xx网站安全漏洞检查分析报告.docx

xx网站安全漏洞检查分析报告.docx

《xx网站安全漏洞检查分析报告.docx》由会员分享，可在线阅读，更多相关《xx网站安全漏洞检查分析报告.docx（14页珍藏版）》请在冰点文库上搜索。

xx网站安全漏洞检查分析报告

xx

网站安全漏洞检查报告

作者:

日期:

xx

网站安全漏洞检查报告

有限公司

目录:

1工作描述5

2安全评估方式5

3安全评估的必要性6

4安全评估方法6

4.1信息收集

6

4.2权限提升

7

4.3溢出测试

7

4.4SQL注入攻击

7

4.5检测页面隐藏字段

7

4.6跨站攻击

7

4.7第三方软件误配置

8

4.8Cookie利用

8

4.9后门程序检查

8

4.10其他测试8

5XX网站检查情况（http:

//www.）8

5.1漏洞统计

9

5.2结果：

9

6发现安全隐患9

6.1发现安全隐患：

SQL注入漏洞

9

6.1.1漏洞位置

9

6.2发现安全隐患：

XSS（跨脚本攻击）

10

6.2.1漏

洞

位

置

10

10

7丄通丿用安干.建

7.1SQL

注

入

类

7.2跨

站

脚

本

类

10

7.3密

码

泄

漏

类

10

7.4其

他

类

11

7.5服

务

最

小

化

11

7.6配

置

权

限

11

7.7配

置

日

志

11

8附录

8.1Web

应

用

漏

洞

原

...11

理

11

8.1.1WEB

漏

洞

的

疋

义

11

8.1.2WEB

漏

洞

的

特

占

八、、

8.2典

12

型

漏

洞

介

绍

12

8.3XSS

跨

站

脚

本

攻

击

12

8.4SQL

INJECTION

数

据库

注

入攻

击

13

1工作描述

本次项目的安全评估对象为：

http:

//

安全评估是可以帮助用户对目前自己的网络、系统、应用的缺陷有相对直观的认识和

了解。

以第三方角度对用户网络安全性进行检查，可以让用户了解从外部网络漏洞可以被利

用的情况，安全顾问通过解释所用工具在探查过程中所得到的结果，并把得到的结果与已有

的安全措施进行比对。

2安全评估方式

安全评估主要依据安全工程师已经掌握的安全漏洞和安全检测工具，采用工具扫描+

手工验证的方式。

模拟黑客的攻击方法在客户的授权和监督下对客户的系统和网络进行非破坏性质的攻击性测试。

3安全评估的必要性

安全评估利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经

验对授权测试环境中的核心服务器及重要的网络设备，包括服务器、防火墙等进行非破坏性

质的模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。

安全评估和工具扫描可以很好的互相补充。

工具扫描具有很好的效率和速度，但是存在

一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题；安全评估需要投入的人力资源较大、对测试者的专业技能要求很高（安全评估报告的价值直接依赖于

测试者的专业技能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。

此次安全评估的范围：

序号

域名（IP）

备注

01

http:

//www.

xx网站

02

03

04

05

06

07

08

4安全评估方法

4.1信息收集

信息收集分析几乎是所有入侵攻击的前提/前奏/基础。

“知己知彼，百战不殆”信息收集分析就是完成的这个任务。

通过信息收集分析，攻击者（测试者）可以相应地、有针对性地制定入侵攻击的计划，提高入侵的成功率、减小暴露或被发现的几率。

本次评估主要是启用网络漏洞扫描工具，通过网络爬虫测试网站安全、检

测流行的攻击、如交叉站点脚本、SQL注入等。

4.2权限提升

通过收集信息和分析，存在两种可能性，其一是目标系统存在重大弱点：

测试者可以直接控制目标系统，这时测试者可以直接调查目标系统中的弱点分布、原因，形成最终的测试报告；其二是目标系统没有远程重大弱点，但是可以获得远程普通权限，这时测试者可以通过该普通权限进一步收集目标系统信息。

接下

来，尽最大努力获取本地权限，收集本地资料信息，寻求本地权限升级的机会。

这些不停的信息收集分析、权限升级的结果构成了整个安全评估过程的输出。

4.3溢出测试

当无法直接利用帐户口令登陆系统时，也会采用系统溢出的方法直接获得系统控制权限，此方法有时会导致系统死机或从新启动，但不会导致系统数据丢失，如出现死机等故障，只要将系统从新启动并开启原有服务即可。

4.4SQL注入攻击

SQL注入常见于那些应用了SQL数据库后端的网站服务器，黑客通过向提交某些特殊SQL语句，最终可能获取、篡改、控制网站服务器端数据库中的内容。

此类漏洞是黑客最常用的入侵方式之一

4.5检测页面隐藏字段

网站应用系统常采用隐藏字段存储信息。

许多基于网站的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感内容。

心存恶意的用户，通过操作隐藏字段内容，达到恶意交易和窃取信息等行为，是一种非常危险的漏洞。

4.6跨站攻击

攻击者可以借助网站来攻击访问此网站的终端用户，来获得用户口令或使用

站点挂马来控制客户端。

4.7第三方软件误配置

第三方软件的错误设置可能导致黑客利用该漏洞构造不同类型的入侵攻击。

4.8Cookie利用

网站应用系统常使用cookies机制在客户端主机上保存某些信息，例如用户ID、口令、时间戳等。

黑客可能通过篡改cookies内容，获取用户的账号，导致严重的后果。

4.9后门程序检查

系统开发过程中遗留的后门和调试选项可能被黑客所利用，导致黑客轻易地

从捷径实施攻击。

4.10其他测试

在安全评估中还需要借助暴力破解、网络嗅探等其他方法，目的也是为获取用户名及密码。

5XX网站检查情况（http:

//www.）

网站地址

名称

http:

//www.

xx网站

网站地址

高

中

低

总计

总计

62

■-

截图（AcunetixWebVulnerabilityScanner报告中）

5.2结果:

本次网站安全检查是完全站在攻击者角度，模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试，通过结合多方面的攻击技术进行测试，发现本市网站系统存在比较明显的、可利用的安全漏洞，网站安全等级为非常危险，针对已存在漏洞的系统需要进行重点加固。

6发现安全隐患

6.1发现安全隐患：

SQL注入漏洞

6.1.1漏洞位置

例如：

http:

//域名/dzly/index.php?

id=88（可截图）

6.2发现安全隐患：

XSS（跨脚本攻击）

6.2.1漏洞位置

（可截图）

7通用安全建议

7.1SQL注入类

没有被授权的恶意攻击者可以在有该漏洞的系统上任意执行SQL命令，这将

威胁到数据库的安全，并且会泄漏敏感信息。

针对SQL注入，目前的解决办法是：

1、在程序中限制用户提交数据的长度。

2、对用户输入的数据进行合法性检查，只允许合法字符通过检测。

对于非字符串类型的，强制检查类型；字符串类型的，过滤单引号。

3、WEB程序调动低权限的sql用户连接，勿用类似于dbo高权限的sql账号。

细化Sql用户权限，限定用户仅对自身数据库的访问控制权限。

4、使用具备拦截SQL注入攻击能力（专门算法）的IPS（入侵防御设备）来保护网站系统。

7.2跨站脚本类

1、在程序中限制用户提交数据的长度。

2、对用户输入的数据进行合法性检查，只允许合法字符通过检测。

3、使用具备拦截跨站脚本攻击能力（专门算法）的IPS（入侵防御设备）来保护网站系统。

7.3密码泄漏类

采用HTTPS协议，保护登录页面

并对用户名密码参数采用密文传输。

7.4其他类

如上传漏洞修改程序过滤恶意文件；证书错误修改证书；链接错误修改错

误链接，开放不安全端口等。

7.5服务最小化

对系统主机的服务进行确认关闭一些无用的服务或端口，确保主机安全。

对数据库的一些端口建议对端口进行做防火墙连接限制，保证不能让外界主机

对数据库进行管理。

7.6配置权限

将网站的各个目录（包括子目录）尽量减小权限，需要用什么权限开什么权

限，其他的权限全部删除。

7.7配置日志

对访问网站的URL动作进行记录全部日志，以便日后的审计和检查。

8附录

8.1Web应用漏洞原理

8.1.1WEB漏洞的定义

WE程序语言，无论是ASPPHPJSP或者perl等等，都遵循一个基本的接口规范，那就是CGI（CommonGaterwayInterface），这也就使得WEBS洞具有很多相通的地方，但是由于各种实现语言有自己的特点，所以WEB漏洞体现在各种语言方面又有很多不同的地方，WEB漏洞就是指在WEB程序设计开发的过程中，由于各种原因所

导致的安全问题，这可能包括设计缺陷，编程错误或者是配置问题等。

8.1.2WEB漏洞的特点

WEB漏洞包括四大特点，即普遍存在、后果严重、容易利用和容易隐藏。

普遍存

在是因为WE应用广泛以及WE程序员普遍不懂安全知识导致的；后果严重是因为WEB漏洞可以导致对数据库中的敏感数据的任意增加、篡改和删除，以及执行任意代码或者读、写、删除任意文件；容易利用是因为攻击者不需要任何特殊的工具，只需要一个浏览器就可以完成整个攻击的过程；容易隐藏则是由于HTTP协议和WE曲艮务器的特

点，攻击者可以非常容易的隐藏自己的攻击行为。

8.2典型漏洞介绍

8.3XSS跨站脚本攻击

漏洞成因

是因为WE程序没有对用户提交的变量中的HTML弋码进

行过滤或转换。

漏洞形式

这里所说的形式，实际上是指WEB俞入的形式，主要分

为两种：

1•显示输入

2.隐式输入

其中显示输入明确要求用户输入数据，而隐式输入则本

来并不要求用户输入数据，但是用户却可以通过输入数

据来进行干涉。

显示输入又可以分为两种：

1.输入完成立刻输出结果

2.输入完成先存储在文本文件或数据库中，然后再输出结果

注意：

后者可能会让你的网站面目全非！

而隐式输入除了一些正常的情况外，还可以利用服务器

或WEB?

序处理错误信息的方式来实施。

漏洞危害

比较典型的危害包括但不限于：

1.获取其他用户Cookie中的敏感数据

2•屏蔽页面特定信息

3.伪造页面信息

4.拒绝服务攻击

5.突破外网内网不同安全设置

6.与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等

7.其它

一般来说，上面的危害还经常伴随着页面变形的情况。

而所谓跨站脚本执行漏洞，也就是通过别人的网站达到攻击的效果，也就是说，这种攻击能在一定程度上隐藏身份。

8.4SQLINJECTION数据库注入攻击

SQLInjection定义

所谓SQLInjection，就是通过向有SQL查询的WEB?

序提交一个精心构造的请求，从而突破了最初的SQL查询限制，实现了未授权的访问或存取。

SQLInjection原理

随着WEB应用的复杂化，多数WEB应用都使用数据库作为后台，WEB程序接受用户参数作为查询条件，即用户可以在某种程度上控制查询的结果，如果WEB?

序对用户输入过滤的比较少，那么入侵者就可能提交一些特殊的参数，而这些参数可以使该查询语句按照自己的意图来运行，这往往是一些未授权的操作，这样只要组合后的查询语句在语法上没有错误，那么就会被执行。

SQLInjection危害

SQLInjection的危害主要包括：

1•露敏感信息

2•提升WEB应用程序权限

3•操作任意文件

4•执行任意命令

SQLInjection技巧

利用SQLInjection的攻击技巧主要有如下几种：

1•逻辑组合法：

通过组合多种逻辑查询语句，获得所需要的查询

结果。

2•错误信息法：

通过精心构造某些查询语句，使数据库运行出错,

错误信息中包含了敏感信息。

3•有限穷举法：

通过精心构造查询语句，可以快速穷举出数据库

中的任意信息。

4•移花接木法：

利用数据库已有资源，结合其特性立刻获得所需

信息。