網(wǎng)站風(fēng)險(xiǎn)評估報(bào)告

網(wǎng)站風(fēng)險(xiǎn)評估報(bào)告——《信息安全工程》課程報(bào)告課程名稱信息安全工程班級專業(yè)信息安全任課教師學(xué)號姓名目錄封面1目錄2一、評估準(zhǔn)備31、安全評估準(zhǔn)備32、安全評估范圍33、安全評估團(tuán)隊(duì)34、安全評估計(jì)劃3二、風(fēng)險(xiǎn)因素評估31．威脅分析31.1威脅分析概述31.2威脅分析來源41.3威脅種類42．安全評估72.1高危漏洞72.2中級漏洞72.3低級漏洞8三、綜述81.1具有最多安全性問題的文件91.2Web風(fēng)險(xiǎn)分布統(tǒng)計(jì)92.Web風(fēng)險(xiǎn)類別分布103.滲透測試104.漏洞信息15四、風(fēng)險(xiǎn)評價(jià)18五、風(fēng)險(xiǎn)控制建議19附錄:22一、評估準(zhǔn)備1、安全評估目標(biāo)在項(xiàng)目評估階段，為了充分了解SecurityTweets這個(gè)網(wǎng)站的安全系數(shù)，因此需要對SecurityTweets這個(gè)網(wǎng)站當(dāng)前的重點(diǎn)服務(wù)器和web應(yīng)用程序進(jìn)行一次抽樣掃描和安全弱點(diǎn)分析，對象為SecurityTweets全站，然后根據(jù)安全弱點(diǎn)掃描分析報(bào)告，作為提高SecurityTweets系統(tǒng)整體安全的重要參考依據(jù)之一。2、安全評估范圍本小組將對如下系統(tǒng)進(jìn)行安全評估：采用linux系統(tǒng)的web服務(wù)器（IP地址：65）采用nginx服務(wù)器程序的web站點(diǎn)采用MySQL的數(shù)據(jù)庫3、安全評估團(tuán)隊(duì)成員組成：組員姓名班級學(xué)號使用工具：1、AcunetixWebVulnerabilityScanner2、BurpSuite4、安全評估計(jì)劃1、此次針對網(wǎng)站的安全評估分為2個(gè)步驟進(jìn)行。第一步利用現(xiàn)有的優(yōu)秀安全評估軟件來模擬攻擊行為進(jìn)行自動的探測安全隱患；第二步根據(jù)第一步得出的掃描結(jié)果進(jìn)行分析由小組成員親自進(jìn)行手動檢測，排除誤報(bào)情況，查找掃描軟件無法找到的安全漏洞。2、第一步我們采用兩種不同的滲透測試軟件對網(wǎng)站做總體掃描。采用兩種工具是因?yàn)檫@兩個(gè)工具的側(cè)重點(diǎn)不同，可以互為補(bǔ)充，使得分析更為精確。然后生成測試報(bào)告。3、根據(jù)上一步生成的測試報(bào)告，由組員親自手動驗(yàn)證報(bào)告的可信性。4、根據(jù)安全掃描程序和人工分析結(jié)果寫出這次安全評估的報(bào)告書。二、風(fēng)險(xiǎn)因素評估威脅分析威脅分析概述本次威脅分析是對一個(gè)德國的SecurityTweets網(wǎng)站進(jìn)行的。威脅分析包括的具體內(nèi)容有：威脅主體、威脅途徑、威脅種類。威脅來源SecurityTweets網(wǎng)站是基于Internet體系結(jié)構(gòu)建立，網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)大都采用TCP/IP作為主要的網(wǎng)絡(luò)通訊協(xié)議，其自身提供了各種各樣的接口以供使用和維護(hù)，然而，這些接口同樣可能向威脅主體提供了攻擊的途徑：來源描述環(huán)境因素?cái)嚯?、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進(jìn)行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力非惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心或不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊威脅種類：1.描述這個(gè)腳本是可能容易受到跨站點(diǎn)腳本（XSS）攻擊。跨站點(diǎn)腳本（也被稱為XSS）是一種漏洞，允許攻擊者發(fā)送惡意代碼（通常在Javascript中的形式）給其他用戶。因?yàn)闉g覽器無法知道是否該腳本應(yīng)該是可信與否，它會在用戶上下文中，允許攻擊者訪問被瀏覽器保留的任何Cookie或會話令牌執(zhí)行腳本。雖然傳統(tǒng)的跨站點(diǎn)腳本漏洞發(fā)生在服務(wù)器端的代碼，文檔對象模型的跨站點(diǎn)腳本是一種類型的漏洞會影響腳本代碼在客戶端的瀏覽器。2.描述基于堆的緩沖區(qū)溢出在nginx1.3.15的SPDY執(zhí)行1.4.7和1.5.x版本1.5.12之前之前允許遠(yuǎn)程攻擊者通過特制的請求執(zhí)行任意代碼。該問題影響的ngx_http_spdy_module模塊（默認(rèn)情況下不編譯），并編譯nginx的-與調(diào)試配置選項(xiàng)，如果“聽”指令的“SPDY”選項(xiàng)用于在配置文件中。3．描述您使用的是脆弱的Javascript庫。一個(gè)或多個(gè)漏洞報(bào)告這個(gè)版本的JavaScript庫。咨詢攻擊細(xì)節(jié)和Web引用有關(guān)受影響的庫，并進(jìn)行了報(bào)道，該漏洞的詳細(xì)信息。4.描述XML支持被稱為“外部實(shí)體”，它指示XML處理器來檢索和執(zhí)行內(nèi)嵌的設(shè)施包括XML位于特定URI的。一個(gè)外部XML實(shí)體可以用來追加或修改與XML文檔相關(guān)聯(lián)的文檔類型定義（DTD）。外部XML實(shí)體也可以用于對XML文檔的內(nèi)容中包含的XML?，F(xiàn)在假設(shè)XML處理器解析數(shù)據(jù)從下攻擊者控制的一個(gè)光源發(fā)出。大多數(shù)時(shí)候，處理器將不會被確認(rèn)，但它可能包括替換文本從而引發(fā)意想不到的文件打開操作，或HTTP傳輸，或任何系統(tǒng)IDS的XML處理器知道如何訪問。以下是將使用此功能包含本地文件（/etc/passwd文件）的內(nèi)容的示例XML文檔<？XML版本=“1.0”編碼=“UTF-8”？><！DOCTYPE的Acunetix[

<！實(shí)體acunetixent系統(tǒng)“文件:///etc/passwd文件”>]><XXX>＆acunetixent;</XXX>4.描述此警報(bào)可能是假陽性，手動確認(rèn)是必要的?？缯菊埱髠卧欤卜Q為一次單擊攻擊或會話騎馬和縮寫為CSRF或者XSRF，是一種類型的惡意攻擊網(wǎng)站即未經(jīng)授權(quán)的命令是從一個(gè)用戶，該網(wǎng)站信任傳遞的。WVS的Acunetix找到一個(gè)HTML表單與實(shí)施沒有明顯的CSRF保護(hù)。詳細(xì)信息請咨詢有關(guān)受影響的HTML表單的信息。5.描述用戶憑據(jù)的傳送是在一個(gè)未加密的通道。這些信息應(yīng)該始終通過加密通道（HTTPS），以避免被攔截惡意用戶轉(zhuǎn)移。6.描述點(diǎn)擊劫持（用戶界面補(bǔ)救的攻擊，用戶界面??補(bǔ)救攻擊，用戶界面救濟(jì)的權(quán)利）是誘騙網(wǎng)絡(luò)用戶點(diǎn)擊的東西從什么用戶會感覺到他們是點(diǎn)擊，從而有可能泄露機(jī)密資料，或利用其電腦同時(shí)控制不同的惡意技術(shù)點(diǎn)擊看似無害的網(wǎng)頁。該服務(wù)器沒有返回的X幀選項(xiàng)頭這意味著該網(wǎng)站可能是在點(diǎn)擊劫持攻擊的風(fēng)險(xiǎn)。X框，選擇HTTP響應(yīng)頭可以被用于指示瀏覽器是否應(yīng)該被允許以呈現(xiàn)頁面中的<frame>或<IFRAME>。網(wǎng)站可以利用這一點(diǎn)避免點(diǎn)擊劫持攻擊，以確保其內(nèi)容不會嵌入到其他網(wǎng)站。7.描述一個(gè)常見的??威脅Web開發(fā)人員面對的是一個(gè)密碼猜測攻擊被稱為蠻力攻擊。蠻力攻擊是試圖通過系統(tǒng)地嘗試字母，數(shù)字和符號的每個(gè)可能的組合，直到你發(fā)現(xiàn)工作一個(gè)正確的組合來發(fā)現(xiàn)密碼。這個(gè)登錄頁面沒有對密碼猜測攻擊（蠻力攻擊）的任何保護(hù)。它的建議，以實(shí)現(xiàn)一個(gè)定義不正確的密碼嘗試次數(shù)后，某些類型的帳戶鎖定的。對于咨詢有關(guān)解決此問題的詳細(xì)信息的Web引用。8.描述HTTPOPTIONS方法在此Web伺服器已啟用。OPTIONS方法提供了由web服務(wù)器所支持的方法列表，它代表約可在發(fā)現(xiàn)Request-URI的請求/響應(yīng)鏈中的通訊選項(xiàng)信息的請求。9.描述一個(gè)可能的敏感目錄已經(jīng)找到。這個(gè)目錄不是直接從website.This檢查一下常見的敏感資源，如備份目錄鏈接，數(shù)據(jù)庫轉(zhuǎn)儲，管理頁面，臨時(shí)目錄。這些目錄中的每一個(gè)可以幫助攻擊者更多地了解他的目標(biāo)。10．描述虛擬主機(jī)是一臺服務(wù)器（或服務(wù)器池）上托管多個(gè)域名（每名獨(dú)立處理）的方法。這允許一個(gè)服務(wù)器共享它的資源，諸如存儲器和處理器周期，而無需提供使用相同的主機(jī)名的所有服務(wù)。這個(gè)Web服務(wù)器響應(yīng)不同，當(dāng)主機(jī)頭操縱以及各種常見的虛擬主機(jī)進(jìn)行測試。這可能表明有一個(gè)虛擬主機(jī)存在。11.描述此cookie不具備HTTPOnly標(biāo)志設(shè)置。當(dāng)一個(gè)cookie設(shè)置與HTTPOnly標(biāo)志，它指示該cookie只能由服務(wù)器而不是由客戶端腳本訪問的瀏覽器。這是一個(gè)會話cookie的一個(gè)重要的安全保護(hù)。12.描述當(dāng)一個(gè)新的名稱，并輸入密碼的形式和提交表單時(shí)，瀏覽器會詢問密碼應(yīng)該是saved.Thereafter顯示表單時(shí)，該名和密碼自動填充或完成輸入名稱。與本地訪問攻擊者可以從瀏覽器緩存中獲取明文密碼。安全評估高危漏洞：1.影響惡意用戶可能注入的JavaScript，VBScript中，的ActiveX，HTML或Flash成為一個(gè)易受攻擊的應(yīng)用程序來欺騙用戶，以便從他們那里收集數(shù)據(jù)。攻擊者可以竊取會話cookie并接管帳戶，冒充用戶。另外，也可以修改呈現(xiàn)給用戶的網(wǎng)頁的內(nèi)容。2.影響攻擊者可以導(dǎo)致堆內(nèi)存緩沖區(qū)溢出的工作進(jìn)程通過使用特制的請求，可能導(dǎo)致任意代碼執(zhí)行。3.影響攻擊可以包括公開本地文件，其中可能包含敏感數(shù)據(jù)，如密碼或用戶的私人數(shù)據(jù)，使用文件：系統(tǒng)識別計(jì)劃或相對路徑。由于攻擊發(fā)生相對于應(yīng)用程序處理XML文檔，攻擊者可能會利用此受信任的應(yīng)用程序轉(zhuǎn)動到其他內(nèi)部系統(tǒng)，有可能泄露通過HTTP（S）請求其他內(nèi)部內(nèi)容。中級漏洞1.影響攻擊者可能會迫使一個(gè)Web應(yīng)用程序的用戶執(zhí)行攻擊者'的選擇的行動。一個(gè)成功的CSRF攻擊會危及最終用戶的數(shù)據(jù)和操作的情況下，普通用戶的。如果最終的目標(biāo)用戶是管理員帳戶，這可能會危及整個(gè)Web應(yīng)用程序。2.影響第三方可以通過攔截一個(gè)未加密的HTTP連接來讀取用戶憑據(jù)。低級漏洞1.影響影響取決于受影響的Web應(yīng)用程序。2.影響攻擊者可能試圖通過系統(tǒng)地嘗試字母，數(shù)字和符號的每個(gè)可能的組合，直到發(fā)現(xiàn)工作的一個(gè)正確組合，以發(fā)現(xiàn)一個(gè)弱口令。3.影響OPTIONS方法可能暴露敏感信息可以幫助一個(gè)惡意用戶編寫更先進(jìn)的攻擊。4.影響此目錄可能暴露敏感信息，可以幫助惡意用戶準(zhǔn)備更高級的攻擊。5.影響可能的敏感信息泄露。綜述1.1具有最多安全性問題的文件URL漏洞數(shù)/login4/admin/2/static/app/libs/sessvars.js31.2web風(fēng)險(xiǎn)分布統(tǒng)計(jì)Web風(fēng)險(xiǎn)類別分布分類別高風(fēng)險(xiǎn)中風(fēng)險(xiǎn)低風(fēng)險(xiǎn)總計(jì)跨站腳本攻擊3205信息泄露2057內(nèi)容欺騙1001系統(tǒng)命令執(zhí)行3003功能濫用1012資源位置可預(yù)測0202其他0011滲透測試輸入網(wǎng)址，然后開始掃描正在掃描該網(wǎng)站掃描結(jié)束，共20個(gè)漏洞。點(diǎn)擊Report生成報(bào)告軟件自動生成的掃描報(bào)告4.漏洞信息四、風(fēng)險(xiǎn)評價(jià)安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意的和無意的因素。環(huán)境因素包括自然界的不可抗力因素和其他物理因素。威脅可能源于對web站點(diǎn)的直接或間接攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的或蓄意的事件。一般來說，威脅總是要利用web站點(diǎn)的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功造成損害。因此威脅分析是圍繞信息系統(tǒng)的可用性、保密性、完整性、可控性、可審查性、可抵賴性進(jìn)行的。安全風(fēng)險(xiǎn)則是一種可能性，是指某個(gè)威脅利用弱點(diǎn)引起某項(xiàng)信息資產(chǎn)或一組信息資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害的可能性。本次風(fēng)險(xiǎn)分析主要采用自頂向下和自底向上分析、定性分析與定量分析相結(jié)合的分析方法。首先自頂向下識別關(guān)鍵，然后自底向上采用定性、定量相結(jié)合的方法進(jìn)行風(fēng)險(xiǎn)分析。形成一個(gè)分層次的樹形分析體系。在這次評估中，整體系統(tǒng)存在的威脅和其產(chǎn)生的安全風(fēng)險(xiǎn)主要有以下幾個(gè)方面：1、針對主機(jī)的攻擊威脅包括針對linux系統(tǒng)以及其使用的nginx等組件的安全漏洞的攻擊威脅，攻擊者可能由此獲取系統(tǒng)的信息資源或?qū)ο到y(tǒng)信息進(jìn)行破壞。針對數(shù)據(jù)庫的攻擊威脅包括在對數(shù)據(jù)庫系統(tǒng)的攻擊行為，包括非法獲取、篡改、刪除數(shù)據(jù)庫信息資源和進(jìn)行其他形式的服務(wù)攻擊。管理不當(dāng)所引起的威脅包括由于用戶管理策略不當(dāng)使得攻擊者可能獲取某一級別的用戶的訪問權(quán)限，并由此提升用戶權(quán)限，造成用戶權(quán)限的濫用和信息資源的泄露、損毀等；由于采用遠(yuǎn)程管理而引發(fā)的威脅；缺乏足夠的安全審計(jì)致使對安全事件不敏感，無法發(fā)現(xiàn)攻擊行為等。配置不當(dāng)所引起的威脅包括在主機(jī)上開放了未做安全防范的服務(wù)所造成的威脅。程序邏輯漏洞造成的威脅包括編碼時(shí)由于對用戶輸入處理考慮不完全以及代碼本身的bug被利用所造成的威脅。在現(xiàn)場核查測試結(jié)束后，我們將對得到的脆弱性、威脅數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)分析。我們認(rèn)為在復(fù)雜的系統(tǒng)風(fēng)險(xiǎn)評估過程中，不能將定性分析和定量分析兩種方法簡單的割裂開來。而是應(yīng)該將這兩種方法融合起來，采用綜合的評估方法。在信息系統(tǒng)風(fēng)險(xiǎn)分析過程中，定性分析是靈魂，是形成概念、觀點(diǎn)，作出判斷，得出結(jié)論所必須依靠的。定量分析則是手段，是定性分析的基礎(chǔ)和前提，定性分析應(yīng)建立在定量分析的基礎(chǔ)上才能揭示客觀事物的內(nèi)在規(guī)律。是為作出判斷和得出結(jié)論。對于所識別出的各類安全風(fēng)險(xiǎn)，處理方式有四種，即預(yù)防、避免、降低、轉(zhuǎn)移和接受，但對于整個(gè)系統(tǒng)而言，風(fēng)險(xiǎn)不可能完全被消滅。在風(fēng)險(xiǎn)識別后，應(yīng)按照風(fēng)險(xiǎn)程度的輕重緩急和自身的經(jīng)濟(jì)實(shí)力及安全需求，綜合考慮法律法規(guī)的要求、機(jī)構(gòu)自身的發(fā)展需要、風(fēng)險(xiǎn)評估的結(jié)果等眾多因素，實(shí)施處理風(fēng)險(xiǎn)的各類措施。對不可接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧?，并形成風(fēng)險(xiǎn)處理計(jì)劃。控制措施的選擇應(yīng)兼顧管理與技術(shù)，并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡。五、風(fēng)險(xiǎn)控制建議安全這個(gè)話題是多層次的，一個(gè)網(wǎng)站要安全必須滿足物理安全、鏈路安全、網(wǎng)絡(luò)級安全、應(yīng)用安全和用戶安全這5個(gè)層次。大多數(shù)網(wǎng)站沒有完整的采取防護(hù)措施，因此，建立一套有效的網(wǎng)絡(luò)安全機(jī)制就顯得尤為重要，以下是必須考慮的安全防護(hù)要點(diǎn)：1、部署防火墻在互聯(lián)網(wǎng)與服務(wù)器之間部署硬件防火墻，這樣，通過互聯(lián)網(wǎng)進(jìn)來的用戶只能訪問到對外公開的一些服務(wù)（如WWW、E-mail、FTP、DNS等），既保護(hù)內(nèi)網(wǎng)資源不被非法訪問或破壞，也阻止了內(nèi)部用戶對外部不良資源的使用，并能夠?qū)Πl(fā)生的安全事件進(jìn)行跟蹤和審計(jì)。在網(wǎng)站的服務(wù)器上安裝軟件防火墻后還要進(jìn)一步設(shè)置訪問策略。2、漏洞及補(bǔ)丁管理Web服務(wù)器是一個(gè)由多協(xié)議、多應(yīng)用、多用戶組成的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件都存在難以避免的安全漏洞。為了要保障網(wǎng)站的安全,必須做好漏洞管理。3、入侵檢測工作作為服務(wù)器的日常管理，入侵檢測是一項(xiàng)非常重要的工作，在平常的檢測程序中，主要包含日常的服務(wù)器安全例行檢查和遭到入侵時(shí)的入侵檢查，也就是分為在入侵進(jìn)行時(shí)的安全檢查和在入侵前后的安全檢查。系統(tǒng)的安全性遵循木桶原理，木桶原理指的是：一個(gè)木桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那么這個(gè)木桶的最大容量不取決于長的木板，而取決于最短的那塊木板。應(yīng)用到安全方面也就是說系統(tǒng)的安全性取決于系統(tǒng)中最脆弱的地方，這些地方是日常的安全檢測的重點(diǎn)所在。4、數(shù)據(jù)備份和恢復(fù)數(shù)據(jù)是整個(gè)網(wǎng)絡(luò)的核心。數(shù)據(jù)一旦被破壞或丟失，對于Web服務(wù)器，嚴(yán)重影響網(wǎng)站的形象，影響到web服務(wù)的正常進(jìn)行。所以做一套完整的數(shù)據(jù)備份和恢復(fù)機(jī)制可以在服務(wù)器發(fā)生故障時(shí)將損失降低到最小。5、安裝反病毒軟件病毒、木馬、蠕蟲等惡意代碼是網(wǎng)站的主要安全隱患，必須做到有效控制?，F(xiàn)在的反病毒件查殺面也非常廣，在網(wǎng)站服務(wù)器上安裝反病毒軟件能從郵件、FTP文件、網(wǎng)頁、軟盤、光盤等所有可能的信息源進(jìn)行監(jiān)控和安全攔截。安裝完后要及時(shí)升級，這樣殺毒軟件查殺能力能夠覆蓋最新的惡意代碼。6、網(wǎng)站的密碼安全。關(guān)于密碼設(shè)置，我們可以從CSDN事件中看到，很大一部分人采用的甚至數(shù)字密碼，這類密碼很容易被破解。尤其是管理員密碼，我們需要學(xué)習(xí)下國外網(wǎng)站的設(shè)置，采用大小寫字母加數(shù)字，甚至特殊字符夾雜在里面作為密碼。7、網(wǎng)站維護(hù)管理的頻率。我們網(wǎng)站也需要和人一樣做定期檢查體檢，檢查文件的日志，一般我們網(wǎng)站文件都有時(shí)間日志的，被修改后時(shí)間日志會更新。我們需要查看文件被修改的時(shí)間。即便我們網(wǎng)站能夠正常訪問，也需要查看文件是不是被掛黑鏈接，因?yàn)楹阪溄赢a(chǎn)品也十分猖狂。鑒于自己的網(wǎng)站安全和權(quán)重考慮，也是需要進(jìn)行安全體檢的。8、檢查站點(diǎn)程序是否存在漏洞站點(diǎn)程序的完整性能夠確保網(wǎng)站在發(fā)展的過程中有一個(gè)完善的發(fā)展過程，選擇技術(shù)和組建的時(shí)候一定要注意淘汰與抉擇，不要拿自己的網(wǎng)站去測試程序的利與弊。附錄：Scanof:80/ScandetailsScaninformationStarttime2014/6/2914:30:59FinishtimeThescanwasabortedScantime8minutes,10secondsProfileDefaultServerinformationResponsiveTrueServerbannernginx/1.4.1ServerOSUnknownServertechnologiesThreatlevelAcunetixThreatLevel3Oneormorehigh-severitytypevulnerabilitieshavebeendiscoveredbythescanner.Amalicioususercanexploitthesevulnerabilitiesandcompromisethebackenddatabaseand/ordefaceyourwebsite.AlertsdistributionTotalalertsfound20High10Medium2Low7Informational1AlertssummaryCrosssitescripting(verified)ClassificationCVSSBaseScore:4.4

-AccessVector:Network

-AccessComplexity:Medium

-Authentication:None

-ConfidentialityImpact:None

-IntegrityImpact:Partial

-AvailabilityImpact:NoneCWECWE-79AffecteditemsVariations/1AcunetixWebsiteAudit2DOM-basedcrosssitescriptingClassificationCVSSBaseScore:4.4

-AccessVector:Network

-AccessComplexity:Medium

-Authentication:None

-ConfidentialityImpact:None

-IntegrityImpact:Partial

-AvailabilityImpact:NoneCWECWE-79AffecteditemsVariations/6nginxSPDYheapbufferoverflowClassificationCVSSBaseScore:5.1

-AccessVector:Network

-AccessComplexity:High

-Authentication:None

-ConfidentialityImpact:Partial

-IntegrityImpact:Partial

-AvailabilityImpact:PartialCWECWE-122CVECVE-2014-0133AffecteditemsVariationsWebServer1VulnerableJavascriptlibraryClassificationCVSSBaseScore:6.4

-AccessVector:Network

-AccessComplexity:Low

-Authentication:None

-ConfidentialityImpact:Partial

-IntegrityImpact:Partial

-AvailabilityImpact:NoneCWECWE-16AffecteditemsVariations/static/app/libs/sessvars.js1XMLexternalentityinjectionClassificationCVSSBaseScore:6.8

-AccessVector:Network

-AccessComplexity:Medium

-Authentication:None

-ConfidentialityImpact:Partial

-IntegrityImpact:Partial

-AvailabilityImpact:PartialCWECWE-611AffecteditemsVariations/forgotpw1AcunetixWebsiteAudit3HTMLformwithoutCSRFprotectionClassificationCVSSBaseScore:2.6

-AccessVector:Network

-AccessComplexity:High

-Authentication:None

-ConfidentialityImpact:None

-IntegrityImpact:Partial

-AvailabilityImpact:NoneCWECWE-352AffecteditemsVariations/1UsercredentialsaresentincleartextClassificationCVSSBaseScore:5.0

-AccessVector:Network

-AccessComplexity:Low

-Authentication:None

-ConfidentialityImpact:Partial

-IntegrityImpact:None

-AvailabilityImpact:NoneCWECWE-310AffecteditemsVariations/1Clickjacking:X-Frame-OptionsheadermissingClassificationCVSSBaseScore:6.8

-AccessVector:Network

-AccessComplexity:Medium

-Authentication:None

-ConfidentialityImpact:Partial

-IntegrityImpact:Partial

-AvailabilityImpact:PartialCWECWE-693AffecteditemsVariationsWebServer1Loginpagepassword-guessingattackClassificationCVSSBaseScore:5.0

-AccessVector:Network

-AccessComplexity:Low

-Authentication:None

-ConfidentialityImpact:Partial

-IntegrityImpact:None

-AvailabilityImpact:NoneCWECWE-307AffecteditemsVariations/login1AcunetixWebsiteAudit4OPTIONSmethodisenabledClassificationCVSSBaseScore:5.0

-AccessVector:Network

-AccessComplexity:Low

-Authentication:None

-ConfidentialityImpact:Partial

-IntegrityImpact:None

-AvailabilityImpact:NoneCWECWE-200AffecteditemsVariationsWebServer1PossiblesensitivedirectoriesClassificationCVSSBaseScore:5.0

-AccessVector:Network

-AccessComplexity:Low

-Authentication:None

-ConfidentialityImpact:Partial

-IntegrityImpact:None

-AvailabilityImpact:NoneCWECWE-200AffecteditemsVariations/admin1PossiblevirtualhostfoundClassificationCVSSBaseScore:5.0

-AccessVector:Network

-AccessComplexity:Low

-Authentication:None

-ConfidentialityImpact:Partial

-IntegrityImpact:None

-AvailabilityImpact:NoneCWECWE-200AffecteditemsVariationslocalhost1SessionCookiewithoutHttpOnlyflagsetClassificationCVSSBaseScore:0.0

-AccessVector:Network

-AccessComplexity:Low

-Authentication:None

-ConfidentialityImpact:None

-IntegrityImpact:None

-AvailabilityImpact:NoneCWECWE-16AffecteditemsVariations/1AcunetixWebsiteAudit5SessionCookiewithoutSecureflagsetClassificationCVSSBaseScore:0.0

-AccessVector:Network

-AccessComplexity:Low

-Authentication:None

-ConfidentialityImpact:None

-IntegrityImpact:None

-AvailabilityImpact:NoneCWECWE-16AffecteditemsVariations/1Passwordtypeinputwithauto-completeenabledClassificationCVSSBaseScore:0.0

-AccessVector:Network

-AccessComplexity:Low

-Authentication:None

-ConfidentialityImpact:None

-IntegrityImpact:None

-AvailabilityImpact:NoneCWECWE-200AffecteditemsVariations/1AcunetixWebsiteAudit6AlertdetailsCrosssitescripting(verified)SeverityHighTypeValidationReportedbymoduleScripting(XSS.script)DescriptionThisscriptispossiblyvulnerabletoCrossSiteScripting(XSS)attacks.

Crosssitescripting(alsoreferredtoasXSS)isavulnerabilitythatallowsanattackertosendmaliciouscode(usuallyintheformofJavascript)toanotheruser.Becauseabrowsercannotknowifthescriptshouldbetrustedornot,itwillexecutethescriptintheusercontextallowingtheattackertoaccessanycookiesorsessiontokensretainedbythebrowser.ImpactMalicioususersmayinjectJavaScript,VBScript,ActiveX,HTMLorFlashintoavulnerableapplicationtofoolauserinordertogatherdatafromthem.Anattackercanstealthesessioncookieandtakeovertheaccount,impersonatingtheuser.Itisalsopossibletomodifythecontentofthepagepresentedtotheuser.RecommendationYourscriptshouldfiltermetacharactersfromuserinput.ReferencesAcunetixCrossSiteScriptingAttackHowTo:PreventCross-SiteScriptinginASP.NETOWASPPHPTop5CrosssitescriptingXSSFilterEvasionCheatSheetXSSAnnihilationOWASPCrossSiteScriptingVIDEO:HowCross-SiteScripting(XSS)WorksTheCrossSiteScriptingFaqAffecteditems/DetailsCookieinputusernamewassetto1<script>prompt(997178)</script>

Theinputisreflectedinsideatextelement.RequestheadersGET/HTTP/1.1

Cookie:username=1<script>prompt(997178)</script>

Referer::80/

Host:

Connection:Keep-alive

Accept-Encoding:gzip,deflate

User-Agent:Mozilla/5.0(WindowsNT6.1;WOW64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/28.0.1500.63Safari/537.36

Accept:*/*AcunetixWebsiteAudit7DOM-basedcrosssitescriptingSeverityHighTypeValidationReportedbymoduleDeepScanDescriptionThisscriptispossiblyvulnerabletoCrossSiteScripting(XSS)attacks.

Crosssitescripting(alsoreferredtoasXSS)isavulnerabilitythatallowsanattackertosendmaliciouscode(usuallyintheformofJavascript)toanotheruser.Becauseabrowsercannotknowifthescriptshouldbetrustedornot,itwillexecutethescriptintheusercontextallowingtheattackertoaccessanycookiesorsessiontokensretainedbythebrowser.

Whileatraditionalcross-sitescriptingvulnerabilityoccursontheserver-sidecode,documentobjectmodelbasedcross-sitescriptingisatypeofvulnerabilitywhichaffectsthescriptcodeintheclient'sbrowser.ImpactMalicioususersmayinjectJavaScript,VBScript,ActiveX,HTMLorFlashintoavulnerableapplicationtofoolauserinordertogatherdatafromthem.Anattackercanstealthesessioncookieandtakeovertheaccount,impersonatingtheuser.Itisalsopossibletomodifythecontentofthepagepresentedtotheuser.RecommendationYourscriptshouldfiltermetacharactersfromuserinput.ReferencesOWASPCrossSiteScriptingHowTo:PreventCross-SiteScriptinginASP.NETOWASPPHPTop5CrosssitescriptingXSSAnnihilationTheCrossSiteScriptingFaqVIDEO:HowCross-SiteScripting(XSS)WorksAcunetixCrossSiteScriptingAttackXSSFilterEvasionCheatSheetAffecteditems/DetailsSource:ReferrerHeader

Referrer:/javascript:domxssExecutionSink(0,"<br>()refdxss")

ExecutionSink:document.write

HTMLcodewritten:<iframename="ads_ads_frame"src="http://ads.bxss.me/ad_server.php?zone_id=234&ad_client=723898932&u_h=768&u_w=1366&pn=&ref=/javascript:domxssExecutionSink(0,"<br>()refdxss")&url=/&"...(linetruncated)

StackTrace:at/ad.js:30

at/ad.js:31/DetailsSource:ReferrerHeader

Referrer:/javascript:domxssExecutionSink(0,"<br>()refdxss")

ExecutionSink:setHTMLcode(innerHTML/outerHTML/...)

HTMLcodeset:unknowniscomingfrom<b>/javascript:domxssExecutionSink(0,"<br>()refdxss")</b>andhasvisitedthispage<b>1</b>times....StackTrace:AcunetixWebsiteAudit8/DetailsSource:

:javascript:domxssExecutionSink(2,"<br>()wildxss")

ExecutionSink:evaluatecode(eval/setTimeout/setInterval/...)

Evaluatedcode:this.myObj=javascript:domxssExecutionSink(2,"<br>()wildxss")...StackTrace:at/static/app/libs/sessvars.js:105

at/static/app/libs/sessvars.js:76

at/static/app/libs/sessvars.js:202

at/static/app/libs/sessvars.js:204/DetailsSource:Location

Location:/?wvstest=javascript:domxssExecutionSink(1,"<br>()locxss")&

ExecutionSink:document.write

HTMLcodewritten:<iframename="ads_ads_frame"src="http://ads.bxss.me/ad_server.php?zone_id=234&ad_client=723898932&u_h=768&u_w=1366&pn=&ref=/javascript:domxssExecutionSink(0,"<br>()refdxss")&url=/?wvst...(linetruncated)

StackTrace:at/ad.js:30

at/ad.js:31/DetailsSource:Location

Location:/?wvstest=javascript:domxssExecutionSink(1,"<br>()locxss")&

ExecutionSink:document.write

HTMLcodewritten:<divclass="fb-comments"data-num-posts="4"data-width="470"data-href="/?wvstest=javascript:domxssExecutionSink(1,"<br>()locxss")&"></div>...StackTrace:at/static/app/post.js:119AcunetixWebsiteAudit9/DetailsSource:ReferrerHeader

Referrer:/javascript:domxssExecutionSink(0,"<br>()refdxss")

ExecutionSink:setHTMLcode(innerHTML/outerHTML/...)

HTMLcodeset:/acunetix/">Twitter</a></li>

</ul>

</div><!--/.well-->

</div><!--/span-->

<divclass="span10">

<divclass="row-fluid">

<divng-view=""></div>

</div><!--/row-->

</div><!--/span-->

</div><!--/row-->

<hr>

<divclass="row-fluid">

<divclass="pull-left"style="font-size:xx-small;"id="refId">unknowniscomingfrom<b>/javascript:domxssExecutionSink(0,"<br>()refdxss")</b>andhasvisitedthispage<b>1</b>times.</div>

</div>

<footer>

<pclass="pull-left">?AcunetixLtd.2013</p>

</footer>

</div><!--/.fluid-container-->

<!--Modal-->

<divid="myModal"class="modalhidefade"tabindex="-1"role="dialog"aria-labelledby="myModalLabel"aria-hidden="true">

<formclass="modal-body"action="/login"method="POST"id="loginForm">

<divclass="modal-header">

<buttontype="button"class="close"data-dismiss="modal"aria-hidden="tru...StackTrace:AcunetixWebsiteAudit10nginxSPDYheapbufferoverflowSeverityHighTypeConfigurationReportedbymoduleScripting(Version_Check.script)DescriptionAheap-basedbufferoverflowintheSPDYimplementationinnginx1.3.15before1.4.7and1.5.xbefore1.5.12allowsremoteattackerstoexecutearbitrarycodeviaacraftedrequest.Theproblemaffectsnginxcompiledwiththengx_http_spdy_modulemodule(whichisnotcompiledbydefault)andwithout--with-debugconfigureoption,ifthe"spdy"optionofthe"listen"directiveisusedinaconfigurationfile.ImpactAnattackercancauseaheapmemorybufferoverflowinaworkerprocessbyusingaspeciallycraftedrequest,potentiallyresultinginarbitrarycodeexecutionRecommendationUpgradenginxtothelatestversionofapplythepatchprovidedbythevendor.Referencesnginxsecurityadvisory(CVE-2014-0133)nginxpatchCVE-2014-0133AffecteditemsWebServerDetailsCurrentversionis:nginx/1.4.1AcunetixWebsiteAudit11VulnerableJavascriptlibrarySeverityHighTypeConfigurationReportedbymoduleScripting(Javascript_Libraries_Audit.script)DescriptionYouareusingavulnerableJavascriptlibrary.OneormorevulnerabilitieswerereportedforthisversionoftheJavascriptlibrary.ConsultAttackdetailsandWebReferencesformoreinformationabouttheaffectedlibraryandthevulnerabilitiesthatwerereported.ImpactConsultWebReferencesformoreinformation.RecommendationUpgradetothelatestversion.Referenceshttp://www.thomasfrank.se/sessionvars.htmlAffecteditems/static/app/libs/sessvars.jsDetailsDetectedJavascriptlibrarysessvarsversion1.00.

Theversionwasdetectedfromfilecontent.RequestheadersGET/static/app/libs/sessvars.jsHTTP/1.1

Pragma:no-cache

Cache-Control:no-cache

Referer:/

Acunetix-Aspect:enabled

Acunetix-Aspect-Password:*****

Acunetix-Aspect-Queries:filelist;aspectalerts

Host:

Connection:Keep-alive

Accept-Encoding:gzip,deflate

User-Agent:Mozilla/5.0(WindowsNT6.1;WOW64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/28.0.1500.63Safari/537.36

Accept:*/*AcunetixWebsiteAudit12XMLexternalentityinjectionSeverityHighTypeConfigurationReportedbymoduleScripting(XML_External_Entity_Injection.script)DescriptionXMLsupportsafacilityknownas"externalentities",whichinstructanXMLprocessortoretrieveandperformaninlineincludeofXMLlocatedataparticularURI.AnexternalXMLentitycanbeusedtoappendormodifythedocumenttypedeclaration(DTD)associatedwithanXMLdocument.AnexternalXMLentitycanalsobeusedtoincludeXMLwithinthecontentofanXMLdocument.

NowassumethattheXMLprocessorparsesdataoriginatingfromasourceunderattackercontrol.Mostofthetimetheprocessorwillnotbevalidating,butitMAYincludethereplacementtextthusinitiatinganunexpectedfileopenoperation,orHTTPtransfer,orwhateversystemidstheXMLprocessorknowshowtoaccess.

belowisasampleXMLdocumentthatwillusethisfunctionalitytoincludethecontentsofalocalfile(/etc/passwd)

<?xmlversion="1.0"encoding="utf-8"?>

<!DOCTYPEacunetix[

<!ENTITYacunetixentSYSTEM"file:///etc/passwd">

]>

<xxx>&acunetixent;</xxx>ImpactAttackscanincludedisclosinglocalfiles,whichmaycontainsensitivedatasuchaspasswordsorprivateuserdata,usingfile:schemesorrelativepathsinthesystemidentifier.SincetheattackoccursrelativetotheapplicationprocessingtheXMLdocument,anattackermayusethistrustedapplicationtopivottootherinternalsystems,possiblydisclosingotherinternalcontentviahttp(s)requests.RecommendationIfpossibleit'srecommendedtodisableparsingofXMLexternalentities.ReferencesCWE-611:InformationExposureThroughXMLExternalEntityReferenceXXE(XmleXternalEntity)attackAffecteditems/forgotpwDetailsCustomPOSTinputtext/xmlwassetto<?xmlversion="1.0"encoding="utf-8"?><!DOCTYPEacunetix[<!ENTITYacunetixentSYSTEM"http://hitGeSnJELhat.bxss.me/">]><xxx>&acunetixent;</xxx>

AnHTTPrequestwasinitiatedforthedomainhitGeSnJELhat.bxss.mewhichindicatesthatthisscriptisvulnerabletoXXEinjection.

HTTPrequestdetails:

IPaddress:65

Useragent:Python-urllib/1.17RequestheadersPOST/forgotpwHTTP/1.1

Content-Type:text/xml

Content-Length:156

Host:

Connection:Keep-alive

Accept-Encoding:gzip,deflate

User-Agent:Mozilla/5.0(WindowsNT6.1;WOW64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/28.0.1500.63Safari/537.36

Accept:*/*

<?xmlversion="1.0"encoding="utf-8"?>AcunetixWebsiteAudit13<!DOCTYPEacunetix[

<!ENTITYacunetixentSYSTEM"http://hitGeSnJELhat.bxss.me/">

]>

<xxx>&acunetixent;</xxx>AcunetixWebsiteAudit14HTMLformwithoutCSRFprotectionSeverityMediumTypeInformationalReportedbymoduleCrawlerDescriptionThisalertmaybeafalsepositive,manualconfirmationisrequired.

Cross-siterequestforgery,alsoknownasaone-clickattackorsessionridingandabbreviatedasCSRForXSRF,isatypeofmaliciousexploitofawebsitewherebyunauthorizedcommandsaretransmittedfromauserthatthewebsitetrusts.

AcunetixWVSfoundaHTMLformwithnoapparentCSRFprotectionimplemented.ConsultdetailsformoreinformationabouttheaffectedHTMLform.ImpactAnattackermayforcetheusersofawebapplicationtoexecuteactionsoftheattacker''schoosing.AsuccessfulCSRFexploitcancompromiseenduserdataandoperationincaseofnormaluser.Ifthetargetedenduseristheadministratoraccount,thiscancompromisetheentirewebapplication.RecommendationCheckifthisformrequiresCSRFprotectionandimplementCSRFcountermeasuresifnecessary.Affecteditems/DetailsFormname:<empty>

Formaction:/login

Formmethod:POST

Forminputs:

-username[Text]

-password[Password]RequestheadersGET/HTTP/1.1

Pragma:no-cache

Cache-Control:no-cache

Acunetix-Aspect:enabled

Acunetix-Aspect-Password:*****

Acunetix-Aspect-Queries:filelist;aspectalerts

Host:

Connection:Keep-alive

Accept-Encoding:gzip,deflate

User-Agent:Mozilla/5.0(WindowsNT6.1;WOW64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/28.0.1500.63Safari/537.36

Accept:*/*AcunetixWebsiteAudit15UsercredentialsaresentincleartextSeverityMediumTypeConfigurationReportedbymoduleCrawlerDescriptionUsercredentialsaretransmittedoveranunencryptedchannel.Thisinformationshouldalwaysbetransferredviaanencryptedchannel(HTTPS)toavoidbeinginterceptedbymalicioususers.ImpactAthirdpartymaybeabletoreadtheusercredentialsbyinterceptinganunencryptedHTTPconnection.RecommendationBecauseusercredentialsareconsideredsensitiveinformation,shouldalwaysbetransferredtotheserveroveranencryptedconnection(HTTPS).Affecteditems/DetailsFormname:<empty>

Formaction:/login

Formmethod:POST

Forminputs:

-username[Text]

-password[Password]RequestheadersGET/HTTP/1.1

Pragma:no-cache

Cache-Control:no-cache

Acunetix-Aspect:enabled

Acunetix-Aspect-Password:*****

Acunetix-Aspect-Queries:filelist;aspectalerts

Host:

Connection:Keep-alive

Accept-Encoding:gzip,deflate

User-Agent:Mozilla/5.0(WindowsNT6.1;WOW64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/28.0.1500.63Safari/537.36

Accept:*/*AcunetixWebsiteAudit16Clickjacking:X-Frame-OptionsheadermissingSeverityLowTypeConfigurationReportedbymoduleScripting(Clickjacking_X_Frame_Options.script)DescriptionClickjacking(UserInterfaceredressattack,UIredressattack,UIredressing)isamalicioustechniqueoftrickingaWebuserintoclickingonsomethingdifferentfromwhattheuserperceivestheyareclickingon,thuspotentiallyrevealingconfidentialinformationortakingcontroloftheircomputerwhileclickingonseeminglyinnocuouswebpages.

Theserverdidn'treturnanX-Frame-Optionsheaderwhichmeansthatthiswebsitecouldbeatriskofaclickjackingattack.TheX-Frame-OptionsHTTPresponseheadercanbeusedtoindicatewhetherornotabrowsershouldbeallowedtorenderapageina<frame>or<iframe>.Sitescanusethistoavoidclickjackingattacks,byensuringthattheircontentisnotembeddedintoothersites.ImpactTheimpactdependsontheaffectedwebapplication.RecommendationConfigureyourwebservertoincludeanX-Frame-Optionsheader.ConsultWebreferencesformoreinformationaboutthepossiblevaluesforthisheader.ReferencesClickjackingOriginalClickjackingpaperTheX-Frame-OptionsresponseheaderAffecteditemsWebServerDetailsNodetailsareavailable.RequestheadersGET/HTTP/1.1

Cookie:username=admin

Host:

Connection:Keep-alive

Accept-Encoding:gzip,deflate

User-Agent:Mozilla/5.0(WindowsNT6.1;WOW64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/28.0.1500.63Safari/537.36

Accept:*/*AcunetixWebsiteAudit17Loginpagepassword-guessingattackSeverityLowTypeValidationReportedbymoduleScripting(Html_Authentication_Audit.script)DescriptionAcommonthreatwebdevelopersfaceisapassword-guessingattackknown