网站风险评估报告
网站风险评估报告——《信息安全工程》课程报告课程名称 信息安全工程班 级专 业 信息安全任课教师学 号姓 名1 / 71
网站风险评估报告
——《信息安全工程》课程报告
课程名称 信息安全工程
班 级
专 业 信息安全
任课教师
学 号
姓 名
1 / 71
目录
封面-------------------------------------------------------------------------1 目录-------------------------------------------------------------------------2 一、评估准备-------------------------------------------------------------3 1、安全评估准备-----------------------------------------------------3 2、安全评估范围-----------------------------------------------------3 3、安全评估团队-----------------------------------------------------3 4、安全评估计划-----------------------------------------------------3 二、风险因素评估-------------------------------------------------------3
1.威胁分析-----------------------------------------------------------3 1.1威胁分析概述--------------------------------------------------3
1.2威胁分析来源--------------------------------------------------4
1.3威胁种类--------------------------------------------------------4
2.安全评估-----------------------------------------------------------7
2.1高危漏洞--------------------------------------------------------7
2.2中级漏洞--------------------------------------------------------7
2.3低级漏洞--------------------------------------------------------8
三、综述--------------------------------------------------------------------8
1.1具有最多安全性问题的文件--------------------------------9
1.2Web 风险分布统计--------------------------------------------9
2.Web 风险类别分布-----------------------------------------------10
3. 渗透测试------------------------------------------------------------10
4. 漏洞信息------------------------------------------------------------15
四、风险评价-------------------------------------------------------------18
五、风险控制建议-------------------------------------------------------19 附录:------------------------------------------------------------------------22
2 / 71
,一、评估准备
1、安全评估目标
在项目评估阶段,为了充分了解SecurityTweets 这个网站的安全系数,因此需要对SecurityTweets 这个网站当前的重点服务器和web 应用程序进行一次抽样扫描和安全弱点分析,对象为SecurityTweets 全站,然后根据安全弱点扫描分析报告,作为提高SecurityTweets 系统整体安全的重要参考依据之一。
2、安全评估范围
本小组将对如下系统进行安全评估:
采用linux 系统的web 服务器(IP 地址:176.28.50.165)
采用nginx 服务器程序的web 站点
采用MySQL 的数据库
3、安全评估团队
成员组成:
使用工具:
1、Acunetix Web Vulnerability Scanner
2、BurpSuite
4、安全评估计划
1、此次针对网站的安全评估分为2个步骤进行。第一步利用现有的优秀安全评估软件来模拟攻击行为进行自动的探测安全隐患;第二步根据第一步得出的扫描结果进行分析由小组成员亲自进行手动检测,排除误报情况,查找扫描软件无法找到的安全漏洞。
2、第一步我们采用两种不同的渗透测试软件对网站做总体扫描。采用两种工具是因为这两个工具的侧重点不同,可以互为补充,使得分析更为精确。然后生成测试报告。
3、根据上一步生成的测试报告,由组员亲自手动验证报告的可信性。
4、根据安全扫描程序和人工分析结果写出这次安全评估的报告书。
二、风险因素评估
1. 威胁分析
1.1. 威胁分析概述
本次威胁分析是对一个德国的SecurityTweets 网站进行的。威胁分析包括的具体内容有:威胁主体、威胁途径、威胁种类。
3 / 71
,1.2. 威胁来源
SecurityTweets 网站是基于Internet 体系结构建立,网络业务系统大都采用TCP/IP作为主要的网络通讯协议,其自身提供了各种各样的接口以供使用和维护,然而,这些接口同样可能向威胁主体提供了攻击的途径:
1.3. 威胁种类:
1. 描述
这个脚本是可能容易受到跨站点脚本(XSS )攻击。
跨站点脚本(也被称为XSS )是一种漏洞,允许攻击者发送恶意代码(通常在Javascript 中的形式)给其他用户。因为浏览器无法知道是否该脚本应该是可信与否,它会在用户上下文中,允许攻击者访问被浏览器保留的任何Cookie 或会话令牌执行脚本。
虽然传统的跨站点脚本漏洞发生在服务器端的代码,文档对象模型的跨站点脚本是一种类型的漏洞会影响脚本代码在客户端的浏览器。
4 / 71
,2. 描述
基于堆的缓冲区溢出在nginx1.3.15的SPDY 执行1.4.7和1.5.x 版本1.5.12之前之前允许远程攻击者通过特制的请求执行任意代码。该问题影响的ngx_http_spdy_module模块(默认情况下不编译),并编译nginx 的 - 与调试配置选项,如果“听”指令的“SPDY ”选项用于在配置文件中。
3.描述
您使用的是脆弱的Javascript 库。一个或多个漏洞报告这个版本的JavaScript 库。咨询攻击细节和Web 引用有关受影响的库,并进行了报道,该漏洞的详细信息。
4. 描述
XML 支持被称为“外部实体”,它指示XML 处理器来检索和执行内嵌的设施包括XML 位于特定URI 的。一个外部XML 实体可以用来追加或修改与XML 文档相关联的文档类型定义(DTD )。外部XML 实体也可以用于对XML 文档的内容中包含的XML 。
现在假设XML 处理器解析数据从下攻击者控制的一个光源发出。大多数时候,处理器将不会被确认,但它可能包括替换文本从而引发意想不到的文件打开操作,或HTTP 传输,或任何系统IDS 的XML 处理器知道如何访问。
以下是将使用此功能包含本地文件(/ etc / passwd文件)的内容的示例XML 文档
<?XML 版本=“1.0”编码=“UTF-8”?>
<!DOCTYPE 的Acunetix[
<!实体acunetixent 系统“文件:/// etc / passwd文件”>
]>
4. 描述
此警报可能是假阳性,手动确认是必要的。
跨站请求伪造,也称为一次单击攻击或会话骑马和缩写为CSRF 或者XSRF ,是一种类型的恶意攻击网站即未经授权的命令是从一个用户,该网站信任传递的。
5 / 71
,WVS 的Acunetix 找到一个HTML 表单与实施没有明显的CSRF 保护。详细信息请咨询有关受影响的HTML 表单的信息。
5. 描述
用户凭据的传送是在一个未加密的通道。这些信息应该始终通过加密通道(HTTPS ),以避免被拦截恶意用户转移。
6. 描述
点击劫持(用户界面补救的攻击,用户界面补救攻击,用户界面救济的权利)是诱骗网络用户点击的东西从什么用户会感觉到他们是点击,从而有可能泄露机密资料,或利用其电脑同时控制不同的恶意技术点击看似无害的网页。
该服务器没有返回的X 帧选项头这意味着该网站可能是在点击劫持攻击的风险。 X框,选择HTTP 响应头可以被用于指示浏览器是否应该被允许以呈现页面中的或