XX投资集团-网站渗透测试报告
_______________________________XXXX 投资集团网站渗透测试报告_______________________________ ,中国电力投
_______________________________
XXXX 投资集团
网站渗透测试报告
_______________________________
,中国电力投资集团网站渗透测试报告
目 录
第1章 概述................................................................................................................ 4
1.1. 测试目的 ...................................................................................................... 4
1.2. 测试范围 ...................................................................................................... 4
1.3. 实施流程 ...................................................................................................... 4
1.3.1. 信息收集 . .......................................................................................................... 5
1.3.2. 渗透测试 . .......................................................................................................... 6
1.3.3. 本地信息收集 . .................................................................................................. 7
1.3.4. 权限提升 . .......................................................................................................... 7
1.3.5. 清除 . .................................................................................................................. 7
1.3.6. 输出报告 . .......................................................................................................... 7
1.4. 参考标准 ...................................................................................................... 7
第2章 测试综述........................................................................................................ 8
2.1. 总体安全现状 .............................................................................................. 8
2.2. 安全漏洞列表 .............................................................................................. 8
第3章 测试结果...................................................................................................... 10
3.1. 门户网站 .................................................................................................... 10
3.1.1. Apache 版本低................................................................................................ 10
3.1.2. SQL 注入漏洞 ................................................................................................ 10
3.1.3. 跨站脚本漏洞(内网中存在) . .................................................................... 12
3.1.4. 敏感信息泄漏 . ................................................................................................ 13
3.2. 邮件系统 .................................................................................................... 14
3.2.1. 跨站点请求伪造 . ............................................................................................ 14
3.2.2. 已解密的登录请求 . ........................................................................................ 15
3.2.3. 未使用验证码机制 . ........................................................................................ 16
3.3. 党群工作信息管理系统 ............................................................................ 16
第4章 安全建议...................................................................................................... 18
第 2 页 共 18 页
,中国电力投资集团网站渗透测试报告
文档信息表
第 3 页 共 18 页
,中国电力投资集团网站渗透测试报告
第1章 概述
1.1. 测试目的
模拟黑客的入侵行为,对指定的网站应用系统进行安全漏洞扫描和利用测试,评估是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小,为制定相应的安全措施与解决方案提供实际的依据。
1.2. 测试范围
1.3. 实施流程
渗透测试服务流程定义如下:
第 4 页 共 18 页
,中国电力投资集团网站渗透测试报告
1.3.1. 信息收集
此阶段中,渗透测试小组进行必要的信息收集,如 IP 地址、DNS 记录、软件版本信息、IP 段等。
⏹ 采用方法
基本网络信息获取
第 5 页 共 18 页
中国电力投资集团网站渗透测试报告
ping 目标网络得到 IP 地址和 ttl 等信息
tcptraceroute 和 traceroute 的结果
whois 结果
netcraft 获取目标可能存在的域名、Web 及服务器信息
curl 获取目标 web 基本信息
nmap 对网站进行端口扫描并判断操作系统类型
google 、yahoo 、baidu 等搜索引擎获取目标信息
FWtester 、hping3 等工具进行防火墙规则探测
其他
1.3.2. 渗透测试
此阶段中,渗透测试小组根据第一阶段获得的信息对网络、系统进行渗透测试。此阶段如果成功的话,可能获得普通权限。
⏹ 采用方法
常规漏洞扫描和采用商用软件进行检查
结合使用ISS 与 Nessus 等商用或免费的扫描工具进行漏洞扫描 采用 SolarWinds 对网络设备等进行搜索发现
采用 nikto 、webinspect 等软件对 web 常见漏洞进行扫描
采用如AppDetectiv 之类的商用软件对数据库进行扫描分析
对 Web 和数据库应用进行分析
采用 WebProxy 、SPIKEProxy 、webscarab 、ParosProxy 、Absinthe 等
工具进行分析
用 Ethereal 抓包协助分析
用 webscan 、fuzzer 进行 SQL 注入和 XSS 漏洞初步分析
手工检测 SQL 注入和 XSS 漏洞
采用类似OScanner 的工具对数据库进行分析
基于通用设备、数据库、操作系统和应用的攻击
采用各种公开及私有的缓冲区溢出程序代码,也采用诸如
MetasploitFramework 之类的利用程序集合。
第 6 页 共 18 页
,中国电力投资集团网站渗透测试报告
基于应用的攻击
基于web 、数据库或特定的B/S 或C/S 结构的网络应用程序存在的
弱点进行攻击。
口令猜解技术
进行口令猜解可以采用X-Scan 、Brutus 、Hydra 、溯雪等工具。
1.3.3. 本地信息收集
此阶段中,渗透测试小组进行本地信息收集,用于下一阶段的权限提升。
1.3.4. 权限提升
此阶段中,渗透测试小组尝试由普通权限提升为管理员权限,获得对系统的完全控制权。
在时间许可的情况下,必要时从第一阶段重新进行。
⏹ 采用方法
口令嗅探与键盘记录
嗅探、键盘记录、木马等软件,功能简单,但要求不被防病毒软件发觉,因此通常需要自行开发或修改。
口令破解
有许多著名的口令破解软件,如L0phtCrack 、John the Ripper、Cain 等
1.3.5. 清除
此阶段中,渗透测试小组清除中间数据。
1.3.6. 输出报告
此阶段中,渗透测试小组根据测试的结果编写渗透测试报告。
1.4. 参考标准
《OWASP Testing Guide》
第 7 页 共 18 页
,中国电力投资集团网站渗透测试报告
第2章 测试综述
2.1. 总体安全现状
通过本次安全渗透测试的结果看,门户网站自身的安全性较好,虽然存在部分安全漏洞,但利用的可能性低,这得益于门户网站防护体系较完善,包括防篡改系统、双层防火墙、发布管理机制等。但从整性安全性看,门户网站被成功突破的风险还是很大,其中,本次渗透中对门户网站统一网段中的党群工作信息管理系统(xxxx/)、投标系统(xxx )都成功渗透,并获取管理员权限。利用党群工作信息管理系统,安全工程师可对门户网站发起内部攻击,进而可完全入侵门户网站。
因时间关系,以及昨天交流渗透结果后,管理员关闭党群工作信息管理系统,无法进一步测试和验证。
2.2. 安全漏洞列表
下表展示了本次测试发现的安全漏洞与相应的风险:
第 8 页 共 18 页
,中国电力投资集团网站渗透测试报告
第 9 页 共 18 页
中国电力投资集团网站渗透测试报告
第3章 测试结果
3.1. 门户网站
3.1.1. Apache 版本低
⏹ 测试过程
探测发现Apache 的版本低,为Apache httpd 2.2.9 ((Win32)
⏹ 风险分析
该版本存在一个mod_isapi Dangling Pointer 漏洞,可远程执行代码,直接得到管理员权限
⏹ 风险等级
高
⏹ 影响URL
无
⏹ 解决方法
升级Apache 版本。
3.1.2. SQL 注入漏洞
⏹ 测试过程
访问如下地址:
从错误信息判断,数据库为微软的SQLServer 数据库,泄漏表名和字段名visiter.docid ,由此判断该页面存在SQL 注入漏洞
⏹ 风险分析
攻击者可以通过构造特殊URL 的手段,利用SQL 注入漏洞从数据库中获取敏感数据、修改数据库数据(插入/更新/删除) 、执行数据库管理 第 10 页 共 18 页