人才庫系統(tǒng)安全測試報告

人才庫系統(tǒng)安全測試報告書

目錄1簡介 31.1 編寫目的 31.2 項目背景 31.3 系統(tǒng)簡介 31.3.1建設(shè)思路 31.3.2總體建構(gòu) 42測試概要 42.1測試范圍 42.2測試方法和測試工具 52.2.1驗證輸入安全 52.2.2訪問控制安全 52.2.3認證與會話管理 52.2.4緩沖區(qū)溢出 52.2.5不安全的配置管理 52.2.6注入式漏洞 62.2.7不恰當?shù)漠惓Ｌ幚?62.2.8跨站腳本（XSS） 62.2.9測試工具介紹 62.3測試環(huán)境配置 73測試組織 73.1測試人員 73.2測試時間細分及投入人力 84測試結(jié)果和結(jié)論 84.1測試結(jié)果 84.2問題整改 84.3測試結(jié)論 9

1簡介編寫目的本報告為中國人才信息綜合管理系統(tǒng)的安全測試報告，目的在考察系統(tǒng)安全性。項目背景為深入貫徹落實中央、省委、市委關(guān)于人才工作的要求和部署，以開放視野和創(chuàng)新政策廣納天下英才，服務(wù)全面創(chuàng)新改革驅(qū)動轉(zhuǎn)型發(fā)展。落實市“人才新政”戰(zhàn)略，做實區(qū)英才政策、中國自由貿(mào)易區(qū)高層次人才12條措施及配套政策，加快本區(qū)域人才隊伍建設(shè)，推動區(qū)、中國自由貿(mào)易試驗區(qū)片區(qū)、四川(長江)經(jīng)濟開發(fā)區(qū)產(chǎn)業(yè)發(fā)展，啟動建設(shè)中國人才信息綜合管理系統(tǒng)。系統(tǒng)簡介1.3.1建設(shè)思路本項目的總體建設(shè)思路為“一網(wǎng)、一庫、一中心、一平臺、一門戶、N應(yīng)用、M場景”，即一個高層次人才大數(shù)據(jù)采集網(wǎng)、一個高層次人才大數(shù)據(jù)庫、一個高層次人才大數(shù)據(jù)中心、一個高層次人才大數(shù)據(jù)平臺、N個高層次人才管理應(yīng)用、M個高層次人才大數(shù)據(jù)應(yīng)用場景。1.3.2總體建構(gòu)2測試概要2.1測試范圍本文報告了本次測試的匯總數(shù)據(jù)，測試評價及測試結(jié)論。2.2測試方法和測試工具中國人才信息綜合管理系統(tǒng)主要使用了輸入安全、訪問控制安全、認證與會話管理、緩沖區(qū)溢出、拒絕服務(wù)、不安全的配置管理、注入式漏洞等安全測試方案。針對以上提供的測試方案進行對應(yīng)的測試用例和測試腳本編寫，并使用Websecurify作為測試工具。2.2.1驗證輸入安全中國人才信息綜合管理系統(tǒng)主要對沒有被驗證的輸入進行如下測試：數(shù)據(jù)類型（字符串，整型，實數(shù)，等）、允許的字符集、最小和最大的長度、是否允許空輸入、參數(shù)是否是必須的、重復(fù)是否允許、數(shù)值范圍、特定的值（枚舉型）、特定的模式（正則表達式）。2.2.2訪問控制安全驗證用戶身份以及權(quán)限的頁面，復(fù)制該頁面的url地址，關(guān)閉該頁面以后，查看是否可以直接進入該復(fù)制好的地址例：從一個頁面鏈到另一個頁面的間隙可以看到URL地址直接輸入該地址，可以看到自己沒有權(quán)限的頁面信息。2.2.3認證與會話管理測試是否對Grid、Label、Treeview類的輸入框進行驗證，輸入的內(nèi)容是否會按照html語法解析出來。2.2.4緩沖區(qū)溢出測試系統(tǒng)是否有加密關(guān)鍵數(shù)據(jù)。例：view－source：http地址可以查看源代碼，在頁面輸入密碼，頁面顯示的是*****,點擊鼠標右鍵，查看源文件就可以看見剛才輸入的密碼。2.2.5不安全的配置管理測試Config配置中的鏈接字符串以及用戶信息，郵件，數(shù)據(jù)存儲信息是否進行加密保護，程序員應(yīng)該配置所有的安全機制，關(guān)掉所有不使用的服務(wù)，設(shè)置角色權(quán)限帳號，使用日志和警報。2.2.6注入式漏洞一個驗證用戶登陸的頁面，如果使用的sql語句為：Select*fromtableAwhereusername＝’’+username+’’andpassword…..Sql輸入‘or1＝1――就可以不輸入任何password進行攻擊或者是半角狀態(tài)下的用戶名與密碼均為：‘or’‘=’。2.2.7不恰當?shù)漠惓Ｌ幚頊y試程序在拋出異常的時候給出了比較詳細的內(nèi)部錯誤信息，是否暴露了不應(yīng)該顯示的執(zhí)行細節(jié)，網(wǎng)站是否存在潛在漏洞。2.2.8跨站腳本（XSS）攻擊者使用跨站腳本來發(fā)送惡意代碼給沒有發(fā)覺的用戶，竊取他機器上的任意資料。測試方法：●HTML標簽：<…>…</…>●轉(zhuǎn)義字符：&(&)；<(<)；>(>)；(空格)；●腳本語言：<script.language=‘javascript’>…Alert(‘’)</script>●特殊字符：‘’<>/●最小和最大的長度●是否允許空輸入2.2.9測試工具介紹工具名稱用途W(wǎng)ebsecurifyScanner用于測試系統(tǒng)安全漏洞Nmap用于進行端口掃描BurpSuite用于進行網(wǎng)絡(luò)漏洞掃描2.3測試環(huán)境配置在此次項目的測試中，所使用到的環(huán)境和配置見下表：硬件環(huán)境序號服務(wù)器廠商/型號配置/數(shù)量操作系統(tǒng)1Web服務(wù)器Dell/r730內(nèi)存：16G；磁盤：100G；cpu：1顆Centos6.52數(shù)據(jù)庫服務(wù)器Dell/r730內(nèi)存：16G；磁盤：500G；cpu：1顆Centos6.5軟件環(huán)境序號系統(tǒng)軟件廠商版本1TomcatApache7.0.682Mysql

Oracle5.63測試組織3.1測試人員序號姓名角色職責(zé)1測試組長負責(zé)安排測試任務(wù)2測試員負責(zé)具體系統(tǒng)模塊安全測試3測試員負責(zé)具體系統(tǒng)模塊安全測試3.2測試時間細分及投入人力以下為測試過程中多個測試輪次的時間和人員安排以及工作內(nèi)容的簡單描述：子系統(tǒng)/子模塊起止日期總天數(shù)測試人員系統(tǒng)登錄2019.3.12-2109.3.121人才認定2019.3.12-2109.3.165人才招引2019.3.13-2109.3.153人才服務(wù)2019.3.16-2109.3.194人才管理2019.3.15-2109.3.1844測試結(jié)果和結(jié)論4.1測試結(jié)果測試過程共發(fā)現(xiàn)問題：38個。共解決問題：38個。未解決問題：0個。4.2問題整改4.2.1XSS攻擊漏洞修復(fù)漏洞發(fā)現(xiàn)：本次頁面在用戶文檔管理、新聞管理等發(fā)現(xiàn)18個漏洞漏洞修復(fù)：修復(fù)涉及后臺java代碼，對所有需要寫入數(shù)據(jù)庫接口參數(shù)，進行特殊字符轉(zhuǎn)義處理，比如將<轉(zhuǎn)義為>，>轉(zhuǎn)義為<防止前端頁面讀取到特殊字符后執(zhí)行script腳本。4.2.2SQL注入漏洞修復(fù)漏洞發(fā)現(xiàn)：本次后臺發(fā)現(xiàn)15處sql注入漏洞。漏洞修復(fù)：修復(fù)涉及后臺java代碼以及sql語句。1：對所有前臺JavaScript傳入的sql查詢參數(shù)，統(tǒng)一攔截并將多余空格刪除。2：對參數(shù)中的特殊字符進行轉(zhuǎn)義處理。3：對mybatis查詢框架全部啟動預(yù)編譯功能，使用#{}傳參方法代替${}傳參方式。4.2.3用戶敏感數(shù)據(jù)未加密傳輸漏洞修復(fù)漏洞發(fā)現(xiàn)：本次發(fā)現(xiàn)用戶敏感數(shù)據(jù)未加密傳輸共計5個，涵蓋用戶注冊、企業(yè)用戶注冊、用戶登錄、企業(yè)用戶登錄、用戶密碼修改。漏洞修復(fù)：漏洞修改涉及前端javascript代碼及后臺java代碼，將原有的明文提交方式修改為分段加密提交方式。1：前端頁面向服務(wù)器申請RSA非對稱加密公鑰:2：服務(wù)器隨機生成一對非對稱RSA公鑰和私鑰，并將公鑰返回前端頁面3：前端頁面使用獲取的動態(tài)RSA加密公鑰對用戶賬號、登錄密碼等敏感信息進行加密。4：前端頁面對公鑰進行MD5加密后獲取公鑰的指紋碼信息。4：前端頁面向后端服務(wù)器提交指紋碼和加密信息。5：服務(wù)器對密文進行解密后進行業(yè)務(wù)邏輯處理。6：服務(wù)器解密完成之后立即銷毀公鑰與私鑰，防止其他網(wǎng)絡(luò)用戶使用相同的公鑰進行攻擊。4.2.4MySql登錄口令安全策略根據(jù)客戶要求取消MySql登錄口令復(fù)雜密碼設(shè)置。系統(tǒng)原設(shè)置用戶密碼長度必須超過6位，內(nèi)容必須包含數(shù)字、大小寫字母和特殊符號，現(xiàn)因客戶要求對前臺注冊密碼不做限