網站系統滲透測試報告
一���、概述
按照XX單位滲透測試授權書時間要求��,我們從201年2月至201年2月期間����,對XX單位網站系統http://www.***.com進行了全面細致的脆弱性掃描��,同時結合金馬電子有限公司安全專家的手工分析���,兩者匯總得到了該分析報告�����。
1.1 滲透測試范圍
此次滲透測試的主要對象包括:
XX單位官方網站�����。
注:所有本報告中描述的測試過程和測試漏洞都是針對XX單位官方網站系統����。
1.2 滲透測試主要內容
在本次滲透測試過程中����,金馬電子有限公司通過對XX單位網站結構分析����,目錄遍歷探測��,隱藏文件探測���,備份文件探測��,CGI漏洞掃描�����,用戶和密碼猜解��,跨站腳本分析�����,SQL注射漏洞挖掘����,數據庫挖掘分析等幾個方面進行測試����,得出了XX單位網站系統存在的安全風險點���,針對這些風險點�����,我門將提供XX單位安全加固建議����。
二�����、脆弱性分析方法
2.1工具自動分析
2.1.1工具自動分析機制
由于WEB程序語言遵循CGI接口規范���,因此WEB漏洞主要體現在程序對輸入的處理上面�����。而WEB應用掃描軟件則是根據這個特點��,通過發送精心構造的請求����,并且對服務器返回的響應來判斷服務器是否存在指定的WEB漏洞����?�;谶@個原因�����,WEB應用掃描軟件應該可以發現包括XSS����、SQL Injection和緩沖區溢出在內的大部分常見的WEB漏洞����。
2.1.2工具自動分析過程
WEB應用掃描軟件首先對目標站點進行分析�����,獲取目標應用系統的組織結構���,然后找出可能存在問題的程序��,并且獲取這些程序允許的參數輸入��,然后根據知識庫中的內容����,精心構造一些特殊的請求���,然后發送給服務器����,并且最終服務器會把請求交給該程序處理���,通過分析服務器返回的響應��,我們就可以判斷出目標應用系統存在什么漏洞����,漏洞位于什么程序�����,是哪個參數出現了問題���。同時�����,對于無法準確判斷結果的程序���,我們的WEB應用掃描軟件提供了交互式漏洞挖掘工具���,可以準確判斷目標應用系統是否存在安全漏洞�����。
2.1.3本次分析工具介紹
本次分析使用的金馬電子自動分析工具可以對各種已知及未知����、應用程序特有及普遍存在的漏洞進行評估�����,并能夠分析并且學習每一個Web應用獨特的個性��,通過組合變化各種攻擊特征�����,測試并驗證目標系統的脆弱性�����。
三�����、滲透測試過程描述
3.1工具掃描脆弱性分析綜述
金馬電子有限公司本次對XX單位官方網站系統進行了細致的掃描工作����,發現部分明顯的安全漏洞����。
3.2工具掃描脆弱性分析統計
根據漏洞類別進行統計��,如下所示:
3.3網站結構人工分析
通過對網站進行智能搜索掃描和結構分析��,發現XXXX網站使用兩種web服務���、兩種腳本語言和兩種數據庫���,分別是iis6+asp+Access和apache tomcat+jsp+oracle��,分別跑在80和8080兩個端口上�����,另外通過掃描可以看出網站使用的windows 2003的操作系統����,由于近期并有針對windows 2003和iis6以及apache可以利用的安全漏洞�����,所以從端口上看在系統層上是沒有有利用價值的漏洞��,因此����,我們只能從asp和jsp腳本上對網站進行滲透測試��,并最終發現了腳本存在的漏洞�����,并利用這些漏洞進入XXXX網站后臺系統���。
3.4目錄遍歷人工探測
通過遍歷每個存在的目錄���,智能搜索并探測除公開網頁中包含的所有目錄以外�����,是否存在非授權不能訪問卻被訪問的目錄��。這些目錄很有可能就是網站管理員后臺程序所在目錄或者是數據庫所在目錄����。如果這些目錄沒有做好權限設置��,那么極有可能導致網站后臺失陷于此��。
