《广东农商行渗透测试报告》由会员分享,可在线阅读,更多相关《广东农商行渗透测试报告(20页珍藏版)》请在金锄头文库上搜索。
1、_广东农村商业银行渗透测试报告_文档日期: 2010-08-08文档版本: 1.0第一章 概述1.1 测试目的通过模拟黑客的渗透测试,评估目标系统是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小,为制定相应的安全措施与解决方案提供实际的依据。1.2 测试范围渗透方式应用系统网段主机外网渗透http:/210.21.77.2321.3 实施流程渗透测试服务流程定义如下:1.3.1 信息收集此阶段中,渗透测试小组进行必要的信息收集,如 IP 地址、DNS 记录、软件版本信息、IP 段等。n 采用方法 基本网络信息获取 ping 目标网络得到 IP 地址和 ttl 等信息 tcptracer
2、oute 和 traceroute 的结果 whois 结果 netcraft 获取目标可能存在的域名、Web 及服务器信息 curl 获取目标 web 基本信息 nmap 对网站进行端口扫描并判断操作系统类型 google、yahoo、baidu 等搜索引擎获取目标信息 FWtester、hping3 等工具进行防火墙规则探测 其他1.3.2 渗透测试此阶段中,渗透测试小组根据第一阶段获得的信息对网络、系统进行渗透测试。此阶段如果成功的话,可能获得普通权限。n 采用方法 常规漏洞扫描和采用商用软件进行检查 结合使用ISS与 Nessus 等商用或免费的扫描工具进行漏洞扫描 采用 SolarW
3、inds 对网络设备等进行搜索发现 采用 nikto、webinspect 等软件对 web 常见漏洞进行扫描 采用如AppDetectiv 之类的商用软件对数据库进行扫描分析 对 Web 和数据库应用进行分析 采用 WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe 等工具进行分析 用 Ethereal 抓包协助分析 用 webscan、fuzzer 进行 SQL 注入和 XSS 漏洞初步分析 手工检测 SQL 注入和 XSS 漏洞 采用类似OScanner 的工具对数据库进行分析 基于通用设备、数据库、操作系统和应用的攻击采用各种公开及私有的
4、缓冲区溢出程序代码,也采用诸如MetasploitFramework之类的利用程序集合。 基于应用的攻击基于web、数据库或特定的B/S 或C/S 结构的网络应用程序存在的弱点进行攻击。 口令猜解技术进行口令猜解可以采用X-Scan、Brutus、Hydra、溯雪等工具,1.3.3 本地信息收集此阶段中,渗透测试小组进行本地信息收集,用于下一阶段的权限提升。1.3.4 权限提升此阶段中,渗透测试小组尝试由普通权限提升为管理员权限,获得对系统的完全控制权。在时间许可的情况下,必要时从第一阶段重新进行。n 采用方法 口令嗅探与键盘记录嗅探、键盘记录、木马等软件,功能简单,但要求不被防病毒软件发觉,
5、因此通常需要自行开发或修改。 口令破解有许多著名的口令破解软件,如L0phtCrack、John the Ripper、Cain 等1.3.5 清除此阶段中,渗透测试小组清除中间数据。1.3.6 输出报告此阶段中,渗透测试小组根据测试的结果编写渗透测试服务报告。1.4 参考标准OWASP Testing Guide第二章 测试综述2.1 系统层测试综述用端口扫描工具对广东农商行网站所在的主机进行端口扫描,发现该主机存在大量的开放端口,这些端口容易被恶意用户利用入侵系统。如下图所示:2.2 应用层测试综述应用系统利用漏洞威胁来源风险等级风险描述http:/SQL注入漏洞外部黑客高查看、修改或删除
6、数据库条目和表。数据库错误模式漏洞外部黑客高查看、修改或删除数据库条目和表。用户信息未加密传输外部黑客中可能会窃取诸如用户名和密码等未经加密的登录信息易受攻击的 ActiveX 控件外部黑客中可以在 Web 应用程序的客户机上执行任意代码内部IP泄露模式外部黑客低可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置潜在的文件上传漏洞外部黑客低可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件隐藏目录漏洞外部黑客低可能会检索有关站点文件系统结构的信息,这可能会帮助攻击者映射此 Web 站点Web 应用程序源代码泄露外部黑客低可能会检索服务器端脚本
7、的源代码,这可能会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息网站存在一些安全缺陷,如SQL注入漏洞,数据库错误模式漏洞,用户信息未加密漏洞等,具体漏洞情况如下图所示:第三章 测试结果3.1 系统层面经过系统探测和渗透测试,发现系统服务器的很多端口处于开放状态,以及端口所运行的服务可以被轻松探测,恶意用户可以根据服务可能存在的漏洞对系统发动攻击。应用服务器类型(Microsoft IIS WebServer 6.0)和操作系统(Windows)能被轻松探测出来。恶意用户可以根据应用服务器和操作系统已存在的漏洞,对系统发起进一步的攻击和入侵。3.2 应用层面3.2.1 SQL注入漏洞l
8、测试过程经过测试发现,以下的链接存在SQL注入漏洞:http:/ 风险分析恶意用户可以通过构造恶意代码可以查看、修改或者删除数据库表和条目。l 风险等级高l 建议修复 对用户输入的数据进行全面安全检查或过滤,尤其注意检查是否包含SQL特殊字符。这些检查或过滤必须在服务器端完成。3.2.2 数据库错误模式漏洞l 测试过程经过测试发现,共有68处URL链接存在数据库错误模式漏洞,一下列举出一部分URL: http:/ 风险分析恶意用户可以通过构造恶意代码可以查看、修改或者删除数据库表和条目。l 风险等级高l 建议修复对用户输入的数据进行全面安全检查或过滤,尤其注意检查是否包含SQL特殊字符。这些检
9、查或过滤必须在服务器端完成。3.2.3 用户信息未加密传输l 测试过程经过测试发现,以下的链接存在用户信息未加密传输漏洞http:/ 风险分析恶意用户可能会通过嗅探工具获得用户名和密码等未经加密即发送了的用户登录信息l 风险等级中l 解决方法确保所有登录请求都以加密方式发送到服务器3.2.4 易受攻击的 ActiveX 控件l 测试过程经过测试发现,以下的链接存在易受攻击的ActiveX控件漏洞http:/ 风险分析恶意用户可以在 Web 应用程序的客户机上执行任意代码l 风险等级中l 解决方法1. 验证是否对WEB站点进行修改;2. 装入 ActiveX 控件的修订版,而不是易受攻击的版本。3.2.5 内部IP泄露l 测试过程经过测试发现,共发现87处URL链接存在
