版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
網(wǎng)站滲透測試報告XXX公司2024年3月
文檔控制文檔基本信息項目名稱文檔名稱創(chuàng)建者審核創(chuàng)建時間2024年X月XX日審核時間2024年X月XX日文檔修訂信息版本修正章節(jié)日期作者變更記錄1.0全部創(chuàng)建1.1部分增加
目錄TOC\o"1-3"\h\u目錄 3一. 概述 51.1 背景 51.2 范圍 51.3 原則 51.4 目的 51.5 所用工具 6二. 測試概述 8三. 滲透測試結(jié)果 93.1HTTP慢速拒絕服務(wù)攻擊 91) 漏洞簡介 92) URL/IP 93) 漏洞驗證 94) 風險分析 105) 風險等級 106) 安全建議 103.2XSS 131) 漏洞簡介 132) URL/IP 143) 漏洞驗證 144) 風險分析 145) 風險等級 146) 安全建議 153.3受誡禮(BAR-MITZVAH)攻擊 161) 漏洞簡介 162) URL/IP 163) 漏洞驗證 164) 風險分析 175) 風險等級 176) 安全建議 173.4目錄便利 171) 漏洞簡介 172) URL/IP 183) 漏洞驗證 184) 風險分析 185) 風險等級 186) 安全建議 183.5內(nèi)網(wǎng)IP地址泄露 191) 漏洞簡介 192) URL/IP 193) 漏洞驗證 194) 風險分析 205) 風險等級 206) 安全建議 20四. 整體風險評價 20
概述背景受XX的委托,XX公司于2024年X月XX日對其門戶網(wǎng)站進行了滲透測試。范圍經(jīng)過和項目組的溝通,確定了下列信息資產(chǎn)作為滲透測試的對象。對象名稱域名或IPXXXhttp://1http://2http://3原則3滲透測試具有一定的風險,為把風險降至最低,需遵守一定原則,這也是本次測試中測試組所遵守的最高準則,一切測試行為都是在不違背此原則的情況下進行的。該原則具體如下:保證測試操作在不影響目標業(yè)務(wù)正常運營的情況下進行,對目標(包括目標配置信息、數(shù)據(jù)庫信息、文件信息等)只進行讀取操作,禁止進行寫入操作,或者只在負責人允許的范圍內(nèi)進行寫入操作。但由于本次測試是在黑盒模式下進行,程序邏輯對于測試人員不透明,因此,測試人員只在已知的邏輯范圍內(nèi)遵守以上原則,同時也承認風險的存在。目的通過模擬黑客的滲透測試,評估目標系統(tǒng)是否存在可以被攻擊者真實利用的漏洞以及由此引起的風險大小,為制定相應(yīng)的安全措施與解決方案提供實際的依據(jù)。本次滲透測試驗證目標系統(tǒng)抵御非法入侵和攻擊行為的能力,并非完整的安全測試或漏洞審計。因此,本次測試所涉及的漏洞是網(wǎng)站所有漏洞的子集,而非全部。所用工具工具名稱工具簡介IBMAppScan是一個面向Web應(yīng)用安全檢測的自動化工具,使用它可以自動化檢測Web應(yīng)用的安全漏洞,比如跨站點腳本攻擊(CrossSiteScriptingFlaws)、注入式攻擊(InjectionFlaws)、失效的訪問控制(BrokenAccessControl)、緩存溢出問題(BufferOverflows)等等。這些安全漏洞大多包括在OWASP(OpenWebApplicationSecurityProject,開放式Web應(yīng)用程序安全項目)所公布的Web應(yīng)用安全漏洞中。WWWSCAN一款優(yōu)秀的網(wǎng)站目錄掃描工具。雖然掃描速度并不快,但是運行相當穩(wěn)定。配合滲透測試團隊多年積累的數(shù)據(jù)字典,挖掘隱藏目錄的能力非常強大。NosecPangolin諾賽科技出品的一款強大的SQL注入工具,支持多種網(wǎng)站環(huán)境。另外附帶了MD5破解,網(wǎng)站后臺掃描功能。Nessus一款B/S構(gòu)架的系統(tǒng)漏洞掃描工具,它的運行依賴于插件,掃描速度快,更新及時。NSFOCUSRSAS綠盟遠程安全評估系統(tǒng)(簡稱:NSFOCUSRSAS)是綠盟科技開發(fā)的漏洞管理產(chǎn)品,通過該產(chǎn)品能夠發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞,檢查系統(tǒng)存在的弱口令,收集系統(tǒng)不必要開放的賬號、服務(wù)、端口,并形成整體安全風險報告。AWVSAcunetixWebVulnerabilityScanner(簡稱AWVS)是一款知名的網(wǎng)絡(luò)漏洞掃描工具,它通過網(wǎng)絡(luò)爬蟲測試你的網(wǎng)站安全,檢測流行安全漏洞。Jsky提供網(wǎng)站漏洞掃描服務(wù),能夠有效的查找出網(wǎng)站中的漏洞;并提供網(wǎng)站漏洞檢測服務(wù)。Sqlmap一款高級滲透測試用的自動化SQL注入工具,其主要功能是掃描,發(fā)現(xiàn)并利用給定的URL進行SQL注入漏洞。Burpsuite是用于攻擊WEB應(yīng)用程序的繼承平臺,它包含了許多工具,并為這些工具設(shè)計了許多接口,以促進加快攻擊應(yīng)用程序的過程。MetasploitMetasploit是一款開源的安全漏洞檢測工具,可以幫助安全和IT專業(yè)人士識別安全性問題,驗證漏洞的緩解措施,并管理專家驅(qū)動的安全性進行評估,提供真正的安全風險情報。這些功能包括智能開發(fā),代碼審計,Web應(yīng)用程序掃描,社會工程。團隊合作,在Metasploit和綜合報告提出了他們的發(fā)現(xiàn)
測試概述本次針對XXX進行的滲透測試工作共發(fā)現(xiàn)存在安全漏洞6個,其中高風險漏洞3個,中風險漏洞1個,低風險漏洞2個。建議根據(jù)本次測試結(jié)果中的安全建議進行整改加固,以提高網(wǎng)絡(luò)的整體安全性。序號應(yīng)用漏洞名稱風險分析數(shù)量級別1XXXHTTP慢速拒絕服務(wù)攻擊堵塞web服務(wù),讓所有瀏覽該網(wǎng)站的人無法正常訪問該網(wǎng)站,影響請求當前應(yīng)用服務(wù)的所有用戶已經(jīng)當前應(yīng)用服務(wù)本身。1高2XSS影響目標網(wǎng)站用戶,易造成賬戶失竊;數(shù)據(jù)信息被讀取、篡改、添加或者刪除;非法轉(zhuǎn)賬;強制發(fā)送電子郵件;受控向其他網(wǎng)站發(fā)起攻擊等。1高3受誡禮(BAR-MITZVAH)攻擊明文竊取通過SSL和TLS協(xié)議傳輸?shù)臋C密數(shù)據(jù),諸如銀行卡號碼,密碼和其他敏感信息。1高4目錄便利攻擊者可以直接訪問網(wǎng)站的目錄,從而可以了解網(wǎng)站整體框架,降低攻擊成本。1中5內(nèi)網(wǎng)IP地址泄露使得攻擊者能夠進一步的內(nèi)網(wǎng)業(yè)務(wù)及應(yīng)用,從而降低攻擊成本。2低
滲透測試結(jié)果3.1HTTP慢速拒絕服務(wù)攻擊漏洞簡介拒絕服務(wù)攻擊即攻擊者想辦法讓目標機器停止提供服務(wù),是黑客常用的攻擊手段之一。其實對網(wǎng)絡(luò)帶寬進行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分,只要能夠?qū)δ繕嗽斐陕闊?,使某些服?wù)被暫停甚至主機死機,都屬于拒絕服務(wù)攻擊。拒絕服務(wù)攻擊問題也一直得不到合理的解決,究其原因是因為網(wǎng)絡(luò)協(xié)議本身的安全缺陷,從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務(wù)攻擊,實際上讓服務(wù)器實現(xiàn)兩種效果:一是迫使服務(wù)器的緩沖區(qū)滿,不接收新的請求;二是使用IP欺騙,迫使服務(wù)器把非法用戶的連接復(fù)位,影響合法用戶的連接。URL/IPhttp://漏洞驗證圖1漏洞證明截圖圖2漏洞證明截圖風險分析堵塞web服務(wù),讓所有瀏覽該網(wǎng)站的人無法正常訪問該網(wǎng)站,影響請求當前應(yīng)用服務(wù)的所有用戶已經(jīng)當前應(yīng)用服務(wù)本身。嚴重情況可導(dǎo)致服務(wù)器宕機。風險等級高安全建議購買必要的防ddos攻擊硬件設(shè)備針對不同的Server其對慢速http拒絕服務(wù)攻擊防范方法也不同,建議使用以下措施防范慢速http拒絕服務(wù)攻擊:WebSphere========1、限制HTTP數(shù)據(jù)的大小在WebSphereApplicationServer中進行如下設(shè)置:任何單個HTTP頭的默認最大大小為32768字節(jié)??梢詫⑺O(shè)置為不同的值。HTTP頭的默認最大數(shù)量為50??梢詫⑺O(shè)置為不同的限制值。另一種常見的DOS攻擊是發(fā)送一個請求,這個請求會導(dǎo)致一個長期運行的GET請求。WebSphereApplicationServerPlug-in中的ServerIOTimeoutRetry屬性可限制任何請求的重試數(shù)量。這可以降低這種長期運行的請求的影響。設(shè)置限制任何請求正文的最大大小。詳見參考鏈接。2、設(shè)置keepalive參數(shù)打開ibmhttpserver安裝目錄,打開文件夾conf,打開文件httpd.conf,查找KeepAlive值,改ON為OFF,其默認為ON。這個值說明是否保持客戶與HTTPSERVER的連接,如果設(shè)置為ON,則請求數(shù)到達MaxKeepAliveRequests設(shè)定值時請求將排隊,導(dǎo)致響應(yīng)變慢。Weblogic============1、在配置管理界面中的協(xié)議->一般信息下設(shè)置完成消息超時時間小于4002、在配置管理界面中的協(xié)議->HTTP下設(shè)置POST超時、持續(xù)時間、最大POST大小為安全值范圍。Nginx============1、通過調(diào)整$request_method,配置服務(wù)器接受http包的操作限制;2、在保證業(yè)務(wù)不受影響的前提下,調(diào)整client_max_body_size,client_body_buffer_size,client_header_buffer_size,large_client_header_buffersclient_body_timeout,client_header_timeout的值,必要時可以適當?shù)脑黾樱?、對于會話或者相同的ip地址,可以使用HttpLimitReqModuleandHttpLimitZoneModule參數(shù)去限制請求量或者并發(fā)連接數(shù);4、根據(jù)CPU和負載的大小,來配置worker_processes和worker_connections的值,公式是:max_clients=worker_processes*worker_connections。Apache============建議使用mod_reqtimeout和mod_qos兩個模塊相互配合來防護。1、mod_reqtimeout用于控制每個連接上請求發(fā)送的速率。配置例如:#請求頭部分,設(shè)置超時時間初始為10秒,并在收到客戶端發(fā)送的數(shù)據(jù)后,每接收到500字節(jié)數(shù)據(jù)就將超時時間延長1秒,但最長不超過40秒??梢苑雷oslowloris型的慢速攻擊。RequestReadTimeoutheader=10-40,minrate=500#請求正文部分,設(shè)置超時時間初始為10秒,并在收到客戶端發(fā)送的數(shù)據(jù)后,每接收到500字節(jié)數(shù)據(jù)就將超時時間延長1秒,但最長不超過40秒。可以防護slowmessagebody型的慢速攻擊。RequestReadTimeoutbody=10-40,minrate=500需注意,對于HTTPS站點,需要把初始超時時間上調(diào),比如調(diào)整到20秒。2、mod_qos用于控制并發(fā)連接數(shù)。配置例如:#當服務(wù)器并發(fā)連接數(shù)超過600時,關(guān)閉keepaliveQS_SrvMaxConnClose600#限制每個源IP最大并發(fā)連接數(shù)為50QS_SrvMaxConnPerIP50這兩個數(shù)值可以根據(jù)服務(wù)器的性能調(diào)整。IHS服務(wù)器============請您先安裝最新補丁包,然后啟用mod_reqtimeout模塊,在配置文件中加入:LoadModulereqtimeout_modulemodules/mod_reqtimeout.so為mod_reqtimeout模塊添加配置:<IfModulemod_reqtimeout.c>RequestReadTimeoutheader=10-40,MinRate=500body=10-40,MinRate=500</IfModule>對于HTTPS站點,建議header=20-40,MinRate=500。參見:/support/docview.wss?uid=swg21652165F5負載均衡修復(fù)建議============F5負載均衡設(shè)備有相應(yīng)的防護模塊,如無購買可參考附件中的詳細配置過程。關(guān)于F5的慢速攻擊防護配置,請參考以下鏈接:/kb/en-us/solutions/public/10000/200/sol10260.html/articles/mitigating-slow-http-post-ddos-attacks-with-irules-ndash-follow-up3.2XSS漏洞簡介跨站腳本(cross-sitescripting,XSS)是一種安全攻擊,其中,攻擊者在看上去來源可靠的鏈接中惡意嵌入譯碼。當有人點擊鏈接,嵌入程序作為客戶網(wǎng)絡(luò)要求的一部分提交并且會在用戶電腦上執(zhí)行,一般來說會被攻擊者盜取信息。動態(tài)回復(fù)包括用戶輸入數(shù)據(jù)在內(nèi)的錯誤信息這種網(wǎng)絡(luò)形式使得攻擊者可能改變控制結(jié)構(gòu)和/或頁面的行為。攻擊者用多種方式進行攻擊,如通過在論壇信息或垃圾郵件信息鏈接中嵌入密碼。攻擊者可能用電郵詐騙假裝可信來源。URL/IPhttp://2漏洞驗證圖3漏洞證明截圖風險分析為了搜集用戶信息,攻擊者通常會在有漏洞的程序中插入JavaScript、VBScript、ActiveX或Flash以欺騙用戶(詳見下文)。一旦得手,他們可以盜取用戶帳戶,修改用戶設(shè)置,盜取/污染cookie,做虛假廣告等。每天都有大量的XSS攻擊的惡意代碼出現(xiàn)。三部曲1.HTML注入。所有HTML注入范例只是注入一個JavaScript彈出式的警告框:alert(1)。2.做壞事。如果您覺得警告框還不夠刺激,當受害者點擊了一個被注入了HTML代碼的頁面鏈接時攻擊者能作的各種的惡意事情。3.誘捕受害者。風險等級高安全建議來自應(yīng)用安全國際組織OWASP的建議,對XSS最佳的防護應(yīng)該結(jié)合以下兩種方法:驗證所有輸入數(shù)據(jù),有效檢測攻擊;對所有輸出數(shù)據(jù)進行適當?shù)木幋a,以防止任何已成功注入的腳本在瀏覽器端運行。具體如下:輸入驗證:某個數(shù)據(jù)被接受為可被顯示或存儲之前,使用標準輸入驗證機制,驗證所有輸入數(shù)據(jù)的長度、類型、語法以及業(yè)務(wù)規(guī)則。輸出編碼:數(shù)據(jù)輸出前,確保用戶提交的數(shù)據(jù)已被正確進行entity編碼,建議對所有字符進行編碼而不僅局限于某個子集。明確指定輸出的編碼方式:不要允許攻擊者為你的用戶選擇編碼方式(如ISO8859-1或UTF8)。注意黑名單驗證方式的局限性:僅僅查找或替換一些字符(如"<"">"或類似"script"的關(guān)鍵字),很容易被XSS變種攻擊繞過驗證機制。警惕規(guī)范化錯誤:驗證輸入之前,必須進行解碼及規(guī)范化以符合應(yīng)用程序當前的內(nèi)部表示方法。請確定應(yīng)用程序?qū)ν惠斎氩蛔鰞纱谓獯a。建議過濾出所有以下字符:[1]|(豎線符號)[2]&(&符號)[3];(分號)[4]$(美元符號)[5]%(百分比符號)[6]@(at符號)[7]'(單引號)[8]"(引號)[9]\'(反斜杠轉(zhuǎn)義單引號)[10]\"(反斜杠轉(zhuǎn)義引號)[11]<>(尖括號)[12]()(括號)[13]+(加號)[14]CR(回車符,ASCII0x0d)[15]LF(換行,ASCII0x0a)[16],(逗號)[17]\(反斜杠)3.3受誡禮(BAR-MITZVAH)攻擊漏洞簡介BarMitzvah攻擊實際上是利用了"不變性漏洞",這是RC4算法中的一個缺陷,它能夠在某些情況下泄露SSL/TLS加密流量中的密文,從而將賬戶用戶名密碼,信用卡數(shù)據(jù)和其他敏感信息泄露給黑客。URL/IPhttp://3漏洞驗證圖4漏洞證明截圖(綠色的代表安全、黃色的代表警告、紅色的代表危險)圖5漏洞證明截圖風險分析作為瀏覽器的使用者,你可以讓瀏覽器只能訪問支持TLS1.2協(xié)議的站點,以獲得更好的安全性,以及更差的體驗。作為服務(wù)器的維護者,似乎將最強壯的Cipher排在前面是正確的選擇。SSL證書部署成功后,檢查服務(wù)器端的加密套件,在安全檢查中,常常被報出的問題之一就是服務(wù)器默認的Cipher太弱(RC4-based)。風險等級高安全建議更換加密算法,不推薦使用RC4加密算法(2015年就已經(jīng)被成功破解)。3.4目錄便利漏洞簡介目錄遍歷漏洞就是程序在實現(xiàn)上沒有充分過濾用戶輸入的../之類的目錄跳轉(zhuǎn)符,導(dǎo)致惡意用戶可以通過提交目錄跳轉(zhuǎn)來遍歷服務(wù)器上的任意文件。這里的目錄跳轉(zhuǎn)符可以是../,也可以是../的ASCII編碼或者unicode編碼等。URL/IPhttp://4漏洞驗證圖6漏洞證明截圖風險分析攻擊者可以直接訪問網(wǎng)站的目錄,從而可以了解網(wǎng)站整體框架,降低攻擊成本。嚴重的目錄便利漏洞甚至可以跨目錄訪問數(shù)據(jù)庫文件直接下載數(shù)據(jù)庫,可以得到管理員的賬戶密碼和各種各樣的敏感信息。甚至還能訪問到cmd目錄下進行命令執(zhí)行,對服務(wù)器造成嚴重的危害。風險等級中安全建議防范目錄遍歷攻擊漏洞,最有效的辦法就是權(quán)限控制,謹慎處理傳向文件系統(tǒng)API的參數(shù)。最好的防范方法就是組合使用下面兩條:1、凈化數(shù)據(jù):對用戶傳過來的文件名參數(shù)進行硬編碼或統(tǒng)一編碼,對文件類型進行白名單控制,對包含惡意字符或者空字符的參數(shù)進行拒絕。2、web應(yīng)用程序可以使用chrooted環(huán)境包含被訪問的web目錄,或者使用絕對路徑+參數(shù)來訪問文件目錄,時使其即使越權(quán)也在訪問目錄之內(nèi)。www目錄就是一個chroot應(yīng)用。3.5內(nèi)網(wǎng)IP地址泄露漏洞簡介內(nèi)網(wǎng)IP地址泄露即在外網(wǎng)的已經(jīng)上線的相關(guān)應(yīng)用上泄露了內(nèi)網(wǎng)的相關(guān)應(yīng)用的IP地址。URL/IPhttp://5http://6漏洞驗證圖7漏洞證明截圖風險分析如果可以依據(jù)時間找到其他漏洞配合(如csrf、ssrf),在已經(jīng)了解當前網(wǎng)段的情況下,可以根據(jù)網(wǎng)段內(nèi)容發(fā)送郵件給內(nèi)部人員點擊或直接到達單位內(nèi)網(wǎng)里面連接到內(nèi)網(wǎng)訪問內(nèi)網(wǎng)里面的業(yè)務(wù)有可能拿到內(nèi)網(wǎng)的數(shù)據(jù)等風險。風險等級低安全建議不要把在外網(wǎng)業(yè)務(wù)上的鏈接寫成鏈接到內(nèi)網(wǎng)業(yè)務(wù)上去的地址。整體風險評價從理論上講,只要攻擊者投入足夠多的甚至無限多的成本,他一定能突破防御體系,獲得成功。但實際上,當攻擊者所投入的成本因為強壯的防御體系而不斷增加,直到與入侵成功后所獲得的利益相等后,他便會對目標失去興趣,從而放棄入侵。該原則是我們下面計算防御值和防御等級的一個重要依據(jù)。滲透測試是安全專業(yè)人員模擬黑客入侵,對待測系統(tǒng)或網(wǎng)站進行的較安全的滲透性測試。旨在檢測待測系統(tǒng)或網(wǎng)站應(yīng)對通常意義的黑客入侵的防御能力,最終評定其防御級別,以下過程闡述了防御等級的鑒定算法(本次評價結(jié)果依據(jù)公司自有評價方法,整體風險評價結(jié)果僅供參
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 會計數(shù)據(jù)分析 Solutions-Manual Chapter-5-Labs-SM
- 跨境電商平臺戰(zhàn)略規(guī)劃與實施指南
- 后浪研究所:2024年輕人下館子報告
- 2024屆陜西省渭南區(qū)解放路中學(xué)高中畢業(yè)班教學(xué)質(zhì)量檢查數(shù)學(xué)試題
- DB11-T 2098-2023 城市軌道交通工程施工安全檢查與評價規(guī)范
- 邊城步行街廣告推廣策略
- 蘇少版小學(xué)二年級下冊美術(shù)動物朋友教案教學(xué)設(shè)計
- 地鐵站點土方清運合作協(xié)議
- 主題公園垃圾清運服務(wù)
- 農(nóng)貿(mào)市場蔬菜銷售居間合同
- 服裝企業(yè)組織架構(gòu)
- 五年級上冊 語文課件-12《 古詩三首 示兒》 (共29張PPT) 人教部編版
- LED燈具使用說明書參考模板范本
- 中國災(zāi)備行業(yè)發(fā)展技術(shù)白皮書
- 3、預(yù)制疊合板與鋁合金模板協(xié)同施工工法
- 醫(yī)療護理-血液病理醫(yī)療研究PPT模板
- 《北京市房屋重置成新價評估技術(shù)標準》(808號文)
- A股全部上市公司統(tǒng)計
- 飲食輔助器具的應(yīng)用
- 加與減(單元練習(xí))-三年級上冊數(shù)學(xué)北師大版
- 國四部分重型柴油車排氣后處理系統(tǒng)型號
評論
0/150
提交評論