的賬號**7588卡號向xx賬號的**9600卡號進行匯款，在最后確認過程中記錄“sigEncryptCode”值和“randomTokenVerifyTag”值。記錄向xx賬號匯款“確認”過程中相關(guān)信息然后，測試人員第二次轉(zhuǎn)賬時使用xx的賬號**7588卡號向xx的賬號的**2758卡號進行匯款，在最后確認過程中記錄替換“sigEncryptCode”值為向xx賬號匯款“確認”過程中記錄的“sigEncryptCode”值。測試人員發(fā)現(xiàn)交易能夠成功完成。由以上事實，測試人員分析認為存在兩種可能：第一種可能“sigEncryptCode”信息應(yīng)為每次交易相關(guān)收款賬號、金額等加密信息，若為此情況，在替換后并成功交易，測試用款應(yīng)該轉(zhuǎn)到第一次操作的xx賬號中，而目前事實是依然轉(zhuǎn)移到xx的賬號中。第二種可能是“sigEncryptCode”信息不包含每次交易的收款賬號、金額等加密信息，完全用于數(shù)字簽名。因此“sigEncryptCode”值信息在最后確認中，只要是正確途徑產(chǎn)生均可通過簽名，因此可以任意替換。命令執(zhí)行類在命令執(zhí)行類的測試中，測試人員主要測試了SQL注入攻擊。為了避免使用模糊測試給賬戶及XXX系統(tǒng)帶來不可預(yù)料的影響，測試人員采用手工測試的方法。測試人員對XX新XXX系統(tǒng)中的輸入?yún)?shù)進行了部分測試，下面以測試登錄用戶名選項為例進行說明。測試人員發(fā)現(xiàn)當前XX新新XXX系統(tǒng)大部分輸入都只是客戶端驗證而非客戶端服務(wù)端雙向驗證。（威脅點）測試人員通過本地瀏覽器截取的方式對“自定義登錄名稱”進行修改，成功將zhdh登錄名設(shè)置為下面三種情況：情況一：“zh’||’dh”、“”;--”名稱：含有SQL代碼的違規(guī)名稱；設(shè)置的“zh’||’dh”登錄名稱設(shè)置的“”;--”登錄名稱情況二：“”該處設(shè)置名稱為空字符。名稱：空字符的名稱字段長度少于要求的4字符；該處設(shè)置名稱為空字符。設(shè)置的空字符登錄名稱情況三：“abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz”名稱：52字符名稱長度大于要求的30字符。設(shè)置的52字符長登錄名稱經(jīng)上述測試，測試人員發(fā)現(xiàn)當通過違法手段繞過客戶端限制成功修改登錄名稱后，在XXX系統(tǒng)登錄時由于使用不符合要求的登錄名稱將導(dǎo)致登錄認證無法通過，造成系統(tǒng)的邏輯錯誤只能使用證件號方式登錄由于登錄認證采用雙向檢測因此服務(wù)端不接受不符合條件的登錄名稱。。由于登錄認證采用雙向檢測因此服務(wù)端不接受不符合條件的登錄名稱。當設(shè)置登錄名空字符時，登錄XXX系統(tǒng)要求輸入用戶名，致使無法登錄；當設(shè)置超長登錄名字符時，登錄XXX系統(tǒng)提示用戶名不符合要求，致使無法登錄?？蛻舳斯纛悳y試人員在測試跨站腳本時，發(fā)現(xiàn)當前XX新XXX系統(tǒng)對跨站檢測非常嚴格，導(dǎo)致在測試時測試賬號被列入黑名單，無法繼續(xù)測試。測試代碼如下："><IMGSRC=javascript:alert(1)>對跨站輸入進行強制退出測試跨站代碼被列入黑名單信息泄露類測試人員在對網(wǎng)站其他周邊信息進行檢查時發(fā)現(xiàn)，存在明顯的webserver默認頁面，該處泄露了當前服務(wù)器web信息。如下：Webserver默認頁面發(fā)現(xiàn)問題與建議發(fā)現(xiàn)的問題在本次滲透測試的新XXX系統(tǒng)中，XX科技滲透測試小組發(fā)現(xiàn)了部分嚴重等級風(fēng)險漏洞，這一級別的漏洞將深刻威脅到系統(tǒng)安全性。已發(fā)現(xiàn)的XX新XXX系統(tǒng)主要安全問題如下：XX新XXX系統(tǒng)發(fā)現(xiàn)的問題：編號發(fā)現(xiàn)問題漏洞描述威脅程度1登錄XXX系統(tǒng)USBKey認證可繞過漏洞不使用USBKey可通過截取key信息進行登錄嚴重2轉(zhuǎn)賬匯款USBKey認證可繞過漏洞不使用USBKey可通過截取key信息進行登錄嚴重3轉(zhuǎn)賬匯款數(shù)字簽名設(shè)計缺陷任意合法數(shù)字簽名信息均可完成匯款，數(shù)字簽名信息可任意替換。嚴重4輸入驗證機制設(shè)計缺陷僅由客戶端驗證用戶輸入導(dǎo)致易繞過造成SQL注入嚴重5缺少第二信道認證僅依靠USBKey進行身份識別沒有其他認證手段中等6信息泄露存在默認webserver泄露信息輕度安全建議針對上述發(fā)現(xiàn)的安全問題，XX科技建議立即采取措施進行修補，以避免發(fā)生安全問題，下面的安全建議措施可供參考：編號發(fā)現(xiàn)問題安全建議備注1登錄XXX系統(tǒng)USBKey認證可繞過漏洞更改當前USBKey實現(xiàn)機制2轉(zhuǎn)賬匯款USBKey認證可繞過漏洞更改當前USBKey實現(xiàn)機制3轉(zhuǎn)賬匯款數(shù)字簽名設(shè)計缺陷在簽名信息中加入動態(tài)信息，例如短信驗證碼、隨機驗證碼、賬號、金額等信息。4輸入驗證機制設(shè)計缺陷采用客戶端服務(wù)器端雙向驗證5缺少第二信道認證增加第二信道認證途徑，例如，手機短信驗證碼6信息泄露刪除默認webserver頁面，屏蔽默認webserver版本信息其他建議針對WEB平臺的滲透測試及定期的評估掃描等方式，均以暴露問題為目標，