XX投资集团-网站渗透测试报告

_______________________________XXXX投资集团网站渗透测试报告_______________________________中国电力投资集团网站渗透测试报告第2页共18页目录第1章概述................................................................................................................41.1.测试目的......................................................................................................41.2.测试范围......................................................................................................41.3.实施流程......................................................................................................41.3.1.信息收集...........................................................................................................51.3.2.渗透测试...........................................................................................................61.3.3.本地信息收集...................................................................................................71.3.4.权限提升...........................................................................................................71.3.5.清除...................................................................................................................71.3.6.输出报告...........................................................................................................71.4.参考标准......................................................................................................7第2章测试综述........................................................................................................82.1.总体安全现状..............................................................................................82.2.安全漏洞列表..............................................................................................8第3章测试结果......................................................................................................103.1.门户网站....................................................................................................103.1.1.Apache版本低................................................................................................103.1.2.SQL注入漏洞................................................................................................103.1.3.跨站脚本漏洞（内网中存在）.....................................................................123.1.4.敏感信息泄漏.................................................................................................133.2.邮件系统....................................................................................................143.2.1.跨站点请求伪造.............................................................................................143.2.2.已解密的登录请求.........................................................................................153.2.3.未使用验证码机制.........................................................................................163.3.党群工作信息管理系统............................................................................16第4章安全建议......................................................................................................18中国电力投资集团网站渗透测试报告第3页共18页文档信息表文档基本信息项目名称XXXX投资集团文档名称网站渗透测试报告创建者创建时间2011-07-19文档修订信息版本修正章节日期作者变更记录1.0全部2011-07-19创建中国电力投资集团网站渗透测试报告第4页共18页第1章概述1.1.测试目的模拟黑客的入侵行为，对指定的网站应用系统进行安全漏洞扫描和利用测试，评估是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小，为制定相应的安全措施与解决方案提供实际的依据。1.2.测试范围应用系统名称应用系统IP门户网站邮箱系统1.3.实施流程渗透测试服务流程定义如下：中国电力投资集团网站渗透测试报告第5页共18页1.3.1.信息收集此阶段中，渗透测试小组进行必要的信息收集，如IP地址、DNS记录、软件版本信息、IP段等。采用方法基本网络信息获取中国电力投资集团网站渗透测试报告第6页共18页ping目标网络得到IP地址和ttl等信息tcptraceroute和traceroute的结果whois结果netcraft获取目标可能存在的域名、Web及服务器信息curl获取目标web基本信息nmap对网站进行端口扫描并判断操作系统类型google、yahoo、baidu等搜索引擎获取目标信息FWtester、hping3等工具进行防火墙规则探测其他1.3.2.渗透测试此阶段中，渗透测试小组根据第一阶段获得的信息对网络、系统进行渗透测试。此阶段如果成功的话，可能获得普通权限。采用方法常规漏洞扫描和采用商用软件进行检查结合使用ISS与Nessus等商用或免费的扫描工具进行漏洞扫描采用SolarWinds对网络设备等进行搜索发现采用nikto、webinspect等软件对web常见漏洞进行扫描采用如AppDetectiv之类的商用软件对数据库进行扫描分析对Web和数据库应用进行分析采用WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe等工具进行分析用Ethereal抓包协助分析用webscan、fuzzer进行SQL注入和XSS漏洞初步分析手工检测SQL注入和XSS漏洞采用类似OScanner的工具对数据库进行分析基于通用设备、数据库、操作系统和应用的攻击采用各种公开及私有的缓冲区溢出程序代码，也采用诸如MetasploitFramework之类的利用程序集合。中国电力投资集团网站渗透测试报告第7页共18页基于应用的攻击基于web、数据库或特定的B/S或C/S结构的网络应用程序存在的弱点进行攻击。口令猜解技术进行口令猜解可以采用X-Scan、Brutus、Hydra、溯雪等工具。1.3.3.本地信息收集此阶段中，渗透测试小组进行本地信息收集，用于下一阶段的权限提升。1.3.4.权限提升此阶段中，渗透测试小组尝试由普通权限提升为管理员权限，获得对系统的完全控制权。在时间许可的情况下，必要时从第一阶段重新进行。采用方法口令嗅探与键盘记录嗅探、键盘记录、木马等软件，功能简单，但要求不被防病毒软件发觉，因此通常需要自行开发或修改。口令破解有许多著名的口令破解软件，如L0phtCrack、JohntheRipper、Cain等1.3.5.清除此阶段中，渗透测试小组清除中间数据。1.3.6.输出报告此阶段中，渗透测试小组根据测试的结果编写渗透测试报告。1.4.参考标准《OWASPTestingGuide》中国电力投资集团网站渗透测试报告第8页共18页第2章测试综述2.1.总体安全现状通过本次安全渗透测试的结果看，门户网站自身的安全性较好，虽然存在部分安全漏洞，但利用的可能性低，这得益于门户网站防护体系较完善，包括防篡改系统、双层防火墙、发布管理机制等。但从整性安全性看，门户网站被成功突破的风险还是很大，其中，本次渗透中对门户网站统一网段中的党群工作信息管理系统（xxxx/）、投标系统（xxx）都成功渗透，并获取管理员权限。利用党群工作信息管理系统，安全工程师可对门户网站发起内部攻击，进而可完全入侵门户网站。因时间关系，以及昨天交流渗透结果后，管理员关闭党群工作信息管理系统，无法进一步测试和验证。2.2.安全漏洞列表下表展示了本次测试发现的安全漏洞与相应的风险：应用系统利用漏洞威胁来源风险等级风险描述门户网站Apache版本低外部黑客高可远程执行代码，直接得到管理员权限SQL注入漏洞外部黑客高恶意用户可以通过注入JavaScript、VBScript、ActiveX、HTML或者Flash的方式欺骗用户，可以收集Cookie等相关数据并冒充其他用户，当然也可以修改当前用户信息。跨站脚本编制外部黑客高恶意用户可以通过注入JavaScript、VBScript、ActiveX、HTML或者Flash的方式欺