2015年南阳理工学院软件学院网络风险评估课程设计….docVIP

本文使用繁体编写，如有需要请使用wps文档繁体转换成简体阅读。 本文仅限参考，如有抄袭，复制，切JJ一枚 網路風險評估 姓名：秦密 班級：網安一班 學號：1215135068 指導老師：林玉香 一．評估準備 1、安全評估目標 在專案評估階段，為了充分瞭解 威客 這個網站的安全係數，因此需要對 威客 這個網站當前的重點伺服器和web應用程式進行一次抽樣掃描和安全弱點分析，對象為 威客 全站，然後根據安全弱點掃描分析報告，作為提高系統整體安全的重要參考依據之一。 使用工具： 1、Acunetix Web Vulnerability Scanner 2、BurpSuite 二：安全評估計畫 1、此次針對網站的安全評估分為2個步驟進行。第一步利用現有的優秀安全評估軟體來模擬攻擊行為進行自動的探測安全隱患；第二步根據第一步得出的掃描結果進行分析由小組成員親自進行手動檢測，排除誤報情況，查找掃描軟體無法找到的安全漏洞。 2、第一步我們採用兩種不同的滲透測試軟體對網站做總體掃描。採用兩種工具是因為這兩個工具的側重點不同，可以互為補充，使得分析更為精確。然後生成測試報告。 3、根據上一步生成的測試報告，由組員親自手動驗證報告的可信性。 4、根據安全掃描程式和人工分析結果寫出這次安全評估的報告書。 三： Scan of 14/pinggu/kppw/ 1.1具有最多安全性問題的檔 URL 漏洞數 14/pinggu/kppw/login 4 14/pinggu/kppw/admin/ 2 14/pinggu/kppw/static/app/libs/sessvars.js 3 四漏洞分析 高危漏洞： 1.影響 惡意用戶可能注入的JavaScript，VBScript中，的ActiveX，HTML或Flash成為一個易受攻擊的應用程式來欺騙用戶，以便從他們那裏收集數據。攻擊者可以竊取會話cookie並接管帳戶，冒充用戶。另外，也可以修改呈現給用戶的網頁的內容。 2.影響 攻擊者可以導致堆記憶體緩衝區溢出的工作進程通過使用特製的請求，可能導致任意代碼執行。 3.影響 攻擊可以包括公開本地檔，其中可能包含敏感數據，如密碼或用戶的私人數據，使用檔：系統識別計畫或相對路徑。由於攻擊發生相對於應用程式處理XML文檔，攻擊者可能會利用此受信任的應用程式轉動到其他內部系統，有可能洩露通過HTTP（S）請求其他內部內容。 中級漏洞 1.影響 攻擊者可能會迫使一個Web應用程式的用戶執行攻擊者的選擇的行動。一個成功的CSRF攻擊會危及最終用戶的數據和操作的情況下，普通用戶的。如果最終的目標用戶是管理員帳戶，這可能會危及整個Web應用程式。 2. 影響 第三方可以通過攔截一個未加密的HTTP連接來讀取用戶憑據。 低級漏洞 1.影響 影響取決於受影響的Web應用程式。 2.影響 攻擊者可能試圖通過系統地嘗試字母，數字和符號的每個可能的組合，直到發現工作的一個正確組合，以發現一個弱口令。 3.影響 OPTIONS方法可能暴露敏感資訊可以幫助一個惡意用戶編寫更先進的攻擊。 4.影響 此目錄可能暴露敏感資訊，可以幫助惡意用戶準備更高級的攻擊。 5.影響 可能的敏感資訊洩露。 1.2 web風險分佈統計 Web風險類別分佈 分類別 高風險 中風險 低風險 總計 跨站腳本攻擊 3 2 0 5 資訊洩露 2 0 5 7 內容欺騙 1 0 0 1 系統命令執行 3 0 0 3 功能濫用 1 0 1 2 資源位置可預測 0 2 0 2 其他 0 0 1 1 五．風險評價 安全威脅是一種對系統、組織及其資產構成潛在破壞能力的可能性因素或者事件。產生安全威脅的主要因素可以分為人為因素和環境因素。人為因素包括 有意的和無意的因素。環境因素包括自然界的不可抗力因素和其他物理因素。威脅可能源於對web站點的直接或間接攻擊，例如非授權的洩露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害。威脅也可能源於偶發的或蓄意的事件。一般來說，威脅總是要利用web站點的系統、應用或服務的弱點才可能成功造成損害。因此威脅分析是圍繞資訊系統的可用性、保密性、完整性、可控性、可審查性、可抵賴性進行的。 安全風險則是一種可能性，是指某個威脅利用弱點引起某項資訊資產或一組資訊資產的損害，從而直接地或間接地引起企業或機構的損害的可能性。 本次風險分析主要採用自頂向下和自底向上分析