網(wǎng)站滲透測(cè)試報(bào)告

____________________________電子信息學(xué)院滲透測(cè)試課程實(shí)驗(yàn)報(bào)告____________________________實(shí)驗(yàn)名稱：________________________實(shí)驗(yàn)時(shí)間：________________________學(xué)生姓名：________________________學(xué)生學(xué)號(hào)：________________________目錄第1章概述1.1.測(cè)試目的通過(guò)實(shí)施針對(duì)性的滲透測(cè)試，發(fā)現(xiàn)XXXX網(wǎng)站系統(tǒng)的安全漏洞，保障XXX業(yè)務(wù)系統(tǒng)安全運(yùn)行。1.2.測(cè)試范圍根據(jù)事先交流，本次測(cè)試的范圍詳細(xì)如下：系統(tǒng)名稱XXX網(wǎng)站測(cè)試域名www.XX.測(cè)試時(shí)間2014年10月16日－2014年10月17日說(shuō)明本次滲透測(cè)試過(guò)程中使用的源IP可能為：合肥1.3.數(shù)據(jù)來(lái)源 通過(guò)漏洞掃描和手動(dòng)分析獲取相關(guān)數(shù)據(jù)。第2章詳細(xì)測(cè)試結(jié)果2.1.測(cè)試工具 根據(jù)測(cè)試的范圍，本次滲透測(cè)試可能用到的相關(guān)工具列表如下：檢測(cè)工具用途和說(shuō)明WVSWVS(WebVulnerabilityScanner)是一個(gè)自動(dòng)化的Web應(yīng)用程序安全測(cè)試工具，它可以通過(guò)檢查SQL注入攻擊漏洞、跨站腳本攻擊漏洞等來(lái)審核Web應(yīng)用程序。NmapLinux,FreeBSD,UNIX,Windows下的網(wǎng)絡(luò)掃描和嗅探工具包。Burpsuite網(wǎng)絡(luò)抓包工具，對(duì)網(wǎng)絡(luò)的數(shù)據(jù)包傳輸進(jìn)行抓取。瀏覽器插件對(duì)工具掃描結(jié)果進(jìn)行人工檢測(cè)，來(lái)判定問(wèn)題是否真實(shí)存在，具體方法依據(jù)實(shí)際情況而定。其他系統(tǒng)本身具備的相關(guān)命令，或者根據(jù)實(shí)際情況采用的其他工具。2.2.測(cè)試步驟預(yù)掃描通過(guò)端口掃描或主機(jī)查看，確定主機(jī)所開(kāi)放的服務(wù)。來(lái)檢查是否有非正常的服務(wù)程序在運(yùn)行。工具掃描 主要通過(guò)Nessus進(jìn)行主機(jī)掃描，通過(guò)WVS進(jìn)行WEB掃描。通過(guò)Nmap進(jìn)行端口掃描，得出掃描結(jié)果。三個(gè)結(jié)果進(jìn)行對(duì)比分析。人工檢測(cè) 對(duì)以上掃描結(jié)果進(jìn)行手動(dòng)驗(yàn)證，判斷掃描結(jié)果中的問(wèn)題是否真實(shí)存在。其他 根據(jù)現(xiàn)場(chǎng)具體情況，通過(guò)雙方確認(rèn)后采取相應(yīng)的解決方式。2.3.測(cè)試結(jié)果 本次滲透測(cè)試共發(fā)現(xiàn)2個(gè)類型的高風(fēng)險(xiǎn)漏洞，1個(gè)類型的低風(fēng)險(xiǎn)漏洞。這些漏洞可以直接登陸web管理后臺(tái)管理員權(quán)限，同時(shí)可能引起內(nèi)網(wǎng)滲透。獲取到的權(quán)限如下圖所示：可以獲取web管理后臺(tái)管理員權(quán)限，如下步驟所示：通過(guò)SQL盲注漏洞獲取管理員用戶名和密碼hash值，并通過(guò)暴力破解工具破解得到root用戶的密碼“mylove1993.” 利用工具掃描得到管理后臺(tái)url，使用root/mylove1993.登陸后臺(tái)如圖：2.3.1.跨站腳本漏洞風(fēng)險(xiǎn)等級(jí)：高漏洞描述:攻擊者可通過(guò)該漏洞構(gòu)造特定帶有惡意Javascript代碼的URL并誘使瀏覽者點(diǎn)擊，導(dǎo)致瀏覽者執(zhí)行惡意代碼。漏洞位置：XXX./red/latest_news.phpkd=&page=324變量：pageXXX.:80/red/latest_news.php變量：kdXXX.:80/red/search.php變量：kdXXX.:80/red/sqmz2_do.php變量：num、psd漏洞驗(yàn)證： 以其中一個(gè)XSS漏洞利用示范為例，在瀏覽器中輸入：XXX 結(jié)果如圖：修復(fù)建議： 對(duì)傳入的參數(shù)進(jìn)行有效性檢測(cè)，應(yīng)限制其只允許提交開(kāi)發(fā)設(shè)定范圍之內(nèi)的數(shù)據(jù)內(nèi)容。要解決跨站腳本漏洞，應(yīng)對(duì)輸入內(nèi)容進(jìn)行檢查過(guò)濾，對(duì)輸出內(nèi)容的特定字符轉(zhuǎn)義后輸出，可采取以下方式：在服務(wù)器端對(duì)所有的輸入進(jìn)行過(guò)濾，限制敏感字符的輸入。對(duì)輸出進(jìn)行轉(zhuǎn)義，尤其是<>()&#這些符號(hào)。<和>可以轉(zhuǎn)義為<和>。(和)可以轉(zhuǎn)義為(和)。#和&可以轉(zhuǎn)義為#和&。SQL盲注風(fēng)險(xiǎn)等級(jí)：高漏洞描述:系統(tǒng)中測(cè)試頁(yè)面中存在SQL注入漏洞，攻擊者可通過(guò)該漏洞查看、修改或刪除數(shù)據(jù)庫(kù)條目和表以獲取敏感信息。漏洞位置：XXX.:80/new/sqmz2_do.phpnum=2&psd=1&Submit3=%bf%aa%ca%bc%b2%e9%d1%af變量：num漏洞驗(yàn)證： 如下圖所示，參數(shù)num存在UNIONquery類型的盲注： 利用工具列出數(shù)據(jù)庫(kù)名 利用工具列出數(shù)據(jù)庫(kù)hnrllb中的表名 利用工具列出表admin中的列名 利用工具列出表admin中id、username、truename和password字段內(nèi)容整改建議： 過(guò)濾（'"selectupdateorand）等特殊符號(hào)或者使用preparestatement函數(shù)，直接刪除該測(cè)試頁(yè)面，或部署web應(yīng)用防護(hù)設(shè)備。2.3.2.管理后臺(tái)風(fēng)險(xiǎn)等級(jí)：低漏洞描述:攻擊者可通過(guò)工具或者人工猜解，獲取管理后臺(tái)url地址。漏洞位置：XXX./kanetwork/admin_login/login.php漏洞驗(yàn)證： 在瀏覽器中輸入XXX./kanetwork/admin_login/login.php結(jié)果如圖：整改建議： 修改管理后臺(tái)url。2.4.實(shí)驗(yàn)總結(jié)通過(guò)本次滲透測(cè)試發(fā)現(xiàn)新網(wǎng)站系統(tǒng)存在的薄弱環(huán)節(jié)較多，后續(xù)完全修復(fù)工作量較大：1. 應(yīng)用系統(tǒng)在正式部署上線前應(yīng)在內(nèi)網(wǎng)先進(jìn)行安全測(cè)試，通過(guò)安全測(cè)試后再放至公網(wǎng)；2 應(yīng)用系統(tǒng)在開(kāi)發(fā)過(guò)程中，應(yīng)考慮網(wǎng)站應(yīng)具備的安全功能需求，如：登錄框的驗(yàn)證碼機(jī)制、口令的復(fù)雜度限制、口令的加