網(wǎng)站安全漏洞檢查報(bào)告

1、網(wǎng)站安全漏洞檢查報(bào)告目錄：1工作描述 .32安全評(píng)估方式.33安全評(píng)估的必要性 .34安全評(píng)估方法.44.1信息收集 .44.2權(quán)限提升 .44.3溢出測(cè)試 .44.4SQL注入攻擊 .54.5檢測(cè)頁(yè)面隱藏字段.54.6跨站攻擊 .54.7第三方軟件誤配置.54.8Cookie 利用 .54.9后門(mén)程序檢查 .54.10其他測(cè)試 .65XX網(wǎng)站檢查情況 (http:/www. ) .65.1漏洞統(tǒng)計(jì) .65.2結(jié)果 :.66發(fā)現(xiàn)安全隱患.76.1發(fā)現(xiàn)安全隱患 :SQL 注入漏洞 .76.1.1漏洞位置 .76.2發(fā)現(xiàn)安全隱患 :XSS（跨腳本攻擊） .76.2.1漏洞位置 .77通用安全建議.

2、77.1SQL注入類 .77.2跨站腳本類 .87.3密碼泄漏類 .87.4其他類.87.5服務(wù)最小化 .87.6配置權(quán)限 .87.7配置日志 .88附錄.98.1Web 應(yīng)用漏洞原理 .98.1.1WEB 漏洞的定義 .98.1.2WEB 漏洞的特點(diǎn) .98.2典型漏洞介紹 .98.3XSS跨站腳本攻擊.98.4SQL INJECTION數(shù)據(jù)庫(kù)注入攻擊 .10工作描述本次項(xiàng)目的安全評(píng)估對(duì)象為：http:/安全評(píng)估是可以幫助用戶對(duì)目前自己的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的缺陷有相對(duì)直觀的認(rèn)識(shí)和了解。 以第三方角度對(duì)用戶網(wǎng)絡(luò)安全性進(jìn)行檢查，可以讓用戶了解從外部網(wǎng)絡(luò)漏洞可以被利用的情況， 安全顧問(wèn)通過(guò)解釋所用工

3、具在探查過(guò)程中所得到的結(jié)果，并把得到的結(jié)果與已有的安全措施進(jìn)行比對(duì)。安全評(píng)估方式安全評(píng)估主要依據(jù)聯(lián)想網(wǎng)御安全工程師已經(jīng)掌握的安全漏洞和安全檢測(cè)工具，采用工具掃描 + 手工驗(yàn)證的方式。模擬黑客的攻擊方法在客戶的授權(quán)和監(jiān)督下對(duì)客戶的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試。安全評(píng)估的必要性安全評(píng)估利用網(wǎng)絡(luò)安全掃描器、專用安全測(cè)試工具和富有經(jīng)驗(yàn)的安全工程師的人工經(jīng)驗(yàn)對(duì)授權(quán)測(cè)試環(huán)境中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備，包括服務(wù)器、防火墻等進(jìn)行非破壞性質(zhì)的模擬黑客攻擊， 目的是侵入系統(tǒng)并獲取機(jī)密信息并將入侵的過(guò)程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶。安全評(píng)估和工具掃描可以很好的互相補(bǔ)充。工具掃描具有很好的效率和速度，但是存在一定

4、的誤報(bào)率和漏報(bào)率，并且不能發(fā)現(xiàn)高層次、復(fù)雜、并且相互關(guān)聯(lián)的安全問(wèn)題； 安全評(píng)估需要投入的人力資源較大、對(duì)測(cè)試者的專業(yè)技能要求很高（安全評(píng)估報(bào)告的價(jià)值直接依賴于測(cè)試者的專業(yè)技能），但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)。此次安全評(píng)估的范圍：序域名 (IP)備注號(hào)01http:/www.xx 網(wǎng)站02030405060708安全評(píng)估方法4.1信息收集信息收集分析幾乎是所有入侵攻擊的前提/前奏 /基礎(chǔ)?！爸褐耍賾?zhàn)不殆”，信息收集分析就是完成的這個(gè)任務(wù)。通過(guò)信息收集分析，攻擊者（測(cè)試者）可以相應(yīng)地、 有針對(duì)性地制定入侵攻擊的計(jì)劃，提高入侵的成功率、 減小暴露或被發(fā)現(xiàn)的幾率。本次評(píng)估主要

5、是啟用網(wǎng)絡(luò)漏洞掃描工具，通過(guò)網(wǎng)絡(luò)爬蟲(chóng)測(cè)試網(wǎng)站安全、檢測(cè)流行的攻擊、如交叉站點(diǎn)腳本、 SQL 注入等。4.2權(quán)限提升通過(guò)收集信息和分析， 存在兩種可能性， 其一是目標(biāo)系統(tǒng)存在重大弱點(diǎn)： 測(cè)試者可以直接控制目標(biāo)系統(tǒng)，這時(shí)測(cè)試者可以直接調(diào)查目標(biāo)系統(tǒng)中的弱點(diǎn)分布、原因，形成最終的測(cè)試報(bào)告； 其二是目標(biāo)系統(tǒng)沒(méi)有遠(yuǎn)程重大弱點(diǎn)， 但是可以獲得遠(yuǎn)程普通權(quán)限， 這時(shí)測(cè)試者可以通過(guò)該普通權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。 接下來(lái)，盡最大努力獲取本地權(quán)限，收集本地資料信息，尋求本地權(quán)限升級(jí)的機(jī)會(huì)。這些不停的信息收集分析、權(quán)限升級(jí)的結(jié)果構(gòu)成了整個(gè)安全評(píng)估過(guò)程的輸出。4.3溢出測(cè)試當(dāng)無(wú)法直接利用帳戶口令登陸系統(tǒng)時(shí)，也會(huì)采用系

6、統(tǒng)溢出的方法直接獲得系統(tǒng)控制權(quán)限，此方法有時(shí)會(huì)導(dǎo)致系統(tǒng)死機(jī)或從新啟動(dòng)，但不會(huì)導(dǎo)致系統(tǒng)數(shù)據(jù)丟失，如出現(xiàn)死機(jī)等故障，只要將系統(tǒng)從新啟動(dòng)并開(kāi)啟原有服務(wù)即可。4.4SQL 注入攻擊SQL 注入常見(jiàn)于那些應(yīng)用了SQL 數(shù)據(jù)庫(kù)后端的網(wǎng)站服務(wù)器，黑客通過(guò)向提交某些特殊 SQL 語(yǔ)句，最終可能獲取、篡改、控制網(wǎng)站服務(wù)器端數(shù)據(jù)庫(kù)中的內(nèi)容。此類漏洞是黑客最常用的入侵方式之一。4.5檢測(cè)頁(yè)面隱藏字段網(wǎng)站應(yīng)用系統(tǒng)常采用隱藏字段存儲(chǔ)信息。許多基于網(wǎng)站的電子商務(wù)應(yīng)用程序用隱藏字段來(lái)存儲(chǔ)商品價(jià)格、用戶名、密碼等敏感內(nèi)容。心存惡意的用戶，通過(guò)操作隱藏字段內(nèi)容，達(dá)到惡意交易和竊取信息等行為，是一種非常危險(xiǎn)的漏洞。4.6跨站攻擊

7、攻擊者可以借助網(wǎng)站來(lái)攻擊訪問(wèn)此網(wǎng)站的終端用戶，來(lái)獲得用戶口令或使用站點(diǎn)掛馬來(lái)控制客戶端。4.7第三方軟件誤配置第三方軟件的錯(cuò)誤設(shè)置可能導(dǎo)致黑客利用該漏洞構(gòu)造不同類型的入侵攻擊。4.8Cookie 利用網(wǎng)站應(yīng)用系統(tǒng)常使用cookies 機(jī)制在客戶端主機(jī)上保存某些信息，例如用戶ID 、口令、時(shí)間戳等。黑客可能通過(guò)篡改cookies 內(nèi)容，獲取用戶的賬號(hào)，導(dǎo)致嚴(yán)重的后果。4.9后門(mén)程序檢查系統(tǒng)開(kāi)發(fā)過(guò)程中遺留的后門(mén)和調(diào)試選項(xiàng)可能被黑客所利用，導(dǎo)致黑客輕易地從捷徑實(shí)施攻擊。4.10 其他測(cè)試在安全評(píng)估中還需要借助暴力破解、網(wǎng)絡(luò)嗅探等其他方法， 目的也是為獲取用戶名及密碼。5XX 網(wǎng)站檢查情況 (http

8、:/www. )網(wǎng)站地址名稱http:/www.xx 網(wǎng)站5.1漏洞統(tǒng)計(jì)網(wǎng)站地址高中低總計(jì)總計(jì)截圖（ Acunetix Web Vulnerability Scanner報(bào)告中）5.2結(jié)果 :本次網(wǎng)站安全檢查是完全站在攻擊者角度，模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)進(jìn)行的安全性測(cè)試，通過(guò)結(jié)合多方面的攻擊技術(shù)進(jìn)行測(cè)試，發(fā)現(xiàn)本市網(wǎng)站系統(tǒng)存在比較明顯的、可利用的安全漏洞， 網(wǎng)站安全等級(jí)為 非常危險(xiǎn) ，針對(duì)已存在漏洞的系統(tǒng)需要進(jìn)行重點(diǎn)加固 。發(fā)現(xiàn)安全隱患6.1發(fā)現(xiàn)安全隱患 :SQL 注入漏洞6.1.1漏洞位置例如： http:/ 域名 /dzly/index.php?id=88（可截圖）6.2發(fā)現(xiàn)

9、安全隱患 :XSS（跨腳本攻擊）6.2.1漏洞位置（可截圖）通用安全建議7.1SQL 注入類沒(méi)有被授權(quán)的惡意攻擊者可以在有該漏洞的系統(tǒng)上任意執(zhí)行SQL命令，這將威脅到數(shù)據(jù)庫(kù)的安全，并且會(huì)泄漏敏感信息。針對(duì) SQL 注入，目前的解決辦法是：1、在程序中限制用戶提交數(shù)據(jù)的長(zhǎng)度。2、對(duì)用戶輸入的數(shù)據(jù)進(jìn)行合法性檢查，只允許合法字符通過(guò)檢測(cè)。對(duì)于非字符串類型的，強(qiáng)制檢查類型；字符串類型的，過(guò)濾單引號(hào)。3、WEB 程序調(diào)動(dòng)低權(quán)限的sql 用戶連接，勿用類似于dbo 高權(quán)限的 sql 賬號(hào)。細(xì)化 Sql 用戶權(quán)限，限定用戶僅對(duì)自身數(shù)據(jù)庫(kù)的訪問(wèn)控制權(quán)限。4、使用具備攔截 SQL 注入攻擊能力（專門(mén)算法）的IP

10、S（入侵防御設(shè)備）來(lái)保護(hù)網(wǎng)站系統(tǒng)。7.2跨站腳本類1、在程序中限制用戶提交數(shù)據(jù)的長(zhǎng)度。2、對(duì)用戶輸入的數(shù)據(jù)進(jìn)行合法性檢查，只允許合法字符通過(guò)檢測(cè)。3、使用具備攔截跨站腳本攻擊能力（專門(mén)算法）的IPS（入侵防御設(shè)備）來(lái)保護(hù)網(wǎng)站系統(tǒng)。7.3密碼泄漏類采用 HTTPS協(xié)議，保護(hù)登錄頁(yè)面。并對(duì)用戶名密碼參數(shù)采用密文傳輸。7.4其他類如上傳漏洞修改程序過(guò)濾惡意文件；證書(shū)錯(cuò)誤修改證書(shū)；鏈接錯(cuò)誤修改錯(cuò)誤鏈接，開(kāi)放不安全端口等。7.5服務(wù)最小化對(duì)系統(tǒng)主機(jī)的服務(wù)進(jìn)行確認(rèn)關(guān)閉一些無(wú)用的服務(wù)或端口，確保主機(jī)安全。對(duì)數(shù)據(jù)庫(kù)的一些端口建議對(duì)端口進(jìn)行做防火墻連接限制，保證不能讓外界主機(jī)對(duì)數(shù)據(jù)庫(kù)進(jìn)行管理。7.6配置權(quán)限將網(wǎng)

11、站的各個(gè)目錄 （包括子目錄） 盡量減小權(quán)限，需要用什么權(quán)限開(kāi)什么權(quán)限，其他的權(quán)限全部刪除。7.7配置日志對(duì)訪問(wèn)網(wǎng)站的 URL動(dòng)作進(jìn)行記錄全部日志，以便日后的審計(jì)和檢查。附錄8.1Web 應(yīng)用漏洞原理8.1.1WEB漏洞的定義WEB程序語(yǔ)言，無(wú)論是ASP、PHP、JSP或者 perl 等等，都遵循一個(gè)基本的接口規(guī)范，那就是 CGI（ CommonGaterway Interface），這也就使得WEB漏洞具有很多相通的地方，但是由于各種實(shí)現(xiàn)語(yǔ)言有自己的特點(diǎn)，所以 WEB漏洞體現(xiàn)在各種語(yǔ)言方面又有很多不同的地方， WEB漏洞就是指在 WEB程序設(shè)計(jì)開(kāi)發(fā)的過(guò)程中，由于各種原因所導(dǎo)致的安全問(wèn)題，這可能

12、包括設(shè)計(jì)缺陷，編程錯(cuò)誤或者是配置問(wèn)題等。8.1.2WEB漏洞的特點(diǎn)WEB漏洞包括四大特點(diǎn)，即普遍存在、后果嚴(yán)重、容易利用和容易隱藏。普遍存在是因?yàn)?WEB應(yīng)用廣泛以及WEB程序員普遍不懂安全知識(shí)導(dǎo)致的；后果嚴(yán)重是因?yàn)?WEB漏洞可以導(dǎo)致對(duì)數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)的任意增加、篡改和刪除，以及執(zhí)行任意代碼或者讀、寫(xiě)、刪除任意文件；容易利用是因?yàn)楣粽卟恍枰魏翁厥獾墓ぞ?，只需要一個(gè)瀏覽器就可以完成整個(gè)攻擊的過(guò)程；容易隱藏則是由于HTTP協(xié)議和 WEB服務(wù)器的特點(diǎn)，攻擊者可以非常容易的隱藏自己的攻擊行為。8.2典型漏洞介紹8.3XSS 跨站腳本攻擊漏洞成因是因?yàn)?WEB程序沒(méi)有對(duì)用戶提交的變量中的HTML

13、代碼進(jìn)行過(guò)濾或轉(zhuǎn)換。漏洞形式這里所說(shuō)的形式，實(shí)際上是指WEB輸入的形式，主要分為兩種：1顯示輸入2隱式輸入其中顯示輸入明確要求用戶輸入數(shù)據(jù)，而隱式輸入則本來(lái)并不要求用戶輸入數(shù)據(jù)，但是用戶卻可以通過(guò)輸入數(shù)據(jù)來(lái)進(jìn)行干涉。顯示輸入又可以分為兩種：1輸入完成立刻輸出結(jié)果2輸入完成先存儲(chǔ)在文本文件或數(shù)據(jù)庫(kù)中，然后再輸出結(jié)果注意：后者可能會(huì)讓你的網(wǎng)站面目全非!而隱式輸入除了一些正常的情況外，還可以利用服務(wù)器或WEB程序處理錯(cuò)誤信息的方式來(lái)實(shí)施。漏洞危害比較典型的危害包括但不限于：1獲取其他用戶 Cookie 中的敏感數(shù)據(jù)2屏蔽頁(yè)面特定信息3偽造頁(yè)面信息4拒絕服務(wù)攻擊5突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置6與其它漏洞結(jié)

14、合， 修改系統(tǒng)設(shè)置， 查看系統(tǒng)文件， 執(zhí)行系統(tǒng)命令等7其它一般來(lái)說(shuō)，上面的危害還經(jīng)常伴隨著頁(yè)面變形的情況。而所謂跨站腳本執(zhí)行漏洞，也就是通過(guò)別人的網(wǎng)站達(dá)到攻擊的效果，也就是說(shuō)，這種攻擊能在一定程度上隱藏身份。8.4SQL INJECTION數(shù)據(jù)庫(kù)注入攻擊SQL Injection定義所謂SQL Injection，就是通過(guò)向有SQL查詢的WEB程序提交一個(gè)精心構(gòu)造的請(qǐng)求，從而突破了最初的SQL查詢限制，實(shí)現(xiàn)了未授權(quán)的訪問(wèn)或存取。SQL Injection原理隨著 WEB應(yīng)用的復(fù)雜化， 多數(shù) WEB應(yīng)用都使用數(shù)據(jù)庫(kù)作為后臺(tái)，WEB程序接受用戶參數(shù)作為查詢條件，即用戶可以在某種程度上控制查詢的結(jié)果，如果WEB程序?qū)τ脩糨斎脒^(guò)濾的比較少，那么入侵者就可能提交一些特殊的參數(shù)，而這些參數(shù)可以使該查詢語(yǔ)句按照自己的意圖來(lái)運(yùn)行，這往往是一些未授權(quán)的操作，這樣只要組合后的查詢語(yǔ)句在語(yǔ)法上沒(méi)有錯(cuò)誤，那么就會(huì)被執(zhí)行。SQL Injection危害SQL Injection的危害