XX投资集团-网站渗透测试报告.docVIP

_______________________________ XXXX投资集团网站渗透测试报告_______________________________ 目录第1章 概述 4 1.1. 测试目的 4 1.2. 测试范围 4 1.3. 实施流程 4 1.3.1. 信息收集 5 1.3.2. 渗透测试 6 1.3.3. 本地信息收集 7 1.3.4. 权限提升 7 1.3.5. 清除 7 1.3.6. 输出报告 7 1.4. 参考标准 7 第2章 测试综述 8 2.1. 总体安全现状 8 2.2. 安全漏洞列表 8 第3章 测试结果 10 3.1. 门户网站 10 3.1.1. Apache版本低 10 3.1.2. SQL注入漏洞 10 3.1.3. 跨站脚本漏洞（内网中存在） 12 3.1.4. 敏感信息泄漏 14 3.2. 邮件系统 15 3.2.1. 跨站点请求伪造 15 3.2.2. 已解密的登录请求 16 3.2.3. 未使用验证码机制 17 3.3. 党群工作信息管理系统 18 第4章 安全建议 20 文档信息表 文档基本信息 项目名称 文档名称 网站渗透测试报告 创建时间 2011-07-19 文档修订信息 版本 修正章节 日期 作者 变更记录 1.0 创建 概述 测试目的 模拟黑客的入侵行为，对指定的网站应用系统进行安全漏洞扫描和利用测试，评估是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小，为制定相应的安全措施与解决方案提供实际的依据。 测试范围 应用系统名称 应用系统IP 门户网站 邮箱系统 实施流程 渗透测试服务流程定义如下： 信息收集 此阶段中，渗透测试小组进行必要的信息收集，如 IP 地址、DNS 记录、软件版本信息、IP 段等。 采用方法 基本网络信息获取 ping 目标网络得到 IP 地址和 ttl 等信息 tcptraceroute 和 traceroute 的结果 whois 结果 netcraft 获取目标可能存在的域名、Web 及服务器信息 curl 获取目标 web 基本信息 nmap 对网站进行端口扫描并判断操作系统类型 google、yahoo、baidu 等有哪些信誉好的足球投注网站引擎获取目标信息 FWtester、hping3 等工具进行防火墙规则探测 其他 渗透测试 此阶段中，渗透测试小组根据第一阶段获得的信息对网络、系统进行渗透测试。此阶段如果成功的话，可能获得普通权限。 采用方法 常规漏洞扫描和采用商用软件进行检查 结合使用ISS与 Nessus 等商用或免费的扫描工具进行漏洞扫描 采用 SolarWinds 对网络设备等进行有哪些信誉好的足球投注网站发现 采用 nikto、webinspect 等软件对 web 常见漏洞进行扫描 采用如AppDetectiv 之类的商用软件对数据库进行扫描分析 对 Web 和数据库应用进行分析 采用 WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe 等工具进行分析 用 Ethereal 抓包协助分析 用 webscan、fuzzer 进行 SQL 注入和 XSS 漏洞初步分析 手工检测 SQL 注入和 XSS 漏洞 采用类似OScanner 的工具对数据库进行分析 基于通用设备、数据库、操作系统和应用的攻击 采用各种公开及私有的缓冲区溢出程序代码，也采用诸如MetasploitFramework之类的利用程序集合。 基于应用的攻击 基于web、数据库或特定的B/S 或C/S 结构的网络应用程序存在的弱点进行攻击。 口令猜解技术 进行口令猜解可以采用X-Scan、Brutus、Hydra、溯雪等工具。 本地信息收集 此阶段中，渗透测试小组进行本地信息收集，用于下一阶段的权限提升。 权限提升 此阶段中，渗透测试小组尝试由普通权限提升为管理员权限，获得对系统的完全控制权。 在时间许可的情况下，必要时从第一阶段重新进行。 采用方法 口令嗅探与键盘记录 嗅探、键盘记录、木马等软件，功能简单，但要求不被防病毒软件发觉，因此通常需要自行开发或修改。 口令破解 有许多著名的口令破解软件，如L0phtCrack、John the Ripper、Cain 等 清除 此阶段中，渗透测试小组清除中间数据。 输出报告 此阶段中，渗透测试小组根据测试的结果编写渗透测试报告。 参考标准 《OWASP Testing Guide》 测试综述 总体安全现状 通过本次安全渗透测试的结果看，门户网站自身的安全性较好，虽然存在部分安全漏洞，但利用的可能性低，这得益于门户网站防护体系较完善，包括防篡改系统、双层防火墙、发布管理机制等。但从整性安全性看，门户网站被成功