xx网站安全漏洞检查报告
目录:
1工作描述
本次项目的安全评估对象为:http://
安全评估是可以帮助用户对目前自己的网络、系统、应用的缺陷有相对直观的认识和了解。以第三方角度对用户网络安全性进行检查,可以让用户了解从外部网络漏洞可以被利用的情况,安全顾问通过解释所用工具在探查过程中所得到的结果,并把得到的结果与已有的安全措施进行比对。
2安全评估方式
安全评估主要依据联想网御安全工程师已经掌握的安全漏洞和安全检测工具,采用工具扫描 + 手工验证的方式。模拟黑客的攻击方法在客户的授权和监督下对客户的系统和网络进行非破坏性质的攻击性测试。
3安全评估的必要性
安全评估利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对授权测试环境中的核心服务器及重要的网络设备,包括服务器、防火墙等进行非破坏性质的模拟黑客攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。
安全评估和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率和漏报率,并且不能发现高层次、复杂、并且相互关联的安全问题;安全评估需要投入的人力资源较大、对测试者的专业技能要求很高(安全评估报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。
此次安全评估的范围:
4安全评估方法
信息收集
信息收集分析几乎是所有入侵攻击的前提/前奏/基础。“知己知彼,百战不殆”,信息收集分析就是完成的这个任务。通过信息收集分析,攻击者(测试者)可以相应地、有针对性地制定入侵攻击的计划,提高入侵的成功率、减小暴露或被发现的几率。
本次评估主要是启用网络漏洞扫描工具,通过网络爬虫测试网站安全、检测流行的攻击 、如交叉站点脚本、SQL注入等。
权限提升
通过收集信息和分析,存在两种可能性,其一是目标系统存在重大弱点:测试者可以直接控制目标系统,这时测试者可以直接调查目标系统中的弱点分布、原因,形成最终的测试报告;其二是目标系统没有远程重大弱点,但是可以获得远程普通权限,这时测试者可以通过该普通权限进一步收集目标系统信息。接下来,尽最大努力获取本地权限,收集本地资料信息,寻求本地权限升级的机会。这些不停的信息收集分析、权限升级的结果构成了整个安全评估过程的输出。
溢出测试
当无法直接利用帐户口令登陆系统时,也会采用系统溢出的方法直接获得系统控制权限,此方法有时会导致系统死机或从新启动,但不会导致系统数据丢失,如出现死机等故障,只要将系统从新启动并开启原有服务即可。
SQL注入攻击
SQL注入常见于那些应用了SQL 数据库后端的网站服务器,黑客通过向提交某些特殊SQL语句,最终可能获取、篡改、控制网站 服务器端数据库中的内容。此类漏洞是黑客最常用的入侵方式之一。
检测页面隐藏字段
网站应用系统常采用隐藏字段存储信息。许多基于网站的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感内容。心存恶意的用户,通过操作隐藏字段内容,达到恶意交易和窃取信息等行为,是一种非常危险的漏洞。
跨站攻击
攻击者可以借助网站来攻击访问此网站的终端用户,来获得用户口令或使用站点挂马来控制客户端。
第三方软件误配置
第三方软件的错误设置可能导致黑客利用该漏洞构造不同类型的入侵攻击。
Cookie利用
网站应用系统常使用cookies 机制在客户端主机上保存某些信息,例如用户ID、口令、时间戳等。黑客可能通过篡改cookies 内容,获取用户的账号,导致严重的后果。
后门程序检查
系统开发过程中遗留的后门和调试选项可能被黑客所利用,导致黑客轻易地从捷径实施攻击。
其他测试
在安全评估中还需要借助暴力破解、网络嗅探等其他方法,目的也是为获取用户名及密码。
5XX网站检查情况(http://www. )
漏洞统计
截图(Acunetix Web Vulnerability Scanner 报告中)
结果:
本次网站安全检查是完全站在攻击者角度,模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试,通过结合多方面的攻击技术进行测试,发现本市网站系统存在比较明显的、可利用的安全漏洞,网站安全等级为非常危险,针对已存在漏洞的系统需要进行重点加固。
6发现安全隐患
发现安全隐患: SQL 注入漏洞
6.1.1漏洞位置
例如:http://域名 /dzly/index.php?id=88(可截图)
发现安全隐患: XSS(跨脚本攻击)
6.1.2漏洞位置
(可截图)
7通用安全建议
SQL注入类
没有被授权的恶意攻击者可以在有该漏洞的系统上任意执行SQL命令,这将威胁到数据库的安全,并且会泄漏敏感信息。
针对SQL注入,目前的解决办法是:
1、在程序中限制用户提交数据的长度。
2、对用户输入的数据进行合法性检查,只允许合法字符通过检测。对于非字符串类型的,强制检查类型;字符串类型的,过滤单引号。
3、WEB程序调动低权限的sql用户连接,勿用类似于dbo高权限的sql 账号。细化Sql用户权限,限定用户仅对自身数据库的访问控制权限。
4、使用具备拦截SQL注入攻击能力(专门算法)的IPS(入侵防御设备)来保护网站系统。
跨站脚本类
1、在程序中限制用户提交数据的长度。
2、对用户输入的数据进行合法性检查,只允许合法字符通过检测。
3、使用具备拦截跨站脚本攻击能力(专门算法)的IPS(入侵防御设备)来保护网站系统。
密码泄漏类
采用HTTPS协议,保护登录页面。
并对用户名密码参数采用密文传输。
其他类
如上传漏洞修改程序过滤恶意文件;证书错误修改证书;链接错误修改错误链接,开放不安全端口等。
服务最小化
对系统主机的服务进行确认关闭一些无用的服务或端口,确保主机安全。对数据库的一些端口建议对端口进行做防火墙连接限制,保证不能让外界主机对数据库进行管理。
配置权限
将网站的各个目录(包括子目录)尽量减小权限,需要用什么权限开什么权限,其他的权限全部删除。
配置日志
对访问网站的URL动作进行记录全部日志,以便日后的审计和检查。
8附录
Web应用漏洞原理
8.1.1WEB漏洞的定义
WEB程序语言,无论是ASP、PHP、JSP或者perl等等,都遵循一个基本的接口规范,那就是CGI(Common Gaterway Interface),这也就使得WEB漏洞具有很多相通的地方,但是由于各种实现语言有自己的特点,所以WEB漏洞体现在各种语言方面又有很多不同的地方,WEB漏洞就是指在WEB程序设计开发的过程中,由于各种原因所导致的安全问题,这可能包括设计缺陷,编程错误或者是配置问题等。
8.1.2WEB漏洞的特点
WEB漏洞包括四大特点,即普遍存在、后果严重、容易利用和容易隐藏。普遍存在是因为WEB应用广泛以及WEB程序员普遍不懂安全知识导致的;后果严重是因为WEB漏洞可以导致对数据库中的敏感数据的任意增加、篡改和删除,以及执行任意代码或者读、写、删除任意文件;容易利用是因为攻击者不需要任何特殊的工具,只需要一个浏览器就可以完成整个攻击的过程;容易隐藏则是由于HTTP协议和WEB服务器的特点,攻击者可以非常容易的隐藏自己的攻击行为。
典型漏洞介绍
XSS跨站脚本攻击
●漏洞成因
是因为WEB程序没有对用户提交的变量中的HTML代码进行过滤或转换。
●漏洞形式
这里所说的形式,实际上是指WEB输入的形式,主要分为两种:
1.显示输入
2.隐式输入
其中显示输入明确要求用户输入数据,而隐式输入则本来并不要求用户输入数据,但是用户却可以通过输入数据来进行干涉。
显示输入又可以分为两种:
1.输入完成立刻输出结果
2.输入完成先存储在文本文件或数据库中,然后再输出结果
注意:后者可能会让你的网站面目全非!
而隐式输入除了一些正常的情况外,还可以利用服务器或WEB程序处理错误信息的方式来实施。
●漏洞危害
比较典型的危害包括但不限于:
1.获取其他用户Cookie中的敏感数据
2.屏蔽页面特定信息
3.伪造页面信息
4.拒绝服务攻击
5.突破外网内网不同安全设置
6.与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等
7.其它
一般来说,上面的危害还经常伴随着页面变形的情况。而所谓跨站脚本执行漏洞,也就是通过别人的网站达到攻击的效果,也就是说,这种攻击能在一定程度上隐藏身份。
SQL INJECTION数据库注入攻击
●SQL Injection定义
所谓SQL Injection ,就是通过向有SQL查询的WEB程序提交一个精心构造的请求,从而突破了最初的SQL查询限制,实现了未授权的访问或存取。
●SQL Injection原理
随着WEB应用的复杂化,多数WEB应用都使用数据库作为后台,WEB程序接受用户参数作为查询条件,即用户可以在某种程度上控制查询的结果,如果WEB程序对用户输入过滤的比较少,那么入侵者就可能提交一些特殊的参数,而这些参数可以使该查询语句按照自己的意图来运行,这往往是一些未授权的操作,这样只要组合后的查询语句在语法上没有错误,那么就会被执行。
●SQL Injection危害
SQL Injection的危害主要包括:
1.露敏感信息
2.提升WEB应用程序权限
3.操作任意文件
4.执行任意命令
●SQL Injection 技巧
利用SQL Injection的攻击技巧主要有如下几种:
1.逻辑组合法:通过组合多种逻辑查询语句,获得所需要的查询结果。
2.错误信息法:通过精心构造某些查询语句,使数据库运行出错,错误信息中包含了敏感信息。
3.有限穷举法:通过精心构造查询语句,可以快速穷举出数据库中的任意信息。
4.移花接木法:利用数据库已有资源,结合其特性立刻获得所需信息。
关于开展网站安全大检查情况报告
根据《市信息中心关于进一步加强政府(部门)网站安全防护工作的通知》文件的要求,中心领导非常重视,及时安排部署,要求认真贯彻执行,现将本单位自查工作情况汇报如下:
一、安全制度及防护措施落实情况
(一)成立了安全小组。明确了网络信息安全的主管领导和具体负责管理人员,安全小组为管理机构,组长由分管副主任担任。
(二)制定了网站管理相关制度。制定了《信息网络安全管理制度》、《信息发布审核制度》、《数据库密码管理制度》等,规定网络管理人员负责密码管理,对网站数据库享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(三)制定了详细应急预案。当发生网络信息安全突发事件时,形成科学、有效、反应迅速的应急工作机制,确保重网站数据安全。对于重要数据进行了本地和异地同时备份。
(四)安全监测、漏洞检测、防攻击、防篡改等技术措施共享市信息中心相关技术措施。
二、网站安全检查发现的主要问题和整改意见
(一)网站服务器性能低,中心机房设备、线路老化,要加大对线路、服务器、防火墙、交换机等及时维护、保养和更新力度。
(二)网络安全工作的水平还有待提高。对网络安全的管护还处于初级水平,要提高安全工作的现代化水平,加强人防与技防结合,有利于进一步提升对网站系统安全的防范工作。
(三)工作机制有待完善。创新安全工作机制,把相关制度真正落上实处,是网络信息工作新形势的必然要求,这有利于提高机关网络信息工作的运行效率,有利于办公秩序的进一步规范。
重庆市建龙交通建设工程有限公司关于当前安全情况的报告区交委公司自20xx年3月成立以来截止目前为止共有建设工地6处分别为S101线…
安全检查情况书面报告为了进一步加强学校管理,严防学校安全事故的发生,确保学校安全越冬,明确责任,提高认识。充分认识当前抓好学校安全…
贵州盘县四格风电场二期集电线路施工110kV升压变电站土建施工和机电设备安装工程电力安全大检查工作报告四川省送变电建设有限责任公司…
消防安全检查报告根据学院消防安全规定的要求,对照《中华人民共和国消防法》和《内蒙古自治区消防条例》,我处于3月x日下午在保卫处综合…
岩土五公司安全生产检查情况材料为了进一步加强和改进项目部安全工作响应院号召切实保障广大职工的生命安全和财产安全保证工程正常的施工秩…
上饶电视台网站安全检查自查工作报告上饶市广播电视局:根据上饶市广播电视局《关于转发关于做好政府信息系统安全检查的通知的通知》(饶广…
商城购物网站测试分析报告二一五年一月二日计算机科学与技术系1测试概述11编写目的对于网上购物系统项目中所有的软件测试活动中包括测试…
安全检测报告背景服务器均为Dell服务器其中一台为组装机两台F5一台交换机以及一台路由器近期先后出现sql注入攻击网页挂马攻击ar…
河南机电高等专科学校学生实验报告实验课程名称实验项目名称网站界面性能安全性测试报告系部年级学生姓名学号实验时间一性能测试报告1概述…
南宁市第四十二中学关于20xx年网站与信息安全检查整改报告南宁市网络与信息安全信息通报中心:3月x日贵单位对我校网站进行信息安全保…