普元材料2安全測(cè)試報(bào)告

EOSPlatform7.2安全測(cè)試報(bào)告/第15頁(yè)共15頁(yè)P(yáng)RIMETONTECHNOLOGIES,LTD.上海普元信息技術(shù)有限責(zé)任公司EOSPlatform7.2項(xiàng)目安全測(cè)試報(bào)告Nopartofthisdocumentmaybereproduced,storedinanyelectronicretrievalsystem,ortransmittedinanyformorbyanymeans,mechanical,photocopying,recording,otherwise,withoutthewrittenpermissionofthecopyrightowner.COPYRIGHT2008byPrimetonTechnologies,Ltd.ALLRIGHTSRESERVED.文檔修訂記錄序號(hào)版本號(hào)修訂日期修訂概述修訂人審核人批準(zhǔn)人備注1.0.02014-08-11創(chuàng)建朱倩容

目錄1 測(cè)試概述 31.1 測(cè)試目的 31.2 測(cè)試對(duì)象 41.3 測(cè)試范圍 42 測(cè)試環(huán)境 42.1 測(cè)試環(huán)境 42.2 測(cè)試工具 43 測(cè)試過(guò)程概述 44 測(cè)試結(jié)論 54.1 總體說(shuō)明 54.2 附錄 54.2.1 default應(yīng)用 54.2.2 governor應(yīng)用 94.2.3 workspace應(yīng)用 114.2.4 portal應(yīng)用 14測(cè)試概述測(cè)試目的本次測(cè)試的目的是對(duì)EOSPlatform7.2產(chǎn)品的功能進(jìn)行安全掃描，發(fā)現(xiàn)缺陷，驗(yàn)證缺陷，同時(shí)對(duì)EOSPlatform7.2版本的安全情況出客觀評(píng)價(jià)。測(cè)試對(duì)象EOSPlatform7.2產(chǎn)品安裝包測(cè)試范圍default應(yīng)用的sce和seegovernor應(yīng)用workspace應(yīng)用portal應(yīng)用測(cè)試環(huán)境測(cè)試環(huán)境本次安全測(cè)試主要是針對(duì)多服務(wù)器的單機(jī)版：Windows7+Tomcat7Windows7+Jboss6Windows7+Weblogic10.3Linux+WAS7.0Windows7+Pas6.0測(cè)試工具本次安全掃描使用業(yè)內(nèi)主流的安全掃描軟件Appscan9.0版本。測(cè)試過(guò)程概述整個(gè)測(cè)試過(guò)程是使用測(cè)試工具appscan對(duì)EOSPlatform7.2的功能進(jìn)行掃描的過(guò)程，因?yàn)楣ぞ邔?duì)EOSPlatform7.2的功能的URL識(shí)別不完全，工具自帶的瀏覽器也和IE顯示的不同，所以應(yīng)用上需要手工修改一些內(nèi)容。對(duì)于default應(yīng)用，默認(rèn)掃描出登錄頁(yè)面，里面的應(yīng)用的url都是手工探索出的，掃描sce時(shí)左側(cè)的樹(shù)會(huì)出現(xiàn)頻繁報(bào)錯(cuò)，需要修改default\common\skins\skin0和default\common\skins\capskin0的component.jsp，把把eos-web.js.gzip的.gzip去掉在governor應(yīng)用下，登錄后左側(cè)的樹(shù)不顯示，修改

webapps\governor\common\skins\skin0\component.jsp，把eos-web.js.gzip的.gzip去掉測(cè)試過(guò)程中默認(rèn)不要使用試用版的license，需要使用無(wú)并發(fā)限制的license對(duì)于安全掃描，每個(gè)應(yīng)用的user-config.xml中設(shè)置了安全的開(kāi)關(guān)，掃描時(shí)需要打開(kāi)開(kāi)關(guān)。測(cè)試結(jié)論總體說(shuō)明測(cè)試結(jié)果顯示；高嚴(yán)重性和中嚴(yán)重性的漏洞已經(jīng)基本得到修復(fù)，低嚴(yán)重性的漏洞有所遺留。特別說(shuō)明：目前存在的一些問(wèn)題主要在于三類(lèi)：掃描工具本身的測(cè)試用例存在問(wèn)題，在高并發(fā)大數(shù)據(jù)包情況下，存在數(shù)據(jù)包長(zhǎng)度與http頭中長(zhǎng)度標(biāo)識(shí)不一致的情況，導(dǎo)致sql盲注等漏洞應(yīng)用服務(wù)器本身存在漏洞，需要用戶(hù)自行選擇合適的服務(wù)器及補(bǔ)丁解決掃描工具過(guò)于嚴(yán)格，一些中嚴(yán)重性和低嚴(yán)重性漏洞的出現(xiàn)屬于合理范圍（比如jsp上存在注釋?zhuān)瑫?huì)話缺少secure屬性等），這類(lèi)問(wèn)題產(chǎn)品沒(méi)有集中解決附錄default應(yīng)用測(cè)試結(jié)果1、應(yīng)用服務(wù)器Tomcat7.0（1）Tomcat下的see遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性SQL盲注10中等嚴(yán)重性不充分帳戶(hù)封鎖1會(huì)話標(biāo)識(shí)未更新1加密會(huì)話（SSL）Cookie中缺少Secure屬性1支持弱SSL密碼套件1低嚴(yán)重性會(huì)話cookie中缺少HttpOnly屬性1檢測(cè)到文件替代版本36臨時(shí)文件下載36（2）Tomcat下的sce遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性SQL盲注6中等嚴(yán)重性Windows文件參數(shù)變更2會(huì)話標(biāo)識(shí)未更新1加密會(huì)話（SSL）Cookie中缺少Secure屬性1支持弱SSL密碼套件1低嚴(yán)重性會(huì)話cookie中缺少HttpOnly屬性1檢測(cè)到文件替代版本37臨時(shí)文件下載372、應(yīng)用服務(wù)器Jboss6.0（1）Jboss下的see：遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性JBossJava管理擴(kuò)展控制臺(tái)認(rèn)證旁路1SQL盲注2中等嚴(yán)重性不充分帳戶(hù)封鎖1會(huì)話標(biāo)識(shí)未更新1啟用了不安全的HTTP方法1支持弱SSL密碼套件1低嚴(yán)重性Flash參數(shù)AllowScriptAccess已設(shè)置為always1會(huì)話cookie中缺少HttpOnly屬性2檢測(cè)到文件替代版本22臨時(shí)文件下載22（2）Jboss下的sce：遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性JBossJava管理擴(kuò)展控制臺(tái)認(rèn)證旁路1SQL盲注7中等嚴(yán)重性Windows文件參數(shù)變更2會(huì)話標(biāo)識(shí)未更新1中等嚴(yán)重性加密會(huì)話（SSL）Cookie中缺少Secure屬性1啟用了不安全的HTTP方法1支持弱SSL密碼套件1低嚴(yán)重性會(huì)話cookie中缺少HttpOnly屬性2檢測(cè)到文件替代版本32臨時(shí)文件下載323、應(yīng)用服務(wù)器Weblogic（1）Weblogic下的see遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性CNCTekBizDB搜索腳本遠(yuǎn)程Shell命令執(zhí)行1TektronixPhaserLinkWebserver遠(yuǎn)程管理認(rèn)證旁路4中等嚴(yán)重性AllaireJRun2.3.X樣本源代碼泄露4不充分帳戶(hù)封鎖1會(huì)話標(biāo)識(shí)未更新1支持弱SSL密碼套件1低嚴(yán)重性發(fā)現(xiàn)可高速緩存的SSL頁(yè)面8發(fā)現(xiàn)潛在訂單信息9發(fā)現(xiàn)潛在注冊(cè)信息27會(huì)話cookie中缺少HttpOnly屬性1檢測(cè)到文件替代版本50臨時(shí)文件下載51直接訪問(wèn)管理頁(yè)面18（2）Weblogic下的sce遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性跨站點(diǎn)腳本編制2通過(guò)URL重定向釣魚(yú)1中等嚴(yán)重性Windows文件參數(shù)變更6會(huì)話標(biāo)識(shí)未更新1支持弱SSL密碼套件1低嚴(yán)重性會(huì)話cookie中缺少HttpOnly屬性1檢測(cè)到文件替代版本27檢測(cè)到隱藏目錄4臨時(shí)文件下載284、應(yīng)用服務(wù)器Was（1）Was下的see遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性SQL盲注6TektronixPhaserLinkWebserver遠(yuǎn)程管理認(rèn)證旁路3中等嚴(yán)重性AllaireJRun2.3.X樣本源代碼泄露3不充分帳戶(hù)封鎖1會(huì)話標(biāo)識(shí)未更新1加密會(huì)話（SSL）Cookie中缺少Secure屬性1低嚴(yán)重性IBMWebSphereApplicationServer文件泄露1發(fā)現(xiàn)可高速緩存的SSL頁(yè)面3發(fā)現(xiàn)潛在訂單信息10發(fā)現(xiàn)潛在注冊(cè)信息30會(huì)話cookie中缺少HttpOnly屬性1檢測(cè)到文件替代版本46檢測(cè)到隱藏目錄1臨時(shí)文件下載43直接訪問(wèn)管理頁(yè)面17（2）Was下的sce遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性SQL盲注2通過(guò)URL重定向釣魚(yú)1中等嚴(yán)重性會(huì)話標(biāo)識(shí)未更新1加密會(huì)話（SSL）Cookie中缺少Secure屬性1跨站點(diǎn)請(qǐng)求偽造1低嚴(yán)重性IBMWebSphereApplicationServer文件泄露1SSL請(qǐng)求中的查詢(xún)參數(shù)5發(fā)現(xiàn)可高速緩存的SSL頁(yè)面2會(huì)話cookie中缺少HttpOnly屬性1檢測(cè)到文件替代版本26檢測(cè)到隱藏目錄1臨時(shí)文件下載275、應(yīng)用服務(wù)器Pas（1）Pas下的see遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性SQL盲注1TektronixPhaserLinkWebserver遠(yuǎn)程管理認(rèn)證旁路13中等嚴(yán)重性AllaireJRun2.3.X樣本源代碼泄露13不充分帳戶(hù)封鎖1會(huì)話標(biāo)識(shí)未更新1加密會(huì)話（SSL）Cookie中缺少Secure屬性1跨站點(diǎn)請(qǐng)求偽造1支持弱SSL密碼套件1低嚴(yán)重性發(fā)現(xiàn)可高速緩存的SSL頁(yè)面12發(fā)現(xiàn)潛在訂單信息15發(fā)現(xiàn)潛在注冊(cè)信息45會(huì)話cookie中缺少HttpOnly屬性2檢測(cè)到文件替代版本58臨時(shí)文件下載58直接訪問(wèn)管理頁(yè)面30（2）Pas下的sce遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性通過(guò)URL重定向釣魚(yú)1中等嚴(yán)重性會(huì)話標(biāo)識(shí)未更新1加密會(huì)話（SSL）Cookie中缺少Secure屬性1支持弱SSL密碼套件1低嚴(yán)重性發(fā)現(xiàn)可高速緩存的SSL頁(yè)面8會(huì)話cookie中缺少HttpOnly屬性2檢測(cè)到文件替代版本26臨時(shí)文件下載24結(jié)果分析高嚴(yán)重性問(wèn)題屬于總體說(shuō)明中的特別說(shuō)明第一類(lèi)問(wèn)題，屬于測(cè)試工具的問(wèn)題，具體可通過(guò)tcp抓包或開(kāi)啟應(yīng)用服務(wù)器日志查看；中嚴(yán)重性問(wèn)題中，與SSL相關(guān)的問(wèn)題，需要用戶(hù)自行申請(qǐng)可信證書(shū)解決，產(chǎn)品已提供安全協(xié)議轉(zhuǎn)換能力。對(duì)于賬戶(hù)封鎖等問(wèn)題，可通過(guò)IP鎖定，黑白名單等能力解決，需要結(jié)合用戶(hù)應(yīng)用需求，產(chǎn)品未提供相關(guān)能力；其他問(wèn)題屬于總體說(shuō)明中的特別說(shuō)明第二、三類(lèi)問(wèn)題。governor應(yīng)用測(cè)試結(jié)果1、應(yīng)用服務(wù)器Tomcat遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性已解密的登錄請(qǐng)求6中等嚴(yán)重性會(huì)話標(biāo)識(shí)未更新2低嚴(yán)重性檢測(cè)到文件替代版本1臨時(shí)文件下載1在參數(shù)值中找到了內(nèi)部IP公開(kāi)模式35自動(dòng)填寫(xiě)未對(duì)密碼字段禁用的HTML屬性32、應(yīng)用服務(wù)器Jboss遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性AlibabaWeb服務(wù)器文件下載和遠(yuǎn)程命令執(zhí)行4Apache::ASP模塊Source.asp文件創(chuàng)建4AuctionWeaverCGI遠(yuǎn)程Shell執(zhí)行8Bugzilla遠(yuǎn)程命令執(zhí)行4CNCTekBizDB搜索腳本遠(yuǎn)程Shell命令執(zhí)行4Conservatives腳本遠(yuǎn)程Shell執(zhí)行8已解密的登錄請(qǐng)求7中等嚴(yán)重性AccountManagerCGI遠(yuǎn)程密碼更改4AHGEZshopper文件下載4會(huì)話標(biāo)識(shí)未更新2跨站點(diǎn)請(qǐng)求偽造1啟用了不安全的HTTP方法1新聞更新訪問(wèn)控制旁路4應(yīng)用流程Subversion所用的Webevent管理權(quán)43、應(yīng)用服務(wù)器Weblogic遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性O(shè)racleApplicationServerPL/SQL未授權(quán)的SQL查詢(xún)執(zhí)行2SQL盲注1會(huì)話定置3已解密的登錄請(qǐng)求6中等嚴(yán)重性登錄錯(cuò)誤消息憑證枚舉1會(huì)話標(biāo)識(shí)未更新3跨站點(diǎn)請(qǐng)求偽造1低嚴(yán)重性MicrosoftSiteServeradSamples信息泄露1Oracle日志文件信息泄露2發(fā)現(xiàn)可高速緩存的登錄頁(yè)面1會(huì)話cookie中缺少HttpOnly屬性1檢測(cè)到文件替代版本1臨時(shí)文件下載3在參數(shù)值中找到了內(nèi)部IP公開(kāi)模式34直接訪問(wèn)管理頁(yè)面19自動(dòng)填寫(xiě)未對(duì)密碼字段禁用的HTML屬性14、應(yīng)用服務(wù)器Was遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性已解密的登錄請(qǐng)求7中等嚴(yán)重性不充分帳戶(hù)封鎖1會(huì)話標(biāo)識(shí)未更新3跨站點(diǎn)請(qǐng)求偽造1低嚴(yán)重性MicrosoftSiteServeradSamples信息泄露1會(huì)話cookie中缺少HttpOnly屬性1檢測(cè)到文件替代版本1臨時(shí)文件下載2在參數(shù)值中找到了內(nèi)部IP公開(kāi)模式36在未加密連接中發(fā)現(xiàn)信用卡號(hào)模式(Visa)1直接訪問(wèn)管理頁(yè)面19自動(dòng)填寫(xiě)未對(duì)密碼字段禁用的HTML屬性35、應(yīng)用服務(wù)器Pas遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性已解密的登錄請(qǐng)求7中等嚴(yán)重性不充分帳戶(hù)封鎖1會(huì)話標(biāo)識(shí)未更新2跨站點(diǎn)請(qǐng)求偽造1低嚴(yán)重性MicrosoftSiteServeradSamples信息泄露1會(huì)話cookie中缺少HttpOnly屬性1檢測(cè)到文件替代版本1臨時(shí)文件下載2在參數(shù)值中找到了內(nèi)部IP公開(kāi)模式36在未加密連接中發(fā)現(xiàn)信用卡號(hào)模式(Visa)2直接訪問(wèn)管理頁(yè)面19自動(dòng)填寫(xiě)未對(duì)密碼字段禁用的HTML屬性2結(jié)果分析分析結(jié)果與default應(yīng)用類(lèi)似，對(duì)于高嚴(yán)重性中出現(xiàn)的“已解密的登錄請(qǐng)求”問(wèn)題，考慮到管理類(lèi)應(yīng)用的安全要求一般不會(huì)太高，沒(méi)有采用類(lèi)似default應(yīng)用的安全協(xié)議轉(zhuǎn)換方案，如果對(duì)安全性要求很高，可采用整體安全協(xié)議的方案（整個(gè)governor應(yīng)用都使用https協(xié)議訪問(wèn)）。workspace應(yīng)用測(cè)試結(jié)果應(yīng)用服務(wù)器Tomcat遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性AlibabaWeb服務(wù)器文件下載和遠(yuǎn)程命令執(zhí)行3SQL盲注17StatisticsServerLiveStatsss.cfg拒絕服務(wù)3TektronixPhaserLinkWebserver遠(yuǎn)程管理認(rèn)證旁路3UtilMindMaillist.cgi遠(yuǎn)程命令執(zhí)行3Whois_raw.cgi遠(yuǎn)程命令執(zhí)行3已解密的登錄請(qǐng)求5中等嚴(yán)重性AccountManagerCGI遠(yuǎn)程密碼更改3AHGEZshopper文件下載3AllaireJRun2.3.X樣本源代碼泄露3BannerRotating01特權(quán)升級(jí)3BigBrother遠(yuǎn)程文件下載3BytesInteractiveShopper.cgi購(gòu)物車(chē)目錄遍歷3CGIForum文件下載3DCForum文件下載3低嚴(yán)重性LyrisListManager訪問(wèn)控制旁路3Mailfile.cgi任意文件下載3MailForm.pl文件下載3MoreoverCachedFeed.cgi文件下載3MultiHTMLPoisonNullByte任意文件下載3Netauth目錄遍歷3臨時(shí)文件下載61直接訪問(wèn)管理頁(yè)面57自動(dòng)填寫(xiě)未對(duì)密碼字段禁用的HTML屬性32、應(yīng)用服務(wù)器Jboss遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性SQL盲注7StatisticsServerLiveStatsss.cfg拒絕服務(wù)4TektronixPhaserLinkWebserver遠(yuǎn)程管理認(rèn)證旁路4UtilMindMaillist.cgi遠(yuǎn)程命令執(zhí)行4Whois_raw.cgi遠(yuǎn)程命令執(zhí)行4已解密的登錄請(qǐng)求2中等嚴(yán)重性AccountManagerCGI遠(yuǎn)程密碼更改4AHGEZshopper文件下載4BytesInteractiveShopper.cgi購(gòu)物車(chē)目錄遍歷4YaBB任意文件下載4會(huì)話標(biāo)識(shí)未更新1啟用了不安全的HTTP方法1新聞更新訪問(wèn)控制旁路4應(yīng)用流程Subversion所用的Webevent管理權(quán)43、應(yīng)用服務(wù)器Weblogic遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性SQL盲注8已解密的登錄請(qǐng)求5中等嚴(yán)重性會(huì)話標(biāo)識(shí)未更新1跨裝點(diǎn)請(qǐng)求偽造1鏈接注入（便于跨站請(qǐng)求偽造）3低嚴(yán)重性MicrosoftIIS缺少Host頭信息泄露1發(fā)現(xiàn)壓縮目錄2會(huì)話cookie中缺少HttpOnly屬性1檢測(cè)到文件替代版本22臨時(shí)文件下載23在未加密連接中發(fā)現(xiàn)信用卡號(hào)模式(Visa)1直接訪問(wèn)管理頁(yè)面10自動(dòng)填寫(xiě)未對(duì)密碼字段禁用的HTML屬性14、應(yīng)用服務(wù)器Was遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性SQL盲注35已解密的登錄請(qǐng)求5中等嚴(yán)重性會(huì)話標(biāo)識(shí)未更新1低嚴(yán)重性IBMWebSphereApplicationServer文件泄露1MicrosoftSiteServeradSamples信息泄露1Oracle日志文件信息泄露2發(fā)現(xiàn)潛在訂單信息3發(fā)現(xiàn)潛在注冊(cè)信息9發(fā)現(xiàn)壓縮目錄8歸檔文件下載14會(huì)話cookie中缺少HttpOnly屬性1檢測(cè)到文件替代版本34臨時(shí)文件下載34在未加密連接中發(fā)現(xiàn)信用卡號(hào)模式(MasterCard)1直接訪問(wèn)管理頁(yè)面19自動(dòng)填寫(xiě)未對(duì)密碼字段禁用的HTML屬性35、應(yīng)用服務(wù)器Pas遺留問(wèn)題的嚴(yán)重程度具體問(wèn)題問(wèn)題個(gè)數(shù)高嚴(yán)重性AlibabaWeb服務(wù)器文件下載和遠(yuǎn)程命令執(zhí)行1AuctionWeaverCGI遠(yuǎn)程Shell執(zhí)行2Bugzilla遠(yuǎn)程命令執(zhí)行1ExtropiaWebBanner遠(yuǎn)程命令執(zhí)行1FingerServerCGIShell命令執(zhí)行1已解密的登錄請(qǐng)求2中等嚴(yán)重性AccountManagerCGI遠(yuǎn)程密碼更改1AHGEZshopper文件下載1AllaireJRun2.3.X樣本源代碼泄露1BannerRotating01特權(quán)升級(jí)1低嚴(yán)重性BasilixWebmail訪問(wèn)控制旁路1會(huì)話cookie中缺少HttpOnly屬性2檢測(cè)到ASP.NET項(xiàng)目轉(zhuǎn)換報(bào)告1檢測(cè)到文件替代版本34臨時(shí)文件下載35直接訪問(wèn)管理頁(yè)