人才庫(kù)系統(tǒng)安全測(cè)試報(bào)告

人才庫(kù)系統(tǒng)安全測(cè)試報(bào)告書(shū)

目錄1簡(jiǎn)介 31.1 編寫(xiě)目的 31.2 項(xiàng)目背景 31.3 系統(tǒng)簡(jiǎn)介 31.3.1建設(shè)思路 31.3.2總體建構(gòu) 42測(cè)試概要 42.1測(cè)試范圍 42.2測(cè)試方法和測(cè)試工具 52.2.1驗(yàn)證輸入安全 52.2.2訪問(wèn)控制安全 52.2.3認(rèn)證與會(huì)話管理 52.2.4緩沖區(qū)溢出 52.2.5不安全的配置管理 52.2.6注入式漏洞 62.2.7不恰當(dāng)?shù)漠惓Ｌ幚?62.2.8跨站腳本（XSS） 62.2.9測(cè)試工具介紹 62.3測(cè)試環(huán)境配置 73測(cè)試組織 73.1測(cè)試人員 73.2測(cè)試時(shí)間細(xì)分及投入人力 84測(cè)試結(jié)果和結(jié)論 84.1測(cè)試結(jié)果 84.2問(wèn)題整改 84.3測(cè)試結(jié)論 9

1簡(jiǎn)介編寫(xiě)目的本報(bào)告為中國(guó)人才信息綜合管理系統(tǒng)的安全測(cè)試報(bào)告，目的在考察系統(tǒng)安全性。項(xiàng)目背景為深入貫徹落實(shí)中央、省委、市委關(guān)于人才工作的要求和部署，以開(kāi)放視野和創(chuàng)新政策廣納天下英才，服務(wù)全面創(chuàng)新改革驅(qū)動(dòng)轉(zhuǎn)型發(fā)展。落實(shí)市“人才新政”戰(zhàn)略，做實(shí)區(qū)英才政策、中國(guó)自由貿(mào)易區(qū)高層次人才12條措施及配套政策，加快本區(qū)域人才隊(duì)伍建設(shè)，推動(dòng)區(qū)、中國(guó)自由貿(mào)易試驗(yàn)區(qū)片區(qū)、四川(長(zhǎng)江)經(jīng)濟(jì)開(kāi)發(fā)區(qū)產(chǎn)業(yè)發(fā)展，啟動(dòng)建設(shè)中國(guó)人才信息綜合管理系統(tǒng)。系統(tǒng)簡(jiǎn)介1.3.1建設(shè)思路本項(xiàng)目的總體建設(shè)思路為“一網(wǎng)、一庫(kù)、一中心、一平臺(tái)、一門(mén)戶、N應(yīng)用、M場(chǎng)景”，即一個(gè)高層次人才大數(shù)據(jù)采集網(wǎng)、一個(gè)高層次人才大數(shù)據(jù)庫(kù)、一個(gè)高層次人才大數(shù)據(jù)中心、一個(gè)高層次人才大數(shù)據(jù)平臺(tái)、N個(gè)高層次人才管理應(yīng)用、M個(gè)高層次人才大數(shù)據(jù)應(yīng)用場(chǎng)景。1.3.2總體建構(gòu)2測(cè)試概要2.1測(cè)試范圍本文報(bào)告了本次測(cè)試的匯總數(shù)據(jù)，測(cè)試評(píng)價(jià)及測(cè)試結(jié)論。2.2測(cè)試方法和測(cè)試工具中國(guó)人才信息綜合管理系統(tǒng)主要使用了輸入安全、訪問(wèn)控制安全、認(rèn)證與會(huì)話管理、緩沖區(qū)溢出、拒絕服務(wù)、不安全的配置管理、注入式漏洞等安全測(cè)試方案。針對(duì)以上提供的測(cè)試方案進(jìn)行對(duì)應(yīng)的測(cè)試用例和測(cè)試腳本編寫(xiě)，并使用Websecurify作為測(cè)試工具。2.2.1驗(yàn)證輸入安全中國(guó)人才信息綜合管理系統(tǒng)主要對(duì)沒(méi)有被驗(yàn)證的輸入進(jìn)行如下測(cè)試：數(shù)據(jù)類型（字符串，整型，實(shí)數(shù)，等）、允許的字符集、最小和最大的長(zhǎng)度、是否允許空輸入、參數(shù)是否是必須的、重復(fù)是否允許、數(shù)值范圍、特定的值（枚舉型）、特定的模式（正則表達(dá)式）。2.2.2訪問(wèn)控制安全驗(yàn)證用戶身份以及權(quán)限的頁(yè)面，復(fù)制該頁(yè)面的url地址，關(guān)閉該頁(yè)面以后，查看是否可以直接進(jìn)入該復(fù)制好的地址例：從一個(gè)頁(yè)面鏈到另一個(gè)頁(yè)面的間隙可以看到URL地址直接輸入該地址，可以看到自己沒(méi)有權(quán)限的頁(yè)面信息。2.2.3認(rèn)證與會(huì)話管理測(cè)試是否對(duì)Grid、Label、Treeview類的輸入框進(jìn)行驗(yàn)證，輸入的內(nèi)容是否會(huì)按照html語(yǔ)法解析出來(lái)。2.2.4緩沖區(qū)溢出測(cè)試系統(tǒng)是否有加密關(guān)鍵數(shù)據(jù)。例：view－source：http地址可以查看源代碼，在頁(yè)面輸入密碼，頁(yè)面顯示的是*****,點(diǎn)擊鼠標(biāo)右鍵，查看源文件就可以看見(jiàn)剛才輸入的密碼。2.2.5不安全的配置管理測(cè)試Config配置中的鏈接字符串以及用戶信息，郵件，數(shù)據(jù)存儲(chǔ)信息是否進(jìn)行加密保護(hù)，程序員應(yīng)該配置所有的安全機(jī)制，關(guān)掉所有不使用的服務(wù)，設(shè)置角色權(quán)限帳號(hào)，使用日志和警報(bào)。2.2.6注入式漏洞一個(gè)驗(yàn)證用戶登陸的頁(yè)面，如果使用的sql語(yǔ)句為：Select*fromtableAwhereusername＝’’+username+’’andpassword…..Sql輸入‘or1＝1――就可以不輸入任何password進(jìn)行攻擊或者是半角狀態(tài)下的用戶名與密碼均為：‘or’‘=’。2.2.7不恰當(dāng)?shù)漠惓Ｌ幚頊y(cè)試程序在拋出異常的時(shí)候給出了比較詳細(xì)的內(nèi)部錯(cuò)誤信息，是否暴露了不應(yīng)該顯示的執(zhí)行細(xì)節(jié)，網(wǎng)站是否存在潛在漏洞。2.2.8跨站腳本（XSS）攻擊者使用跨站腳本來(lái)發(fā)送惡意代碼給沒(méi)有發(fā)覺(jué)的用戶，竊取他機(jī)器上的任意資料。測(cè)試方法：●HTML標(biāo)簽：<…>…</…>●轉(zhuǎn)義字符：&(&)；<(<)；>(>)；(空格)；●腳本語(yǔ)言：<script.language=‘javascript’>…Alert(‘’)</script>●特殊字符：‘’<>/●最小和最大的長(zhǎng)度●是否允許空輸入2.2.9測(cè)試工具介紹工具名稱用途W(wǎng)ebsecurifyScanner用于測(cè)試系統(tǒng)安全漏洞Nmap用于進(jìn)行端口掃描BurpSuite用于進(jìn)行網(wǎng)絡(luò)漏洞掃描2.3測(cè)試環(huán)境配置在此次項(xiàng)目的測(cè)試中，所使用到的環(huán)境和配置見(jiàn)下表：硬件環(huán)境序號(hào)服務(wù)器廠商/型號(hào)配置/數(shù)量操作系統(tǒng)1Web服務(wù)器Dell/r730內(nèi)存：16G；磁盤(pán)：100G；cpu：1顆Centos6.52數(shù)據(jù)庫(kù)服務(wù)器Dell/r730內(nèi)存：16G；磁盤(pán)：500G；cpu：1顆Centos6.5軟件環(huán)境序號(hào)系統(tǒng)軟件廠商版本1TomcatApache7.0.682Mysql

Oracle5.63測(cè)試組織3.1測(cè)試人員序號(hào)姓名角色職責(zé)1測(cè)試組長(zhǎng)負(fù)責(zé)安排測(cè)試任務(wù)2測(cè)試員負(fù)責(zé)具體系統(tǒng)模塊安全測(cè)試3測(cè)試員負(fù)責(zé)具體系統(tǒng)模塊安全測(cè)試3.2測(cè)試時(shí)間細(xì)分及投入人力以下為測(cè)試過(guò)程中多個(gè)測(cè)試輪次的時(shí)間和人員安排以及工作內(nèi)容的簡(jiǎn)單描述：子系統(tǒng)/子模塊起止日期總天數(shù)測(cè)試人員系統(tǒng)登錄2019.3.12-2109.3.121人才認(rèn)定2019.3.12-2109.3.165人才招引2019.3.13-2109.3.153人才服務(wù)2019.3.16-2109.3.194人才管理2019.3.15-2109.3.1844測(cè)試結(jié)果和結(jié)論4.1測(cè)試結(jié)果測(cè)試過(guò)程共發(fā)現(xiàn)問(wèn)題：38個(gè)。共解決問(wèn)題：38個(gè)。未解決問(wèn)題：0個(gè)。4.2問(wèn)題整改4.2.1XSS攻擊漏洞修復(fù)漏洞發(fā)現(xiàn)：本次頁(yè)面在用戶文檔管理、新聞管理等發(fā)現(xiàn)18個(gè)漏洞漏洞修復(fù)：修復(fù)涉及后臺(tái)java代碼，對(duì)所有需要寫(xiě)入數(shù)據(jù)庫(kù)接口參數(shù)，進(jìn)行特殊字符轉(zhuǎn)義處理，比如將<轉(zhuǎn)義為>，>轉(zhuǎn)義為<防止前端頁(yè)面讀取到特殊字符后執(zhí)行script腳本。4.2.2SQL注入漏洞修復(fù)漏洞發(fā)現(xiàn)：本次后臺(tái)發(fā)現(xiàn)15處sql注入漏洞。漏洞修復(fù)：修復(fù)涉及后臺(tái)java代碼以及sql語(yǔ)句。1：對(duì)所有前臺(tái)JavaScript傳入的sql查詢參數(shù)，統(tǒng)一攔截并將多余空格刪除。2：對(duì)參數(shù)中的特殊字符進(jìn)行轉(zhuǎn)義處理。3：對(duì)mybatis查詢框架全部啟動(dòng)預(yù)編譯功能，使用#{}傳參方法代替${}傳參方式。4.2.3用戶敏感數(shù)據(jù)未加密傳輸漏洞修復(fù)漏洞發(fā)現(xiàn)：本次發(fā)現(xiàn)用戶敏感數(shù)據(jù)未加密傳輸共計(jì)5個(gè)，涵蓋用戶注冊(cè)、企業(yè)用戶注冊(cè)、用戶登錄、企業(yè)用戶登錄、用戶密碼修改。漏洞修復(fù)：漏洞修改涉及前端javascript代碼及后臺(tái)java代碼，將原有的明文提交方式修改為分段加密提交方式。1：前端頁(yè)面向服務(wù)器申請(qǐng)RSA非對(duì)稱加密公鑰:2：服務(wù)器隨機(jī)生成一對(duì)非對(duì)稱RSA公鑰和私鑰，并將公鑰返回前端頁(yè)面3：前端頁(yè)面使用獲取的動(dòng)態(tài)RSA加密公鑰對(duì)用戶賬號(hào)、登錄密碼等敏感信息進(jìn)行加密。4：前端頁(yè)面對(duì)公鑰進(jìn)行MD5加密后獲取公鑰的指紋碼信息。4：前端頁(yè)面向后端服務(wù)器提交指紋碼和加密信息。5：服務(wù)器對(duì)密文進(jìn)行解密后進(jìn)行業(yè)務(wù)邏輯處理。6：服務(wù)器解密完成之后立即銷毀公鑰與私鑰，防止其他網(wǎng)絡(luò)用戶使用相同的公鑰進(jìn)行攻擊。4.2.4MySql登錄口令安全策略根據(jù)客戶要求取消MySql登錄口令復(fù)雜密碼設(shè)置。系統(tǒng)原設(shè)置用戶密碼長(zhǎng)度必須超過(guò)6位，內(nèi)容必須包含數(shù)字、大小寫(xiě)字母和特殊符號(hào)，現(xiàn)因客戶要求對(duì)前臺(tái)注冊(cè)密碼不做限