《网站安全漏洞检查分析报告》由会员分享,可在线阅读,更多相关《网站安全漏洞检查分析报告(21页珍藏版)》请在金锄头文库上搜索。
1、xx网站安全漏洞检查报告作者:日期:xx网站安全漏洞检查报告有限公司10目录:1 工作描述52 安全评估方式53 安全评估的必要性64 安全评估方法64.1 信息收集64.2 权限提升74.3 溢出测试74.45 QL注入攻击74.46 测页面隐藏字段74.47 站攻击74.48 三方软件误配置84.49 ookie利用84.50 门程序检查84.51 其他测试.8.5 XX网站检查情况(http:/www.)8.5.1 漏洞统计95.2 结果96 发现安全隐患9.SQL注入漏洞6.1 发现安全隐患:96.1.1漏XSS (跨脚本攻击)6.2 发现安全隐患:106.2.1 漏107 ,通1用安
2、干.建、7.1SQL汪131工作描述本次项目的安全评估对象为:http:/安全评估是可以帮助用户对目前自己的网络、系统、应用的缺陷有相对直观的认识和了解。以第三方角度对用户网络安全性进行检查,可以让用户了解从外部网络漏洞可以被利用的情况,安全顾问通过解释所用工具在探查过程中所得到的结果,并把得到的结果与已有的安全措施进行比对2安全评估方式安全评估主要依据安全工程师已经掌握的安全漏洞和安全检测工具,采用工具扫描+手工验证的方式。模拟黑客的攻击方法在客户的授权和监督下对客户的系统和网络进行非破坏性质的攻击性测试。3安全评估的必要性安全评估利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的
3、人工经验对授权测试环境中的核心服务器及重要的网络设备,包括服务器、防火墙等进行非破坏性质的模拟黑客攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。安全评估和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率和漏报率,并且不能发现高层次、复杂、并且相互关联的安全问题;安全评估需要投入的人力资源较大、对测试者的专业技能要求很高(安全评估报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的弱点此次安全评估的范围:序号域名(IP)备注01http:www.xx网站020304050607084安全评估方法4.1 信息收集
4、信息收集分析几乎是所有入侵攻击的前提/前奏/基础。“知己知彼,百战不殆”信息收集分析就是完成的这个任务。通过信息收集分析,攻击者(测试者)可以相应地、有针对性地制定入侵攻击的计划,提高入侵的成功率、减小暴露或被发现的几率。本次评估主要是启用网络漏洞扫描工具,通过网络爬虫测试网站安全、检测流行的攻击、如交叉站点脚本、SQL注入等。4.2 权限提升通过收集信息和分析,存在两种可能性,其一是目标系统存在重大弱点:测试者可以直接控制目标系统,这时测试者可以直接调查目标系统中的弱点分布、原因,形成最终的测试报告;其二是目标系统没有远程重大弱点,但是可以获得远程普通权限,这时测试者可以通过该普通权限进一步
5、收集目标系统信息。接下来,尽最大努力获取本地权限,收集本地资料信息,寻求本地权限升级的机会。这些不停的信息收集分析、权限升级的结果构成了整个安全评估过程的输出。4.3 溢出测试当无法直接利用帐户口令登陆系统时,也会采用系统溢出的方法直接获得系统控制权限,此方法有时会导致系统死机或从新启动,但不会导致系统数据丢失,如出现死机等故障,只要将系统从新启动并开启原有服务即可。4.4 SQL注入攻击SQL注入常见于那些应用了SQL数据库后端的网站服务器,黑客通过向提交某些特殊SQL语句,最终可能获取、篡改、控制网站服务器端数据库中的内容。此类漏洞是黑客最常用的入侵方式之一4.5 检测页面隐藏字段网站应用
6、系统常采用隐藏字段存储信息。许多基于网站的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感内容。心存恶意的用户,通过操作隐藏字段内容,达到恶意交易和窃取信息等行为,是一种非常危险的漏洞。4.6 跨站攻击攻击者可以借助网站来攻击访问此网站的终端用户,来获得用户口令或使用站点挂马来控制客尸端。4.7 第三方软件误配置第三方软件的错误设置可能导致黑客利用该漏洞构造不同类型的入侵攻击。4.8 Cookie利用网站应用系统常使用cookies机制在客六端主机上保存莫些信息,例如用六ID、口令、时间戳等。黑客可能通过篡改cookies内容,获取用尸的账号,导致严重的后果。4.9 后门程序检查系
7、统开发过程中遗留的后门和调试选项可能被黑客所利用,导致黑客轻易地从捷径实施攻击。4.10 其他测试在安全评估中还需要借助暴力破解、网络嗅探等其他方法,目的也是为获取用六名及密码。5XX网站检查情况(http:/www.)网站地址名称http:www.xx网站网站地址高中低总计5.1 漏洞统计彳总计62.截图(AcunetixWebVulnerabilityScanner报告中)Totalalerts(aund5.2结果:&HighOMedium60相币Lowtt八一本次网站安全检查是完全站在攻击者角度,模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试,通过结合多方面的攻击技术进行测试,
8、发现本市网站系统存在比较明显的、可利用的安全漏洞,网站安全等级为非常危险,针对已存在漏洞的系统需要进行重点加固。6发现安全隐患6.1 发现安全隐患:SQL注入漏洞6.1.1 漏洞位置例女口:http:/域名/dzly/index.php?id=88(可截图)6.2 发现安全隐患:XSS(跨脚本攻击)6.2.1 漏洞位置7通用安全建议SQL命令,这将7.1 SQL注入类没有被授权的恶意攻击者可以在有该漏洞的系统上任意执行威胁到数据库的安全,并且会泄漏敏感信息。针对SQL注入,目前的解决办法是:1、在程序中限制用尸提交数据的长度。2、 对用尸输入的数据进行合法性检查,只允许合法字符通过检测。对于非
9、字符串类型的,强制检查类型;字符串类型的,过滤单引号。3、 WEB程序调动低权限的sql用六连接,勿用类似于dbo高权限的sql账号。细化Sql用尸权限,限定用尸仅对自身数据库的访问控制权限。4、 使用具备拦截SQL注入攻击能力(专门算法)的IPS(入侵防御设备)来保护网站系7.2 跨站脚本类1、在程序中限制用尸提交数据的长度。2、对用尸输入的数据进行合法性检查,只允许合法字符通过检测。3、 使用具备拦截跨站脚本攻击能力(专门算法)的IPS(入侵防御设备)来保护网站系7.3 密码泄漏类采用HTTPS协议,保护登录页面并对用户名密码参数采用密文传输。7.4 其他类如上传漏洞修改程序过滤恶意文件;
10、证书错误修改证书;链接错误修改错误链接,开放不安全端口等。7.5 服务最小化对系统主机的服务进行确认关闭一些无用的服务或端口,确保主机安全。对数据库的一些端口建议对端口进行做防火墙连接限制,保证不能让外界主机对数据库进行管理。7.6 配置权限将网站的各个目录(包括子目录)尽量减小权限,需要用什么权限开什么权限,其他的权限全部删除。7.7 配置日志对访问网站的URL动作进行记录全部日志,以便日后的审计和检查。8附录8.1 Web应用漏洞原理8.1.1 WEB漏洞的定义WE程序语言,无论是ASPPHPJSP或者perl等等,都遵循一个基本的接口规范,那就是CGI(CommonGaterwayInt
11、erface),这也就使得WEBS洞具有很多相通的地方,但是由于各种实现语言有自己的特点,所以WEB漏洞体现在各种语言方面又有很多不同的地方,WEB漏洞就是指在WEB程序设计开发的过程中,由于各种原因所导致的安全问题,这可能包括设计缺陷,编程错误或者是配置问题等。8.1.2 WEB漏洞的特点WEB漏洞包括四大特点,即普遍存在、后果严重、容易利用和容易隐藏。普遍存在是因为WE应用广泛以及WE程序员普遍不懂安全知识导致的;后果严重是因为WEB漏洞可以导致对数据库中的敏感数据的任意增加、篡改和删除,以及执行任意代码或者读、写、删除任意文件;容易利用是因为攻击者不需要任何特殊的工具,只需要一个浏览器就
12、可以完成整个攻击的过程;容易隐藏则是由于HTTP协议和WE曲艮务器的特点,攻击者可以非常容易的隐藏自己的攻击行为。8.2 典型漏洞介绍8.3 XSS跨站脚本攻击漏洞成因是因为WE程序没有对用户提交的变量中的HTML弋码进行过滤或转换。漏洞形式这里所说的形式,实际上是指WEB俞入的形式,主要分为两种:1 ?显示输入2 .隐式输入其中显示输入明确要求用户输入数据,而隐式输入则本来并不要求用户输入数据,但是用户却可以通过输入数据来进行干涉。显示输入又可以分为两种:1. 输入完成立刻输出结果2. 输入完成先存储在文本文件或数据库中,然后再输出结果注意:后者可能会让你的网站面目全非!而隐式输入除了一些正
13、常的情况外,还可以利用服务器或WEB?序处理错误信息的方式来实施。漏洞危害比较典型的危害包括但不限于:1.获取其他用户Cookie中的敏感数据2?屏蔽页面特定信息3. 伪造页面信息4. 拒绝服务攻击5. 突破外网内网不同安全设置6. 与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等7. 其它一般来说,上面的危害还经常伴随着页面变形的情况。而所谓跨站脚本执行漏洞,也就是通过别人的网站达到攻击的效果,也就是说,这种攻击能在一定程度上隐藏身份。8.4SQLINJECTION数据库注入攻击SQLInjection定义所谓SQLInjection,就是通过向有SQL查询的WEB?序提交一个精心
14、构造的请求,从而突破了最初的SQL查询限制,实现了未授权的访问或存取。SQLInjection原理随着WEB应用的复杂化,多数WEB应用都使用数据库作为后台,WEB程序接受用户参数作为查询条件,即用户可以在某种程度上控制查询的结果,如果WEB?序对用尸输入过滤的比较少,那么入侵者就可能提交一些特殊的参数,而这些参数可以使该查询语句按照自己的意图来运行,这往往是一些未授权的操作,这样只要组合后的查询语句在语法上没有错误,那么就会被执行。SQLInjection危害SQLInjection的危害主要包括:1 ?露敏感信息2 ?提升WEB应用程序权限3 ?操作任意文件4 ?执行任意命令SQLInjection技巧利用SQLInjection的攻击技巧主要有如下几种:1 ?逻辑组合法:通过组合多种逻辑查询语句,获得所需要的查询结果。2 ?错误信息法:通过精心构造某些查询语句,使数据库运行出错错误信息中包含了敏感信息。3 ?有限穷举法:通过精心构造查询语
