xx 網(wǎng)站安全漏洞檢查報(bào)告有限公司 ,目錄：1234 工作描述 . ....................................................

xx 網(wǎng)站安全漏洞檢查報(bào)告

有限公司

目錄：

1

2

3

4 工作描述 . .................................................................................................................................. 3 安全評(píng)估方式 . .......................................................................................................................... 3 安全評(píng)估的必要性 . .................................................................................................................. 3 安全評(píng)估方法 . .......................................................................................................................... 4

4.1 信息收集 . ...................................................................................................................... 4

4.2 權(quán)限提升 . ...................................................................................................................... 4

4.3 溢出測(cè)試 . ...................................................................................................................... 4

4.4 SQL 注入攻擊 ............................................................................................................... 5

4.5 檢測(cè)頁面隱藏字段 . ...................................................................................................... 5

4.6 跨站攻擊 . ...................................................................................................................... 5

4.7 第三方軟件誤配置 . ...................................................................................................... 5

4.8 Cookie 利用 . .................................................................................................................. 5

4.9 后門程序檢查 . .............................................................................................................. 5

4.10 其他測(cè)試 . .................................................................................................................. 6

XX 網(wǎng)站檢查情況(http://www. ) .............................................................................................. 6

5.1 漏洞統(tǒng)計(jì) . ...................................................................................................................... 6

5.2 結(jié)果:.............................................................................................................................. 6

發(fā)現(xiàn)安全隱患 . .......................................................................................................................... 7

6.1 發(fā)現(xiàn)安全隱患: SQL 注入漏洞.................................................................................. 7

6.1.1 漏洞位置 . .......................................................................................................... 7

6.2 發(fā)現(xiàn)安全隱患: XSS （跨腳本攻擊） ........................................................................ 7

6.2.1 漏洞位置 . .......................................................................................................... 7

通用安全建議 . .......................................................................................................................... 7

7.1 SQL 注入類 ................................................................................................................... 7

7.2 跨站腳本類 . .................................................................................................................. 8

7.3 密碼泄漏類 . .................................................................................................................. 8

7.4 其他類 . .......................................................................................................................... 8

7.5 服務(wù)最小化 . .................................................................................................................. 8

7.6 配置權(quán)限 . ...................................................................................................................... 8

7.7 配置日志 . ...................................................................................................................... 8

附錄........................................................................................................................................... 9

8.1 Web 應(yīng)用漏洞原理 ...................................................................................................... 9

8.1.1 WEB 漏洞的定義 .............................................................................................. 9

8.1.2 WEB 漏洞的特點(diǎn) .............................................................................................. 9

8.2 典型漏洞介紹 . .............................................................................................................. 9

8.3 XSS 跨站腳本攻擊 ........................................................................................................ 9

8.4 SQL INJECTION數(shù)據(jù)庫(kù)注入攻擊 . ............................................................................... 10 5 6 7 8

1 工作描述

本次項(xiàng)目的安全評(píng)估對(duì)象為：http://

安全評(píng)估是可以幫助用戶對(duì)目前自己的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的缺陷有相對(duì)直觀的認(rèn)識(shí)和了解。以第三方角度對(duì)用戶網(wǎng)絡(luò)安全性進(jìn)行檢查，可以讓用戶了解從外部網(wǎng)絡(luò)漏洞可以被利用的情況，安全顧問通過解釋所用工具在探查過程中所得到的結(jié)果，并把得到的結(jié)果與已有的安全措施進(jìn)行比對(duì)。

2 安全評(píng)估方式

安全評(píng)估主要依據(jù)安全工程師已經(jīng)掌握的安全漏洞和安全檢測(cè)工具，采用工具掃描 手工驗(yàn)證的方式。模擬黑客的攻擊方法在客戶的授權(quán)和監(jiān)督下對(duì)客戶的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試。

3 安全評(píng)估的必要性

安全評(píng)估利用網(wǎng)絡(luò)安全掃描器、專用安全測(cè)試工具和富有經(jīng)驗(yàn)的安全工程師的人工經(jīng)驗(yàn)對(duì)授權(quán)測(cè)試環(huán)境中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備，包括服務(wù)器、防火墻等進(jìn)行非破壞性質(zhì)的模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機(jī)密信息并將入侵的過程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶。

安全評(píng)估和工具掃描可以很好的互相補(bǔ)充。工具掃描具有很好的效率和速度，但是存在一定的誤報(bào)率和漏報(bào)率，并且不能發(fā)現(xiàn)高層次、復(fù)雜、并且相互關(guān)聯(lián)的安全問題；安全評(píng)估需要投入的人力資源較大、對(duì)測(cè)試者的專業(yè)技能要求很高（安全評(píng)估報(bào)告的價(jià)值直接依賴于測(cè)試者的專業(yè)技能），但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)。 此次安全評(píng)估的范圍：

4 安全評(píng)估方法

4.1 信息收集

信息收集分析幾乎是所有入侵攻擊的前提/前奏/基礎(chǔ)?！爸褐耍賾?zhàn)不殆”，信息收集分析就是完成的這個(gè)任務(wù)。通過信息收集分析，攻擊者（測(cè)試者）可以相應(yīng)地、有針對(duì)性地制定入侵攻擊的計(jì)劃，提高入侵的成功率、減小暴露或被發(fā)現(xiàn)的幾率。

本次評(píng)估主要是啟用網(wǎng)絡(luò)漏洞掃描工具，通過網(wǎng)絡(luò)爬蟲測(cè)試網(wǎng)站安全、檢測(cè)流行的攻擊 、如交叉站點(diǎn)腳本、SQL 注入等。

4.2 權(quán)限提升

通過收集信息和分析，存在兩種可能性，其一是目標(biāo)系統(tǒng)存在重大弱點(diǎn)：測(cè)試者可以直接控制目標(biāo)系統(tǒng)，這時(shí)測(cè)試者可以直接調(diào)查目標(biāo)系統(tǒng)中的弱點(diǎn)分布、原因，形成最終的測(cè)試報(bào)告；其二是目標(biāo)系統(tǒng)沒有遠(yuǎn)程重大弱點(diǎn)，但是可以獲得遠(yuǎn)程普通權(quán)限，這時(shí)測(cè)試者可以通過該普通權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。接下來，盡最大努力獲取本地權(quán)限，收集本地資料信息，尋求本地權(quán)限升級(jí)的機(jī)會(huì)。這些不停的信息收集分析、權(quán)限升級(jí)的結(jié)果構(gòu)成了整個(gè)安全評(píng)估過程的輸出。

4.3 溢出測(cè)試

當(dāng)無法直接利用帳戶口令登陸系統(tǒng)時(shí)，也會(huì)采用系統(tǒng)溢出的方法直接獲得系統(tǒng)控制權(quán)限，此方法有時(shí)會(huì)導(dǎo)致系統(tǒng)死機(jī)或從新啟動(dòng)，但不會(huì)導(dǎo)致系統(tǒng)數(shù)據(jù)丟失，如出現(xiàn)死機(jī)等故障，只要將系統(tǒng)從新啟動(dòng)并開啟原有服務(wù)即可。

4.4 SQL 注入攻擊

SQL 注入常見于那些應(yīng)用了SQL 數(shù)據(jù)庫(kù)后端的網(wǎng)站服務(wù)器，黑客通過向提交某些特殊SQL 語句，最終可能獲取、篡改、控制網(wǎng)站 服務(wù)器端數(shù)據(jù)庫(kù)中的內(nèi)容。此類漏洞是黑客最常用的入侵方式之一

4.5 檢測(cè)頁面隱藏字段

網(wǎng)站應(yīng)用系統(tǒng)常采用隱藏字段存儲(chǔ)信息。許多基于網(wǎng)站的電子商務(wù)應(yīng)用程序用隱藏字段來存儲(chǔ)商品價(jià)格、用戶名、密碼等敏感內(nèi)容。心存惡意的用戶，通過操作隱藏字段內(nèi)容，達(dá)到惡意交易和竊取信息等行為，是一種非常危險(xiǎn)的漏洞。

4.6 跨站攻擊

攻擊者可以借助網(wǎng)站來攻擊訪問此網(wǎng)站的終端用戶，來獲得用戶口令或使用站點(diǎn)掛馬來控制客戶端。

4.7 第三方軟件誤配置

第三方軟件的錯(cuò)誤設(shè)置可能導(dǎo)致黑客利用該漏洞構(gòu)造不同類型的入侵攻擊。

4.8 Cookie 利用

網(wǎng)站應(yīng)用系統(tǒng)常使用cookies 機(jī)制在客戶端主機(jī)上保存某些信息，例如用戶ID 、口令、時(shí)間戳等。黑客可能通過篡改cookies 內(nèi)容，獲取用戶的賬號(hào)，導(dǎo)致嚴(yán)重的后果。

4.9 后門程序檢查

系統(tǒng)開發(fā)過程中遺留的后門和調(diào)試選項(xiàng)可能被黑客所利用，導(dǎo)致黑客輕易地從捷徑實(shí)施攻擊。

4.10 其他測(cè)試

在安全評(píng)估中還需要借助暴力破解、網(wǎng)絡(luò)嗅探等其他方法，目的也是為獲取用戶名及密碼。

5 XX 網(wǎng)站檢查情況

5.1 漏洞統(tǒng)計(jì)

截圖（Acunetix Web Vulnerability Scanner 報(bào)告中）

5.2 結(jié)果:

本次網(wǎng)站安全檢查是完全站在攻擊者角度，模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)進(jìn)行的安全性測(cè)試，通過結(jié)合多方面的攻擊技術(shù)進(jìn)行測(cè)試，發(fā)現(xiàn)本市網(wǎng)站系統(tǒng)存在比較明顯的、可利用的安全漏洞，網(wǎng)站安全等級(jí)為非常危險(xiǎn)，針

對(duì)已存在漏洞的系統(tǒng)需要進(jìn)行重點(diǎn)加固。

6 發(fā)現(xiàn)安全隱患

6.1 發(fā)現(xiàn)安全隱患: SQL 注入漏洞

6.1.1 漏洞位置

例如：http://域名 /dzly/index.php?id=88（可截圖）

6.2 發(fā)現(xiàn)安全隱患: XSS （跨腳本攻擊）

6.2.1 漏洞位置 （可截圖）

7 通用安全建議

7.1 SQL 注入類

沒有被授權(quán)的惡意攻擊者可以在有該漏洞的系統(tǒng)上任意執(zhí)行SQL 命令，這將威脅到數(shù)據(jù)庫(kù)的安全，并且會(huì)泄漏敏感信息。

針對(duì)SQL 注入，目前的解決辦法是：

1、在程序中限制用戶提交數(shù)據(jù)的長(zhǎng)度。

2、對(duì)用戶輸入的數(shù)據(jù)進(jìn)行合法性檢查，只允許合法字符通過檢測(cè)。對(duì)于非字符串類型的，強(qiáng)制檢查類型；字符串類型的，過濾單引號(hào)。

3、WEB 程序調(diào)動(dòng)低權(quán)限的sql 用戶連接，勿用類似于dbo 高權(quán)限的sql 賬號(hào)。細(xì)化Sql 用戶權(quán)限，限定用戶僅對(duì)自身數(shù)據(jù)庫(kù)的訪問控制權(quán)限。

4、使用具備攔截SQL 注入攻擊能力（專門算法）的IPS （入侵防御設(shè)備）來保護(hù)網(wǎng)站系統(tǒng)。

7.2 跨站腳本類

1、在程序中限制用戶提交數(shù)據(jù)的長(zhǎng)度。

2、對(duì)用戶輸入的數(shù)據(jù)進(jìn)行合法性檢查，只允許合法字符通過檢測(cè)。

3、使用具備攔截跨站腳本攻擊能力（專門算法）的IPS （入侵防御設(shè)備）來保護(hù)網(wǎng)站系統(tǒng)。

7.3 密碼泄漏類

采用HTTPS 協(xié)議，保護(hù)登錄頁面。

并對(duì)用戶名密碼參數(shù)采用密文傳輸。

7.4 其他類

如上傳漏洞修改程序過濾惡意文件；證書錯(cuò)誤修改證書；鏈接錯(cuò)誤修改錯(cuò)誤鏈接，開放不安全端口等。

7.5 服務(wù)最小化

對(duì)系統(tǒng)主機(jī)的服務(wù)進(jìn)行確認(rèn)關(guān)閉一些無用的服務(wù)或端口，確保主機(jī)安全。對(duì)數(shù)據(jù)庫(kù)的一些端口建議對(duì)端口進(jìn)行做防火墻連接限制，保證不能讓外界主機(jī)對(duì)數(shù)據(jù)庫(kù)進(jìn)行管理。

7.6 配置權(quán)限

將網(wǎng)站的各個(gè)目錄（包括子目錄）盡量減小權(quán)限，需要用什么權(quán)限開什么權(quán)限，其他的權(quán)限全部刪除。

7.7 配置日志

對(duì)訪問網(wǎng)站的URL 動(dòng)作進(jìn)行記錄全部日志，以便日后的審計(jì)和檢查。

8 附錄

8.1 Web 應(yīng)用漏洞原理

8.1.1 WEB 漏洞的定義

WEB 程序語言，無論是ASP 、PHP 、JSP 或者perl 等等，都遵循一個(gè)基本的接口規(guī)范，那就是CGI （Common Gaterway Interface ），這也就使得WEB 漏洞具有很多相通的地方，但是由于各種實(shí)現(xiàn)語言有自己的特點(diǎn)，所以WEB 漏洞體現(xiàn)在各種語言方面又有很多不同的地方，WEB 漏洞就是指在WEB 程序設(shè)計(jì)開發(fā)的過程中，由于各種原因所導(dǎo)致的安全問題，這可能包括設(shè)計(jì)缺陷，編程錯(cuò)誤或者是配置問題等。

8.1.2 WEB 漏洞的特點(diǎn)

WEB 漏洞包括四大特點(diǎn)，即普遍存在、后果嚴(yán)重、容易利用和容易隱藏。普遍存在是因?yàn)閃EB 應(yīng)用廣泛以及WEB 程序員普遍不懂安全知識(shí)導(dǎo)致的；后果嚴(yán)重是因?yàn)閃EB 漏洞可以導(dǎo)致對(duì)數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)的任意增加、篡改和刪除，以及執(zhí)行任意代碼或者讀、寫、刪除任意文件；容易利用是因?yàn)楣粽卟恍枰魏翁厥獾墓ぞ?，只需要一個(gè)瀏覽器就可以完成整個(gè)攻擊的過程；容易隱藏則是由于HTTP 協(xié)議和WEB 服務(wù)器的特點(diǎn)，攻擊者可以非常容易的隱藏自己的攻擊行為。

8.2 典型漏洞介紹

8.3 XSS 跨站腳本攻擊

● 漏洞成因

是因?yàn)閃EB 程序沒有對(duì)用戶提交的變量中的HTML 代碼進(jìn)行過濾或轉(zhuǎn)

換。

● 漏洞形式

這里所說的形式，實(shí)際上是指WEB 輸入的形式，主要分為兩種：

1．顯示輸入

2．隱式輸入

其中顯示輸入明確要求用戶輸入數(shù)據(jù)，而隱式輸入則本來并不要求用戶輸入數(shù)據(jù)，但是用戶卻可以通過輸入數(shù)據(jù)來進(jìn)行干涉。 顯示輸入又可以分為兩種：

1．輸入完成立刻輸出結(jié)果

2．輸入完成先存儲(chǔ)在文本文件或數(shù)據(jù)庫(kù)中，然后再輸出結(jié)果 注意：后者可能會(huì)讓你的網(wǎng)站面目全非!

而隱式輸入除了一些正常的情況外，還可以利用服務(wù)器或WEB 程序處理錯(cuò)誤信息的方式來實(shí)施。

● 漏洞危害

比較典型的危害包括但不限于：

1．獲取其他用戶Cookie 中的敏感數(shù)據(jù)

2．屏蔽頁面特定信息

3．偽造頁面信息

4．拒絕服務(wù)攻擊

5．突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置

6．與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等

7．其它

一般來說，上面的危害還經(jīng)常伴隨著頁面變形的情況。而所謂跨站腳本執(zhí)行漏洞，也就是通過別人的網(wǎng)站達(dá)到攻擊的效果，也就是說，這種攻擊能在一定程度上隱藏身份。

8.4 SQL INJECTION數(shù)據(jù)庫(kù)注入攻擊

● SQL Injection定義

所謂SQL Injection ，就是通過向有SQL 查詢的WEB 程序提交一個(gè)精心構(gòu)造的請(qǐng)求，從而突破了最初的SQL 查詢限制，實(shí)現(xiàn)了未授權(quán)的訪問或存取。

● SQL Injection原理