xx网站安全漏洞检查分析报告.docx

1、xx网站安全漏洞检查分析报告xx网站安全漏洞检查报告作者:日期:xx网站安全漏洞检查报告有限公司目录:1工作描述 52安全评估方式 53安全评估的必要性 64安全评估方法 64.1信 息 收 集64.2权 限 提 升74.3溢 出 测 试74.4SQL 注 入 攻 击74.5检 测 页 面 隐 藏 字 段74.6跨 站 攻 击74.7第 三 方 软 件 误 配 置84.8Cookie 利 用84.9后 门 程 序 检 查84.10其他测试 85XX网站检查情况(http:/www. ) 85.1漏 洞 统 计95.2结 果 ：96发现安全隐患 96.1发 现 安 全 隐 患 ： SQL 注 入

2、 漏 洞96.1.1漏 洞 位 置96.2发现安全隐患 ： XSS (跨脚 本攻击)106.2.1漏洞位置10 107 丄通丿用安干.建 7.1SQL注入类7.2跨站脚本类107.3密码泄漏类107.4其他类117.5服务最小化117.6配置权限117.7配置日志118 附录 8.1Web应用漏洞原.11理118.1.1WEB漏洞的疋义118.1.2WEB漏洞的特占八、8.2典12型漏洞介绍128.3XSS跨站脚本攻击128.4SQLINJECTION数据 库注入 攻击131工作描述本次项目的安全评估对象为： http:/安全评估是可以帮助用户对目前自己的网络、系统、应用的缺陷有相对直观的认识

3、和了解。以第三方角度对用户网络安全性进行检查， 可以让用户了解从外部网络漏洞可以被利用的情况，安全顾问通过解释所用工具在探查过程中所得到的结果， 并把得到的结果与已有的安全措施进行比对。2安全评估方式安全评估主要依据安全工程师已经掌握的安全漏洞和安全检测工具，采用工具扫描 +手工验证的方式。模拟黑客的攻击方法在客户的授权和监督下对客户的系统和网络进行非破 坏性质的攻击性测试。3安全评估的必要性安全评估利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对授权测试环境中的核心服务器及重要的网络设备， 包括服务器、防火墙等进行非破坏性质的模拟黑客攻击，目的是侵入系统并获取机密信息并

4、将入侵的过程和细节产生报告给用 户。安全评估和工具扫描可以很好的互相补充。 工具扫描具有很好的效率和速度， 但是存在一定的误报率和漏报率， 并且不能发现高层次、复杂、并且相互关联的安全问题； 安全评估 需要投入的人力资源较大、 对测试者的专业技能要求很高 （安全评估报告的价值直接依赖于测试者的专业技能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。此次安全评估的范围：序号域名（IP）备注01http:/www.xx网站020304050607084安全评估方法4.1信息收集信息收集分析几乎是所有入侵攻击的前提 /前奏/基础。“知己知彼，百战不 殆”信息收集分析就是完成的这个任务。通过信息

5、收集分析，攻击者（测试者） 可以相应地、有针对性地制定入侵攻击的计划，提高入侵的成功率、减小暴露或 被发现的几率。本次评估主要是启用网络漏洞扫描工具，通过网络爬虫测试网站安全、检测流行的攻击、如交叉站点脚本、SQL注入等。4.2权限提升通过收集信息和分析，存在两种可能性，其一是目标系统存在重大弱点：测 试者可以直接控制目标系统，这时测试者可以直接调查目标系统中的弱点分布、 原因，形成最终的测试报告；其二是目标系统没有远程重大弱点， 但是可以获得 远程普通权限，这时测试者可以通过该普通权限进一步收集目标系统信息。 接下来，尽最大努力获取本地权限，收集本地资料信息，寻求本地权限升级的机会。 这些不

6、停的信息收集分析、权限升级的结果构成了整个安全评估过程的输出。4.3溢出测试当无法直接利用帐户口令登陆系统时，也会采用系统溢出的方法直接获得系 统控制权限，此方法有时会导致系统死机或从新启动，但不会导致系统数据丢失， 如出现死机等故障，只要将系统从新启动并开启原有服务即可。4.4 SQL注入攻击SQL注入常见于那些应用了 SQL数据库后端的网站服务器，黑客通过向提 交某些特殊SQL语句，最终可能获取、篡改、控制网站 服务器端数据库中的内 容。此类漏洞是黑客最常用的入侵方式之一4.5检测页面隐藏字段网站应用系统常采用隐藏字段存储信息。许多基于网站的电子商务应用程序 用隐藏字段来存储商品价格、用户

7、名、密码等敏感内容。心存恶意的用户，通过 操作隐藏字段内容，达到恶意交易和窃取信息等行为，是一种非常危险的漏洞。4.6跨站攻击攻击者可以借助网站来攻击访问此网站的终端用户， 来获得用户口令或使用站点挂马来控制客户端。4.7第三方软件误配置第三方软件的错误设置可能导致黑客利用该漏洞构造不同类型的入侵攻击。4.8 Cookie 利用网站应用系统常使用cookies机制在客户端主机上保存某些信息，例如用户 ID、口令、时间戳等。黑客可能通过篡改 cookies内容，获取用户的账号，导致 严重的后果。4.9后门程序检查系统开发过程中遗留的后门和调试选项可能被黑客所利用， 导致黑客轻易地从捷径实施攻击。

8、4.10其他测试在安全评估中还需要借助暴力破解、网络嗅探等其他方法，目的也是为获取 用户名及密码。5 XX网站检查情况(http:/www.)网站地址名称http:/www.xx网站网站地址高中低总计总计62-截图（Acunetix Web Vulnerability Scanner 报告中）5.2结果:本次网站安全检查是完全站在攻击者角度， 模拟黑客可能使用的攻击技术和 漏洞发现技术进行的安全性测试，通过结合多方面的攻击技术进行测试， 发现本 市网站系统存在比较明显的、可利用的安全漏洞，网站安全等级为非常危险，针 对已存在漏洞的系统需要进行重点加固。6发现安全隐患6.1发现安全隐患：SQL注

9、入漏洞6.1.1漏洞位置例如：http:/ 域名 /dzly/index.php?id=88 （可截图）6.2发现安全隐患：XSS （跨脚本攻击）6.2.1漏洞位置（可截图）7通用安全建议7.1 SQL注入类没有被授权的恶意攻击者可以在有该漏洞的系统上任意执行 SQL命令，这将威胁到数据库的安全，并且会泄漏敏感信息。针对SQL注入，目前的解决办法是：1、 在程序中限制用户提交数据的长度。2、 对用户输入的数据进行合法性检查，只允许合法字符通过检测。对于非 字符串类型的，强制检查类型；字符串类型的，过滤单引号。3、 WEB程序调动低权限的sql用户连接，勿用类似于dbo高权限的sql账 号。细化

10、Sql用户权限，限定用户仅对自身数据库的访问控制权限。4、 使用具备拦截SQL注入攻击能力（专门算法）的IPS （入侵防御设备） 来保护网站系统。7.2跨站脚本类1、 在程序中限制用户提交数据的长度。2、 对用户输入的数据进行合法性检查，只允许合法字符通过检测。3、 使用具备拦截跨站脚本攻击能力（专门算法）的 IPS （入侵防御设备） 来保护网站系统。7.3密码泄漏类采用HTTPS协议，保护登录页面并对用户名密码参数采用密文传输。7.4其他类如上传漏洞修改程序过滤恶意文件；证书错误修改证书；链接错误修改错误链接，开放不安全端口等。7.5服务最小化对系统主机的服务进行确认关闭一些无用的服务或端口

11、，确保主机安全。对数据库的一些端口建议对端口进行做防火墙连接限制，保证不能让外界主机对数据库进行管理。7.6配置权限将网站的各个目录(包括子目录)尽量减小权限，需要用什么权限开什么权限，其他的权限全部删除。7.7配置日志对访问网站的URL动作进行记录全部日志，以便日后的审计和检查。8附录8.1Web应用漏洞原理8.1.1WEB漏洞的定义WE程序语言，无论是ASP PHP JSP或者perl等等，都遵循一个基本的接口规 范，那就是CGI (Common Gaterway In terface )，这也就使得 WEBS洞具有很多相通 的地方，但是由于各种实现语言有自己的特点，所以 WEB漏洞体现在

12、各种语言方面又 有很多不同的地方，WEB漏洞就是指在WEB程序设计开发的过程中，由于各种原因所导致的安全问题，这可能包括设计缺陷，编程错误或者是配置问题等。8.1.2 WEB漏洞的特点WEB漏洞包括四大特点，即普遍存在、后果严重、容易利用和容易隐藏。普遍存在是因为WE应用广泛以及WE程序员普遍不懂安全知识导致的；后果严重是因为 WEB 漏洞可以导致对数据库中的敏感数据的任意增加、篡改和删除，以及执行任意代码或 者读、写、删除任意文件；容易利用是因为攻击者不需要任何特殊的工具，只需要一 个浏览器就可以完成整个攻击的过程；容易隐藏则是由于 HTTP协议和WE曲艮务器的特点，攻击者可以非常容易的隐藏

13、自己的攻击行为。8.2典型漏洞介绍8.3 XSS跨站脚本攻击漏洞成因是因为WE程序没有对用户提交的变量中的 HTML弋码进行过滤或转换。漏洞形式这里所说的形式，实际上是指 WEB俞入的形式，主要分为两种：1显示输入2.隐式输入其中显示输入明确要求用户输入数据，而隐式输入则本来并不要求用户输入数据，但是用户却可以通过输入数据来进行干涉。显示输入又可以分为两种：1.输入完成立刻输出结果2.输入完成先存储在文本文件或数据库中，然后再输出结果注意：后者可能会让你的网站面目全非！而隐式输入除了一些正常的情况外，还可以利用服务器或WEB?序处理错误信息的方式来实施。漏洞危害比较典型的危害包括但不限于：1.

14、获取其他用户Cookie中的敏感数据2屏蔽页面特定信息3.伪造页面信息4.拒绝服务攻击5.突破外网内网不同安全设置6.与其它漏洞结合，修改系统设置，查看系统文件，执行系统命 令等7.其它一般来说，上面的危害还经常伴随着页面变形的情况。 而所谓跨站脚本执行漏洞，也就是通过别人的网站达到 攻击的效果，也就是说，这种攻击能在一定程度上隐藏 身份。8.4 SQL INJECTION 数据库注入攻击SQL Injectio n 定义所谓SQLInjection ，就是通过向有SQL查询的WEB? 序提交一个精心构造的请求，从而突破了最初的 SQL查 询限制，实现了未授权的访问或存取。SQL Inject

15、io n 原理随着WEB应用的复杂化，多数 WEB应用都使用数据库作 为后台，WEB程序接受用户参数作为查询条件，即用户 可以在某种程度上控制查询的结果，如果 WEB?序对用 户输入过滤的比较少，那么入侵者就可能提交一些特殊 的参数，而这些参数可以使该查询语句按照自己的意图 来运行，这往往是一些未授权的操作，这样只要组合后 的查询语句在语法上没有错误，那么就会被执行。SQL Injectio n 危害SQL Injection 的危害主要包括：1露敏感信息2提升WEB应用程序权限3操作任意文件4执行任意命令SQL Injectio n 技巧利用SQL Injection 的攻击技巧主要有如下几种：1逻辑组合法：通过组合多种逻辑查询语句，获得所需要的查询结果。2错误信息法：通过精心构造某些查询语句，使数据库运行出错,错误信息中包含了敏感信息。3有限穷举法：通过精心构造查询语句，可以快速穷举出数据库中的任意信息。4移花接木法：利用数据库已有资源，结合其特性立刻获得所需信息。