1、_XXXX 投资集团网站渗透测试报告_页脚:宋体,Arial ,五号,单倍行距,需填写客户公司名称中国电力投资集团网站渗透测试报告 第 2 页 共 18 页目 录第 1 章 概述 41.1. 测试目的 41.2. 测试范围 41.3. 实施流程 41.3.1. 信息收集 51.3.2. 渗透测试 61.3.3. 本地信息收集 71.3.4. 权限提升 71.3.5. 清除 71.3.6. 输出报告 71.4. 参考标准 7第 2 章 测试综述 82.1. 总体安全现状 82.2. 安全漏洞列表 8第 3 章 测试结果 103.1. 门户网站 103.1.1. Apache 版本低 103.1.
2、2. SQL 注入漏洞 .103.1.3. 跨站脚本漏洞(内网中存在) 123.1.4. 敏感信息泄漏 143.2. 邮件系统 153.2.1. 跨站点请求伪造 153.2.2. 已解密的登录请求 163.2.3. 未使用验证码机制 173.3. 党群工作信息管理系统 18第 4 章 安全建议 20中国电力投资集团网站渗透测试报告 第 3 页 共 18 页文档信息表文档基本信息项目名称 XXXX投资集团文档名称 网站渗透测试报告创建者创建时间 2011-07-19文档修订信息版本 修正章节 日期 作者 变更记录1.0 全部 2011-07-19 创建中国电力投资集团网站渗透测试报告 第 4 页
3、 共 18 页第 1 章 概述1.1. 测试目的模拟黑客的入侵行为,对指定的网站应用系统进行安全漏洞扫描和利用测试,评估是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小,为制定相应的安全措施与解决方案提供实际的依据。1.2. 测试范围应用系统名称 应用系统 IP门户网站邮箱系统1.3. 实施流程渗透测试服务流程定义如下:中国电力投资集团网站渗透测试报告 第 5 页 共 18 页1.3.1.信息收集此阶段中,渗透测试小组进行必要的信息收集,如 IP 地址、DNS 记录、软件版本信息、IP 段等。 采用方法 基本网络信息获取中国电力投资集团网站渗透测试报告 第 6 页 共 18 页 pin
4、g 目标网络得到 IP 地址和 ttl 等信息 tcptraceroute 和 traceroute 的结果 whois 结果 netcraft 获取目标可能存在的域名、Web 及服务器信息 curl 获取目标 web 基本信息 nmap 对网站进行端口扫描并判断操作系统类型 google、yahoo 、baidu 等搜索引擎获取目标信息 FWtester、hping3 等工具进行防火墙规则探测 其他1.3.2.渗透测试此阶段中,渗透测试小组根据第一阶段获得的信息对网络、系统进行渗透测试。此阶段如果成功的话,可能获得普通权限。 采用方法 常规漏洞扫描和采用商用软件进行检查 结合使用 ISS 与
5、 Nessus 等商用或免费的扫描工具进行漏洞扫描 采用 SolarWinds 对网络设备等进行搜索发现 采用 nikto、webinspect 等软件对 web 常见漏洞进行扫描 采用如 AppDetectiv 之类的商用软件对数据库进行扫描分析 对 Web 和数据库应用进行分析 采用 WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe 等工具进行分析 用 Ethereal 抓包协助分析 用 webscan、fuzzer 进行 SQL 注入和 XSS 漏洞初步分析 手工检测 SQL 注入和 XSS 漏洞 采用类似 OScanner 的工具对数据
6、库进行分析 基于通用设备、数据库、操作系统和应用的攻击 采用各种公开及私有的缓冲区溢出程序代码,也采用诸如MetasploitFramework 之类的利用程序集合。中国电力投资集团网站渗透测试报告 第 7 页 共 18 页 基于应用的攻击 基于 web、数据库或特定的 B/S 或 C/S 结构的网络应用程序存在的弱点进行攻击。 口令猜解技术 进行口令猜解可以采用 X-Scan、Brutus 、Hydra、溯雪等工具。1.3.3.本地信息收集此阶段中,渗透测试小组进行本地信息收集,用于下一阶段的权限提升。1.3.4.权限提升此阶段中,渗透测试小组尝试由普通权限提升为管理员权限,获得对系统的完全
7、控制权。在时间许可的情况下,必要时从第一阶段重新进行。 采用方法 口令嗅探与键盘记录嗅探、键盘记录、木马等软件,功能简单,但要求不被防病毒软件发觉,因此通常需要自行开发或修改。 口令破解有许多著名的口令破解软件,如 L0phtCrack、John the Ripper、Cain 等1.3.5.清除此阶段中,渗透测试小组清除中间数据。1.3.6.输出报告此阶段中,渗透测试小组根据测试的结果编写渗透测试报告。1.4. 参考标准OWASP Testing Guide 中国电力投资集团网站渗透测试报告 第 8 页 共 18 页第 2 章 测试综述2.1. 总体安全现状通过本次安全渗透测试的结果看,门户
8、网站自身的安全性较好,虽然存在部分安全漏洞,但利用的可能性低,这得益于门户网站防护体系较完善,包括防篡改系统、双层防火墙、发布管理机制等。但从整性安全性看,门户网站被成功突破的风险还是很大,其中,本次渗透中对门户网站统一网段中的党群工作信息管理系统(xxxx/) 、投标系统(xxx)都成功渗透,并获取管理员权限 。利用党群工作信息管理系统,安全工程师可对门户网站发起内部攻击,进而可完全入侵门户网站。因时间关系,以及昨天交流渗透结果后,管理员关闭党群工作信息管理系统,无法进一步测试和验证。2.2. 安全漏洞列表下表展示了本次测试发现的安全漏洞与相应的风险:应用系统 利用漏洞 威胁来源 风险等级
9、风险描述Apache 版本低 外部黑客 高可远程执行代码,直接得到管理员权限SQL 注入漏洞 外部黑客 高恶意用户可以通过注入JavaScript、VBScript 、ActiveX、HTML 或者 Flash 的方式欺骗用户,可以收集 Cookie 等相关数据并冒充其他用户,当然也可以修改当前用户信息。跨站脚本编制 外部黑客 高恶意用户可以通过注入JavaScript、VBScript 、ActiveX、HTML 或者 Flash 的方式欺骗用户,并收集 Cookie 等相关数据并冒充其他用户。通过精心构造的恶意代码,甚至可以获取系统的管理权限,或者让访问者访问非法网站或下载恶意木马。门户网
10、站敏感信息泄漏 外部黑客 中 泄漏敏感信息中国电力投资集团网站渗透测试报告 第 9 页 共 18 页跨站点请求伪造 外部黑客 中可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。已解密的登录请求 外部黑客 中可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息邮件系统未设置验证码机制 外部黑客 中恶意攻击者可以使用暴力破解的手段猜解帐号和密码中国电力投资集团网站渗透测试报告 第 10 页 共 18 页第 3 章 测试结果3.1. 门户网站3.1.1. Apache 版本低 测试过程探测发现 Apache 的版本低,为 Apache httpd 2.2.9 (
11、Win32) 风险分析该版本存在一个 mod_isapi Dangling Pointer 漏洞,可远程执行代码,直接得到管理员权限 风险等级高 影响 URL无 解决方法升级 Apache 版本。3.1.2.SQL 注入漏洞 测试过程访问如下地址:http:/ SQLServer 数据库,泄漏表名和字段名 visiter.docid,由此判断该页面存在 SQL 注入漏洞 风险分析攻击者可以通过构造特殊 URL 的手段,利用 SQL 注入漏洞从数据库中获取敏感数据、修改数据库数据(插入/更新/删除) 、执行数据库管理中国电力投资集团网站渗透测试报告 第 11 页 共 18 页操作(如关闭数据库管
12、理系统) 、恢复存在于数据库文件系统中的指定文件内容,在某些情况下能执行操作系统命令。 风险等级高 影响 URLhttp:/ 解决方法对用户输入的数据进行全面安全检查或过滤,尤其注意检查是否包含HTML 特殊字符。这些检查或过滤必须在服务器端完成,建议过滤的常见危险字符如下: |(竖线符号) (分号) $(美元符号) %(百分比符号) (at 符号) (单引号) “(引号) (反斜杠转义单引号) “(反斜杠转义引号) alert(15973)(尖括号) ()(括号) +(加号) CR(回车符,ASCII 0x0d) LF(换行,ASCII 0x0a) ,(逗号) (反斜杠)3.1.4.敏感信息
13、泄漏 测试过程访问如下地址:http:/ XML 路径访问 http:/ 第 14 页 共 18 页 风险分析泄漏敏感信息 风险等级中 影响 URLhttp:/ /dqgz/sktw/upload.asp 解决方法去掉注释语句中的敏感信息3.2. 邮件系统3.2.1.跨站点请求伪造 测试过程对比如下两个请求结果:原始测试(将 HTTP 头设置为“http:/ ”)测试响应与原始有效响应相同,意味着尽管登录尝试中包含危险字符,但是它仍然已成功,说明该页面存在跨站请求响应漏洞。 风险分析可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 风险等级中 影响 URLhtt
14、p:/xx/wm/mail/login.html 解决方法添加取自会话 cookie 的会话标识,使它成为一个参数。服务器必须检中国电力投资集团网站渗透测试报告 第 15 页 共 18 页查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 cookie 的“同源策略”,因此,攻击者无法伪造一个虚假的请求,让服务器误以为真。 攻击者难以猜测且无法访问的任何秘密(也就是无法从其他域访问) ,都可用来替换会话标识。 这可以防止攻击者设计看似有效的请求。3.2.2.已解密的登录请求 测试过程访问如下地址,发现登录时没有使用加密的方式(如 https)提交
15、用户的数据,如帐号和密码。http:/xx/wm/mail/login.html 风险分析攻击者可以轻松地窃取诸如用户名和密码等未经加密即发送了的用户登录信息。 风险等级中 影响 URLhttp:/xx/wm/mail/login.html 解决方法 确保所有登录请求都以加密方式发送到服务器。 请确保敏感信息,例如: - 用户名 - 密码 - 社会保险号码 - 信用卡号码 - 驾照号码 - 电子邮件地址 - 电话号码 - 邮政编码中国电力投资集团网站渗透测试报告 第 16 页 共 18 页一律以加密方式传给服务器。3.2.3.未使用验证码机制 测试过程访问如下地址,发现登录时缺少验证码机制。h
16、ttp:/xx/wm/mail/login.html 风险分析恶意攻击者可以使用暴力破解的手段猜解帐号和密码。 风险等级中 影响 URLhttp:/xx/wm/mail/login.html 解决方法在用户登录页面上增加验证码机制。3.3. 党群工作信息管理系统通过旁站探测,我们探测到与门户网站在同一网段还存在党群工作信息管理系统,通过对常群工作信息管理系统进行登录框构造成 SQL 语言进行攻击,我们获取党群工作信息系统管理员账号和密码, (账号: cpi001 密码:XXXXXX) ,进入常群工作管理系统,如下图:输入获取的账号与密码,入进如下:如图右上显示为管理员界面。可以对党群发布系统进
17、行操作。进一步查看,可获取全国各电力公司的党群发布系统的账号和密码。中国电力投资集团网站渗透测试报告 第 17 页 共 18 页基于针对党群系统的利用,可我们可以通过管理员权限,上传或发布带有木马的文件,并通过党群系统击活木马,通过内网对门户网站进行攻击,获取门户网站控制权。中国电力投资集团网站渗透测试报告 第 18 页 共 18 页第 4 章 安全建议 更新 Apache 应用程序版本。 对用户输入的数据进行全面安全检查或过滤,尤其注意检查是否包含HTML 特殊字符。这些检查或过滤必须在服务器端完成。 确保所有登录请求都以加密方式发送到服务器。注意事项。 去掉注释语句中的敏感信息 在用户登录页面上增加验证码机制 添加取自会话 cookie 的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。
