中国石化资金集中管理信息系统
Web应用安全测试报告
本文针对中国石化资金集中管理信息系统,采用IBM Rational的安全测试产品AppScan进行安全测试,并基于此次测试的结果进行分析。
中国石化资金集中管理信息系统应用采用Jboss4.2.4作为应用服务器,系统使用基于Spring的Acegi进行安全认证和授权;其中还大量采用了Javascript技术,所有其对于url的解析处理,需要动态进行处理。
针对于中国石化资金集中管理信息系统应用的以上特点,并结合实际使用情况分为三种场景进行测试,测试内容选择了系统的功能1和功能2:
1)使用用户名/密码,但不进行登陆验证:此场景如同一般用户登陆系统,但不进行登陆验证,即不判断针对特殊应用安全的登陆,是否存在安全问题。
2)使用用户名/密码,进行登陆验证:此场景选择正常用户登陆系统,进行登陆验证,即判断针对特殊应用安全的登陆,是否存在安全问题。
3)基于不同角色登陆处理:结合权限较高的admin用户和权限较低的cqusr1用户进行登陆,除了常规的安全的检测,特别还要针对跨权限的安全访问进行判断。
通过以上的配置,结合AppScan的登陆设置就可以了。
结合以上的三个场景,针对部分功能进行安全测试后,初步获得以下测试结果。
问题概述:黑客可以应用此漏洞,获取最终用户信息,并基于此进行伪装,进行攻击。
url:
http://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/loan/commissionedLoanApply.jsp
http://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/loan/loanApply.jsp
http://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/tongye/RMBOverdraftApply.jsp
http://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/tongye/RMBchaijieApply.jsp
测试方式:在参数中增加javascript:alert(134108)处理,可执行url
修改方法:修改对于参数的处理,将无效值进行排除。
问题概述:黑客可以应用此漏洞,获取交易信息。
url:
http://10.1.19.92:40001/wfProject/jsp/app/netbank/common/customDropDownDict.jsp
测试方式:在http request中填写 foobar=foobar之类内容进行攻击
修改方法:修改http parameter处理,将无效内容过滤
问题概述:对于jboss控制台没有进行控制。
url:
http://10.1.19.92:40001/
测试方式:直接进行访问即可
修改方法:如果上线,此控制台建议关闭或者设置安全。
问题概述:登陆用户,即可不受权限限制,通过url直接访问用户管理。
url:
http://10.1.19.92:40001/wfProject/jsp/app/acountmanager/interestBill.jsp
http://10.1.19.92:40001/wfProject/jsp/app/acountmanager/outlayBill.jsp
http://10.1.19.92:40001/wfProject/jsp/app/acountmanager/paymentBill.jsp
http://10.1.19.92:40001/wfProject/jsp/app/acountmanager/reciveBill.jsp
http://10.1.19.92:40001/wfProject/jsp/app/netbank/common/bankInfo.jsp
http://10.1.19.92:40001/wfProject/servlet/dataengine
测试方式:采用权限较低用户,可以访问用户管理内容。
修改方法:一定要配置用户授权内容。
详细内容请详见通过AppScan生成的测试结果,并针对其进行修改。针对此次扫描的情况建议:
1)将应用的授权进行设置,保障不同角色能够针对的不同功能的角色权限。
2)防止XSS以及SQL注入攻击,对于http parameter进行过滤和控制。
3)设置登陆处理逻辑,比如对用户登陆账户设置访问三次后冻结/Session不可重用等登陆处理逻辑。
本次安全测试工作,只是选择了部分功能,针对jboss的测试部署环境进行的,本应用一定还包括大量其他问题,等待进行验证和处理。
中国歌手打进美国音乐市场?Chinese Singers Get Into American
Musical Market?
This is a good news for Chinese singers, it is said that there will be a Chinese music group and a man invited to performance in the American famous music show. It sounds so inspiring, it seems that Chinese music has been introduced into American market. While the fact is not, the invited Chinese singers only get their performance when the advertisement time comes, it is so awkward, they are given the unimportant time. Chinese music still not get into the American musical market, American people just want to catch Chinese people's attention and go into Chinese market, so they invited the Chinese singers. I believe that our Chinese music will get be popular around the world some day.
这对于中国歌手来说是个好消息,据说中国的一个乐团和一个男歌手受到邀请去美国著名的音乐节目表演。这听起来很励志,似乎中国的音乐已经打进了美国的市场。然而事实并非如此,受到邀请的歌手仅仅只在广告的时间来进行他们的表演,这是多么尴尬啊,给予他们的时间是如此的不受重视。中国的音乐仍然没有打进美国英语市场,美国人民只是想要吸引中国人的注意,打进中国的市场,因此他们邀请了中国的歌手。我相信中国的音乐总有一天会在全世界变得流行。
中国石化Web应用安全测试报告中国石化资金集中管理信息系统Web应用安全测试报告IBMRationalAppScan中国石化Web…
安全性测试报告1、Sql注入:后台身份验证绕过漏洞验证绕过漏洞就是'or'='or'后台绕过漏洞,利用的就是AND和OR的运算规则…
Xxx系统安全测试报告Xxx系统安全测试报告拟制审核批准王道勇日期日期日期20xx623Xxx系统安全测试报告1目的和范围本测试报…
安全检测报告背景服务器均为Dell服务器其中一台为组装机两台F5一台交换机以及一台路由器近期先后出现sql注入攻击网页挂马攻击ar…
安全性测试与评估报告1客户信息XX2测试过程示意图本测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑…
安全性测试与评估报告1客户信息XX2测试过程示意图本测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑…
安全检测报告背景服务器均为Dell服务器其中一台为组装机两台F5一台交换机以及一台路由器近期先后出现sql注入攻击网页挂马攻击ar…
20xx通讯卡网络安全测试报告广东楚天龙智能卡有限公司20xx611目的这份文件的目的是为了在PCICP标准里需要做网络内外部渗透…
中金企信北京国际信息咨询有限公司国统调查报告网行业报告的用途国统调查报告网目前涉及的行业报告市场分析报告调研报告预测报告等众多报告…
XXXX有限公司XXX分公司20xx年XXX分公司安全生产大检查总结报告审核:XXXXXX校核:XXXXXX编制:XXXXXX编报…