中国石化资金集中管理信息系统

Web应用安全测试报告

1. 简介

　　本文针对中国石化资金集中管理信息系统，采用IBM Rational的安全测试产品AppScan进行安全测试，并基于此次测试的结果进行分析。

1.1    中国石化资金集中管理信息系统应用特点

中国石化资金集中管理信息系统应用采用Jboss4.2.4作为应用服务器，系统使用基于Spring的Acegi进行安全认证和授权；其中还大量采用了Javascript技术，所有其对于url的解析处理，需要动态进行处理。

1.2    针对中国石化资金集中管理信息系统应用特点的安全测试设置

针对于中国石化资金集中管理信息系统应用的以上特点，并结合实际使用情况分为三种场景进行测试，测试内容选择了系统的功能1和功能2：

1）使用用户名/密码，但不进行登陆验证：此场景如同一般用户登陆系统，但不进行登陆验证，即不判断针对特殊应用安全的登陆，是否存在安全问题。

2）使用用户名/密码，进行登陆验证：此场景选择正常用户登陆系统，进行登陆验证，即判断针对特殊应用安全的登陆，是否存在安全问题。

3）基于不同角色登陆处理：结合权限较高的admin用户和权限较低的cqusr1用户进行登陆，除了常规的安全的检测，特别还要针对跨权限的安全访问进行判断。

通过以上的配置，结合AppScan的登陆设置就可以了。

2. 测试结果简析

结合以上的三个场景，针对部分功能进行安全测试后，初步获得以下测试结果。

2.1    整体内容分析

3. 严重安全问题分析及修改建议

3.1    XSS跨站点脚本攻击漏洞

问题概述：黑客可以应用此漏洞，获取最终用户信息，并基于此进行伪装，进行攻击。

url:

http://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/loan/commissionedLoanApply.jsp

http://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/loan/loanApply.jsp

http://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/tongye/RMBOverdraftApply.jsp

http://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/tongye/RMBchaijieApply.jsp

测试方式：在参数中增加javascript:alert(134108)处理，可执行url

修改方法：修改对于参数的处理，将无效值进行排除。

3.2    注入漏洞

问题概述：黑客可以应用此漏洞，获取交易信息。

url：

http://10.1.19.92:40001/wfProject/jsp/app/netbank/common/customDropDownDict.jsp

测试方式：在http request中填写 foobar=foobar之类内容进行攻击

修改方法：修改http parameter处理，将无效内容过滤

3.3    JBoss管理控制台打开

问题概述：对于jboss控制台没有进行控制。

url：

http://10.1.19.92:40001/

测试方式：直接进行访问即可

修改方法：如果上线，此控制台建议关闭或者设置安全。

3.4    跨权限设置访问

问题概述：登陆用户，即可不受权限限制，通过url直接访问用户管理。

url：

http://10.1.19.92:40001/wfProject/jsp/app/acountmanager/interestBill.jsp

http://10.1.19.92:40001/wfProject/jsp/app/acountmanager/outlayBill.jsp

http://10.1.19.92:40001/wfProject/jsp/app/acountmanager/paymentBill.jsp

http://10.1.19.92:40001/wfProject/jsp/app/acountmanager/reciveBill.jsp

http://10.1.19.92:40001/wfProject/jsp/app/netbank/common/bankInfo.jsp

http://10.1.19.92:40001/wfProject/servlet/dataengine

测试方式：采用权限较低用户，可以访问用户管理内容。

修改方法：一定要配置用户授权内容。

4. 总结

详细内容请详见通过AppScan生成的测试结果，并针对其进行修改。针对此次扫描的情况建议：

1）将应用的授权进行设置，保障不同角色能够针对的不同功能的角色权限。

2）防止XSS以及SQL注入攻击，对于http parameter进行过滤和控制。

3）设置登陆处理逻辑，比如对用户登陆账户设置访问三次后冻结/Session不可重用等登陆处理逻辑。

本次安全测试工作，只是选择了部分功能，针对jboss的测试部署环境进行的，本应用一定还包括大量其他问题，等待进行验证和处理。

 

第二篇：中国歌手打进美国音乐市场？Chinese Singers Get Into American Musical Market-

中国歌手打进美国音乐市场？Chinese Singers Get Into American

Musical Market?

This is a good news for Chinese singers, it is said that there will be a Chinese music group and a man invited to performance in the American famous music show. It sounds so inspiring, it seems that Chinese music has been introduced into American market. While the fact is not, the invited Chinese singers only get their performance when the advertisement time comes, it is so awkward, they are given the unimportant time. Chinese music still not get into the American musical market, American people just want to catch Chinese people's attention and go into Chinese market, so they invited the Chinese singers. I believe that our Chinese music will get be popular around the world some day.

这对于中国歌手来说是个好消息，据说中国的一个乐团和一个男歌手受到邀请去美国著名的音乐节目表演。这听起来很励志，似乎中国的音乐已经打进了美国的市场。然而事实并非如此，受到邀请的歌手仅仅只在广告的时间来进行他们的表演，这是多么尴尬啊，给予他们的时间是如此的不受重视。中国的音乐仍然没有打进美国英语市场，美国人民只是想要吸引中国人的注意，打进中国的市场，因此他们邀请了中国的歌手。我相信中国的音乐总有一天会在全世界变得流行。