北京信息科技大學(xué)信息門戶系統(tǒng)20140303

第頁北京信息科技大學(xué)信息門戶系統(tǒng)滲透測試報告北京數(shù)字認(rèn)證股份有限公司2014年03月02日版本信息文件編號受控級別普通制作人吳錦鋒制作日期2014年03月復(fù)審人涂元浩復(fù)審日期2014年03月擴散范圍北京信息科技大學(xué)網(wǎng)絡(luò)管理中心（注：以下簡稱“客戶”）北京數(shù)字認(rèn)證股份有限公司（注：以下簡稱“BJCA”）攻防實驗室擴散批準(zhǔn)人翟建軍版本控制版本變更信息修改人日期版權(quán)信息BJCA是北京數(shù)字認(rèn)證股份有限公司的商標(biāo)和縮寫。本文的版權(quán)屬于北京數(shù)字認(rèn)證股份有限公司，未經(jīng)許可，任何個人和團體不得轉(zhuǎn)載、粘貼或發(fā)布本文，也不得部分的轉(zhuǎn)載、粘貼或發(fā)布本文，更不得更改本文的部分詞匯進行轉(zhuǎn)貼。未經(jīng)許可不得拷貝，影印。Copyright@2014北京數(shù)字認(rèn)證股份有限公司目錄287041項目概述 121581.1前言 1270631.2滲透測試范圍 1307021.3滲透測試目的 1258591.4滲透測試組織 132751.5滲透測試原則 2260572滲透測試方法 4208602.1概述 4131332.2滲透測試方法 4174902.3風(fēng)險控制和管理 5159412.4風(fēng)險等級說明 561613信息系統(tǒng)安全現(xiàn)狀 619693.1風(fēng)險等級概況 615283.2漏洞詳細列表 659194安全漏洞詳細分析 795704.1北京信息科技大學(xué)信息門戶系統(tǒng) 7175084.1.1跨站腳本漏洞（中） 774694.1.2登陸請求未加密（低） 8306785整改建議 9259845.1針對跨站腳本漏洞的整改建議 9239375.2針對登陸請求未加密漏洞的整改建議 9北京數(shù)字證書認(rèn)證中心WEB應(yīng)用系統(tǒng)滲透測試方案北京數(shù)字證書認(rèn)證中心 第4頁共11頁第13頁項目概述前言隨著信息化程度的不斷提高，對信息系統(tǒng)的依賴程度也不斷增加，信息的價值也逐漸增大，隨之而來的信息安全問題也日漸凸現(xiàn)，為保障信息化建設(shè)的健康發(fā)展，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保護公眾利益，促進電子政務(wù)的深入發(fā)展。同時，為貫徹落實《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）文件要求，保障客戶網(wǎng)站的安全、高效和可靠運行，客戶委托BJCA進行本次安全滲透測試工作。滲透測試范圍根據(jù)前期的調(diào)研和了解，本次滲透測試工作范圍如下：序號網(wǎng)站名稱地址1北京信息科技大學(xué)信息門戶系統(tǒng)滲透測試目的分析客戶WEB應(yīng)用系統(tǒng)的安全現(xiàn)狀，檢測WEB應(yīng)用系統(tǒng)的漏洞和安全問題，并驗證其他已知的脆弱點。對系統(tǒng)的任何弱點、技術(shù)缺陷或漏洞的主動分析，并且以有利于攻擊為目的而對漏洞加以利用。從而全面了解和掌握WEB應(yīng)用系統(tǒng)的信息安全威脅和風(fēng)險，為WEB應(yīng)用系統(tǒng)開展安全調(diào)優(yōu)及加固建設(shè)提供依據(jù)，并指導(dǎo)客戶實施調(diào)優(yōu)及加固工作，具體的目標(biāo)包括：幫助客戶理解應(yīng)用系統(tǒng)當(dāng)前的安全狀況，發(fā)現(xiàn)在系統(tǒng)復(fù)雜結(jié)構(gòu)中的最脆弱鏈路；通過改進建議，保證WEB應(yīng)用系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施滿足標(biāo)準(zhǔn)的安全性基線；降低WEB應(yīng)用系統(tǒng)信息安全事件發(fā)生的可能性；保障WEB應(yīng)用系統(tǒng)的安全、可靠、穩(wěn)定運行。滲透測試組織為了保證滲透測試工作的順利實施，確保項目質(zhì)量達到預(yù)期目標(biāo)，加強管理和協(xié)調(diào)合作，使工作和責(zé)任更加清晰明確，特建立分工明確，職責(zé)清楚，層次分明同時又能協(xié)調(diào)配合的項目管理組織結(jié)構(gòu)。滲透測試實施按照工作內(nèi)容劃分為以下職能小組：領(lǐng)導(dǎo)協(xié)調(diào)小組：溝通協(xié)調(diào)參與各方的相關(guān)事宜；監(jiān)督、控制項目進度及質(zhì)量，及時發(fā)現(xiàn)項目實施過程中存在的問題，并及時組織改進；對重大問題進行決策；項目經(jīng)理：負(fù)責(zé)項目各階段和總體工作的準(zhǔn)備和實施工作；總體把握項目風(fēng)險控制、時間安排和項目質(zhì)量工作；向項目領(lǐng)導(dǎo)協(xié)調(diào)小組反饋問題；組織項目驗收工作。滲透測試小組：負(fù)責(zé)滲透測試中的信息收集、滲透測試和報告編寫等各項實施工作；向項目經(jīng)理反饋問題。滲透測試原則本次滲透測試工作中嚴(yán)格遵循以下原則：標(biāo)準(zhǔn)性原則：滲透性測試方案的設(shè)計和實施應(yīng)依據(jù)行業(yè)、國家、國際的相關(guān)標(biāo)準(zhǔn)進行；規(guī)范性原則：服務(wù)提供商的工作過程和所有文檔，應(yīng)具有很好的規(guī)范性，以便于項目的跟蹤和控制；可控性原則：在保證測試質(zhì)量的前提下，按計劃進度執(zhí)行，需要保證對滲透測試工作的可控性。安全評估的工具、方法和過程要在雙方認(rèn)可的范圍之內(nèi)合法進行；整體性及有限性原則：滲透性測試的內(nèi)容應(yīng)包括用戶等各個層面，滲透性測試的對象應(yīng)包括和僅限于用戶所指定的具體設(shè)備及系統(tǒng)，未經(jīng)用戶授權(quán)不得減小或擴大滲透性測試的范圍和對象；最小影響原則：滲透性測試工作應(yīng)盡量避免影響系統(tǒng)和網(wǎng)絡(luò)的正常運行，不對正常運行的系統(tǒng)和網(wǎng)絡(luò)構(gòu)成破壞和造成停產(chǎn)；保密原則：滲透性測試的過程和結(jié)果應(yīng)嚴(yán)格保密，不能泄露測試項目所涉及的任何打印和電子形式的有效數(shù)據(jù)和文件。滲透測試方法概述滲透測試工作主要是對于已經(jīng)采取了安全防護措施（安全產(chǎn)品、安全服務(wù)）或者即將采用安全防護措施的用戶而言，明確網(wǎng)絡(luò)當(dāng)前的安全現(xiàn)狀并對下一步的安全建設(shè)有重大的指導(dǎo)意義。滲透測試服務(wù)用于驗證在當(dāng)前的安全防護措施下網(wǎng)絡(luò)、系統(tǒng)抵抗黑客攻擊的能力。任務(wù)組利用各種主流的攻擊技術(shù)對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用進行遠程攻擊測試，目的是發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用層面存在的安全漏洞和隱患，并提出相應(yīng)的整改建議。滲透測試方法此次滲透測試的工作流程如下圖所示：計劃和準(zhǔn)備：在實際工作開展前需要同客戶就滲透測試的目標(biāo)、范圍、工作方式以及實施成果進行討論，并簽訂保密協(xié)議，成立滲透測試工作小組，在得到客戶的滲透測試授權(quán)書后開展工作。信息收集操作：收集滲透性測試所需信息（包括設(shè)備存活情況、網(wǎng)絡(luò)拓?fù)淝闆r以及掃描發(fā)現(xiàn)漏洞情況等），準(zhǔn)備相關(guān)測試工具。滲透測試：按照互聯(lián)網(wǎng)滲透性測試實施計劃進行測試驗證。本地信息收集：根據(jù)滲透深度情況，不斷收集相關(guān)環(huán)境信息及漏洞情況，并進行綜合分析。權(quán)限提升：根據(jù)環(huán)境條件進行相關(guān)的權(quán)限提升，直到最高權(quán)限。循環(huán)：在整個滲透過程中，就是不斷地進行信息收集操作、滲透測試、本地信息收集和權(quán)限提升這一系列操作過程。信息清除：根據(jù)滲透過程中使用的一些工具情況進行必要的清除過程。報告撰寫：根據(jù)滲透過程輸出報告。風(fēng)險控制和管理在滲透測試中，測試過程的安全可控是非常重要的。按照相關(guān)規(guī)定，任務(wù)組特別注意了測試過程本身的安全性問題，制定了安全控制措施和安全控制策略，采取了適當(dāng)?shù)娘L(fēng)險規(guī)避、風(fēng)險降低等方法，盡量避免影響業(yè)務(wù)的正常運行。在某些測試中，若無法確定測試過程是否安全，任務(wù)組將放棄相關(guān)測試以確保測試對象的安全。另外，對于安全防護措施嚴(yán)密的網(wǎng)絡(luò)、系統(tǒng)，在有限的時間內(nèi)進行滲透測試可能不會獲得成功結(jié)果。這從另一角度證明了網(wǎng)絡(luò)、系統(tǒng)能夠在一定程度上抵抗黑客的攻擊。風(fēng)險等級說明風(fēng)險等級劃分標(biāo)準(zhǔn)如下：風(fēng)險等級等級劃分依據(jù)高風(fēng)險獲得管理員權(quán)限，完全控制機器和應(yīng)用系統(tǒng)；利用該漏洞能夠?qū)崿F(xiàn)文件上傳建立目錄，從中獲取大量的數(shù)據(jù)庫表結(jié)構(gòu)信息或利用該漏洞發(fā)起的攻擊直接引起應(yīng)用系統(tǒng)服務(wù)器故障、響應(yīng)異?；蛸Y金損失。中風(fēng)險獲取部分訪問權(quán)限，尚未完全控制機器和應(yīng)用系統(tǒng)；利用該漏洞能夠?qū)崿F(xiàn)提取應(yīng)用系統(tǒng)上相關(guān)信息，下載文件，但暫時無法實現(xiàn)文件上傳或者建立目錄。利用該漏洞攻擊間接影響應(yīng)用系統(tǒng)運行或引起客戶敏感信息外泄。低風(fēng)險弱口令、無法驗證的可能存在風(fēng)險以及需要依賴客戶風(fēng)險意識薄弱方可觸發(fā)的風(fēng)險。信息系統(tǒng)安全現(xiàn)狀風(fēng)險等級概況通過本次滲透測試工作，在滲透測試范圍內(nèi)共發(fā)現(xiàn)5個可能潛在的安全問題。安全問題按照風(fēng)險等級從高到低可分為高、中、低三個等級，其中高風(fēng)險級別的問題有0個，中風(fēng)險級別的問題有4個，低風(fēng)險為1個。按照風(fēng)險等級分類如下圖所示：漏洞詳細列表通過滲透測試，所檢查到的詳細漏洞情況如下所示：名稱地址漏洞類型漏洞數(shù)量危險級別備注1北京信息科技大學(xué)信息門戶系統(tǒng)跨站腳本漏洞4中登錄請求未加密1低安全漏洞詳細分析北京信息科技大學(xué)信息門戶系統(tǒng)跨站腳本漏洞（中）漏洞情況漏洞鏈接頁面：/auth/login.html.do(POST)username="/><script>alert(86)</script>&password=&code=1234其它漏洞鏈接頁面：序號漏洞鏈接頁面/auth/login.html.do(POST)username=&password="/><script>alert(92)</script>&code=1234/auth/login.html.do(POST)username=%3E%22%27%3E%3Cscript%3Ealert%2813%29%3C%2Fscript%3E&password=%3E%22%27%3E%3Cscript%3Ealert%2813%29%3C%2Fscript%3E&code=%3E%22%27%3E%3Cscript%3Ealert%2813%29%3C%2Fscript%3E/auth/login.html.do(POST)username=&password=&code=1234"/><script>alert(96)</script>漏洞危害通過該sql注入漏洞，惡意攻擊者可以利用該企業(yè)賬戶查詢到所有其他企業(yè)的所有數(shù)據(jù)，可能不同企業(yè)賬戶間敏感信息的泄露，給企業(yè)造成損失。登陸請求未加密（低）漏洞情況漏洞鏈接頁面：/auth/login.html.do(POST)username=&password=&code=1234漏洞危害檢測中發(fā)現(xiàn)登錄請求（例如：用戶名、密碼、電子郵件地址、社會安全號碼等）被發(fā)送到服務(wù)器的過程中并未采用通訊加密協(xié)議或加密。惡意人員可通過數(shù)據(jù)截包實現(xiàn)網(wǎng)站管理員用戶名、密碼信息的截獲。整改建議 整改方案建議是建立在對用戶遠程滲透測試結(jié)果的基礎(chǔ)之上提出的整改建議。針對跨站腳本漏洞的整改建議每個提交信息的客戶端頁面，通過服務(wù)器端腳本（JSP、ASP、ASPX、PHP等腳本）生成的客戶端頁面，提交的表單（FORM）或發(fā)出的連接請求中包含的所有變量，必須對變量的值進行檢查。過濾其中包含的特殊字符，或?qū)ψ址M行轉(zhuǎn)義處理。特殊字符包括：HTML標(biāo)簽的<符號、“符號、’符號、%符號等，以及這些符號的Unicode值；客戶端腳本（Javascript、VBScript）關(guān)鍵字：javascript、script等；此外，對于信息搜索功能，不應(yīng)在搜索結(jié)果頁面中回顯搜索內(nèi)容。同時應(yīng)設(shè)置出錯頁面，防止Web服務(wù)器發(fā)生內(nèi)部錯誤時，錯誤信息返回給客戶端。具體建議如下：定義允許的行為。確保Web應(yīng)用程序根據(jù)預(yù)期結(jié)果的嚴(yán)格定義來驗證所有輸入?yún)?shù)（Cookie、標(biāo)頭、查詢字符串、表單、隱藏字段等）。檢查POST和GET請求的響應(yīng)，以確保返回的對象是預(yù)期的內(nèi)容且有效。通過對用戶提供的數(shù)據(jù)進行編碼，從用戶輸入中移除沖突的字符、括號和單雙引號。這將防止將插入的腳本以可執(zhí)行的格式發(fā)送給最終用戶。只要可能，就應(yīng)將客戶端提供的所有數(shù)據(jù)限制為字母數(shù)字?jǐn)?shù)據(jù)。使用此過濾機制時，如果用戶輸入“<script>alertdocumentcookie('aaa')</script>”，將縮減為“scriptalertd