版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
____________________________電子信息學(xué)院滲透測試課程實(shí)驗(yàn)報(bào)告____________________________實(shí)驗(yàn)名稱:________________________實(shí)驗(yàn)時(shí)間:________________________學(xué)生姓名:________________________學(xué)生學(xué)號:________________________目錄第1章概述1.1.測試目的通過實(shí)施針對性的滲透測試,發(fā)現(xiàn)XXXX網(wǎng)站系統(tǒng)的安全漏洞,保障XXX業(yè)務(wù)系統(tǒng)安全運(yùn)行。1.2.測試范圍根據(jù)事先交流,本次測試的范圍詳細(xì)如下:系統(tǒng)名稱XXX網(wǎng)站測試域名www.XX.測試時(shí)間2014年10月16日-2014年10月17日說明本次滲透測試過程中使用的源IP可能為:合肥1.3.數(shù)據(jù)來源 通過漏洞掃描和手動(dòng)分析獲取相關(guān)數(shù)據(jù)。第2章詳細(xì)測試結(jié)果2.1.測試工具 根據(jù)測試的范圍,本次滲透測試可能用到的相關(guān)工具列表如下:檢測工具用途和說明WVSWVS(WebVulnerabilityScanner)是一個(gè)自動(dòng)化的Web應(yīng)用程序安全測試工具,它可以通過檢查SQL注入攻擊漏洞、跨站腳本攻擊漏洞等來審核Web應(yīng)用程序。NmapLinux,FreeBSD,UNIX,Windows下的網(wǎng)絡(luò)掃描和嗅探工具包。Burpsuite網(wǎng)絡(luò)抓包工具,對網(wǎng)絡(luò)的數(shù)據(jù)包傳輸進(jìn)行抓取。瀏覽器插件對工具掃描結(jié)果進(jìn)行人工檢測,來判定問題是否真實(shí)存在,具體方法依據(jù)實(shí)際情況而定。其他系統(tǒng)本身具備的相關(guān)命令,或者根據(jù)實(shí)際情況采用的其他工具。2.2.測試步驟預(yù)掃描通過端口掃描或主機(jī)查看,確定主機(jī)所開放的服務(wù)。來檢查是否有非正常的服務(wù)程序在運(yùn)行。工具掃描 主要通過Nessus進(jìn)行主機(jī)掃描,通過WVS進(jìn)行WEB掃描。通過Nmap進(jìn)行端口掃描,得出掃描結(jié)果。三個(gè)結(jié)果進(jìn)行對比分析。人工檢測 對以上掃描結(jié)果進(jìn)行手動(dòng)驗(yàn)證,判斷掃描結(jié)果中的問題是否真實(shí)存在。其他 根據(jù)現(xiàn)場具體情況,通過雙方確認(rèn)后采取相應(yīng)的解決方式。2.3.測試結(jié)果 本次滲透測試共發(fā)現(xiàn)2個(gè)類型的高風(fēng)險(xiǎn)漏洞,1個(gè)類型的低風(fēng)險(xiǎn)漏洞。這些漏洞可以直接登陸web管理后臺(tái)管理員權(quán)限,同時(shí)可能引起內(nèi)網(wǎng)滲透。獲取到的權(quán)限如下圖所示:可以獲取web管理后臺(tái)管理員權(quán)限,如下步驟所示:通過SQL盲注漏洞獲取管理員用戶名和密碼hash值,并通過暴力破解工具破解得到root用戶的密碼“mylove1993.” 利用工具掃描得到管理后臺(tái)url,使用root/mylove1993.登陸后臺(tái)如圖:2.3.1.跨站腳本漏洞風(fēng)險(xiǎn)等級:高漏洞描述:攻擊者可通過該漏洞構(gòu)造特定帶有惡意Javascript代碼的URL并誘使瀏覽者點(diǎn)擊,導(dǎo)致瀏覽者執(zhí)行惡意代碼。漏洞位置:XXX./red/latest_news.phpkd=&page=324變量:pageXXX.:80/red/latest_news.php變量:kdXXX.:80/red/search.php變量:kdXXX.:80/red/sqmz2_do.php變量:num、psd漏洞驗(yàn)證: 以其中一個(gè)XSS漏洞利用示范為例,在瀏覽器中輸入:XXX 結(jié)果如圖:修復(fù)建議: 對傳入的參數(shù)進(jìn)行有效性檢測,應(yīng)限制其只允許提交開發(fā)設(shè)定范圍之內(nèi)的數(shù)據(jù)內(nèi)容。要解決跨站腳本漏洞,應(yīng)對輸入內(nèi)容進(jìn)行檢查過濾,對輸出內(nèi)容的特定字符轉(zhuǎn)義后輸出,可采取以下方式:在服務(wù)器端對所有的輸入進(jìn)行過濾,限制敏感字符的輸入。對輸出進(jìn)行轉(zhuǎn)義,尤其是<>()這些符號。<和>可以轉(zhuǎn)義為<和>。(和)可以轉(zhuǎn)義為(和)。#和&可以轉(zhuǎn)義為#和&。SQL盲注風(fēng)險(xiǎn)等級:高漏洞描述:系統(tǒng)中測試頁面中存在SQL注入漏洞,攻擊者可通過該漏洞查看、修改或刪除數(shù)據(jù)庫條目和表以獲取敏感信息。漏洞位置:XXX.:80/new/sqmz2_do.phpnum=2&psd=1&Submit3=%bf%aa%ca%bc%b2%e9%d1%af變量:num漏洞驗(yàn)證: 如下圖所示,參數(shù)num存在UNIONquery類型的盲注: 利用工具列出數(shù)據(jù)庫名 利用工具列出數(shù)據(jù)庫hnrllb中的表名 利用工具列出表admin中的列名 利用工具列出表admin中id、username、truename和password字段內(nèi)容整改建議: 過濾('"selectupdateorand)等特殊符號或者使用preparestatement函數(shù),直接刪除該測試頁面,或部署web應(yīng)用防護(hù)設(shè)備。2.3.2.管理后臺(tái)風(fēng)險(xiǎn)等級:低漏洞描述:攻擊者可通過工具或者人工猜解,獲取管理后臺(tái)url地址。漏洞位置:XXX./kanetwork/admin_login/login.php漏洞驗(yàn)證: 在瀏覽器中輸入XXX./kanetwork/admin_login/login.php結(jié)果如圖:整改建議: 修改管理后臺(tái)url。2.4.實(shí)驗(yàn)總結(jié)通過本次滲透測試發(fā)現(xiàn)新網(wǎng)站系統(tǒng)存在的薄弱環(huán)節(jié)較多,后續(xù)完全修復(fù)工作量較大:1. 應(yīng)用系統(tǒng)在正式部署上線前應(yīng)在內(nèi)網(wǎng)先進(jìn)行安全測試,通過安全測試后再放至公網(wǎng);2 應(yīng)用系統(tǒng)在開發(fā)過程中,應(yīng)考慮網(wǎng)站應(yīng)具備的安全功能需求,如:登錄框的驗(yàn)證碼機(jī)制、口令的復(fù)雜度限制、口令的加
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 兒童藝術(shù)教育與現(xiàn)代科技的結(jié)合趨勢
- 事業(yè)單位面試出題專家保密協(xié)議
- 健康產(chǎn)品的精準(zhǔn)營銷策略-以一則成功的醫(yī)療健康類廣告為例
- PBL教學(xué)法在醫(yī)學(xué)類學(xué)科的應(yīng)用實(shí)踐
- 農(nóng)宅現(xiàn)代化農(nóng)村住房改造的技術(shù)革新
- 企業(yè)員工培訓(xùn)中成長檔案的應(yīng)用與實(shí)踐
- 公共停車場與小區(qū)物業(yè)服務(wù)的協(xié)同創(chuàng)新研究
- 創(chuàng)新教育與教師素質(zhì)提升的路徑探索
- 教科版二年級上冊科學(xué)期末測試卷及參考答案(預(yù)熱題)
- 企業(yè)中員工情感培養(yǎng)與組織績效關(guān)系研究
- 微積分(I)知到智慧樹章節(jié)測試課后答案2024年秋南昌大學(xué)
- 《建設(shè)工程施工合同(示范文本)》(GF-2017-0201)
- 大學(xué)生朋輩心理輔導(dǎo)智慧樹知到期末考試答案章節(jié)答案2024年浙江大學(xué)
- 中國馬克思主義與當(dāng)代2021版教材課后思考題
- 俄羅斯聯(lián)邦政府第782號決議 電梯安全技術(shù)規(guī)程(2009版)
- OPERA系統(tǒng)培訓(xùn)ppt課件
- 110Kv輸變電工程電氣安裝技術(shù)交底
- ASTM_A29/A29M熱鍛及冷加工碳素鋼和合金鋼棒
- 錄屏軟件Camtasia_Studio使用教程
- 崗位風(fēng)險(xiǎn)告知卡(40個(gè)風(fēng)險(xiǎn)點(diǎn))
- 質(zhì)量體系審核不符合項(xiàng)案例
評論
0/150
提交評論