xxxx有限公司xxxx限公司.docVIP

XXXX有限公司 网站系统渗透测试报告 目 录 一、概述 3 1.1 渗透测试范围 3 1.2 渗透测试主要内容 3 二、脆弱性分析方法 4 2.1工具自动分析 4 三、渗透测试过程描述 5 3.1脆弱性分析综述 5 3.2脆弱性分析统计 5 3.3网站结构分析 6 3.4目录遍历探测 6 3.5隐藏文件探测 8 3.6备份文件探测 8 3.7 CGI漏洞扫描 9 3.8用户名和密码猜解 9 3.9 验证登陆漏洞 10 3.10 跨站脚本漏洞挖掘 12 3.10 SQL注射漏洞挖掘 13 3.11数据库挖掘分析 18 四、分析结果总结 19 一、概述 按照XXXX渗透测试授权书时间要求，我们从2008年某月某日至2008年某月某日期间，对XXXX官方网站系统http://www.XXXXXX.com和http://www.XXXXX.com:8080进行了全面细致的脆弱性扫描，同时结合XX公司安全专家的手工分析，两者汇总得到了该分析报告。 1.1 渗透测试范围 此次渗透测试的主要对象包括： XXXX官方网站(保卡激活业务）、SSL VPN业务、互联网代理业务。 注：由于SSL VPN和互联网代理业务通过远程互联网无法建立连接，所有本报告中描述的测试过程和测试漏洞都是针对XXXX官方网站系统。 1.2 渗透测试主要内容 在本次渗透测试过程中，XX公司通过对对XXXX网站结构分析，目录遍历探测，隐藏文件探测，备份文件探测，CGI漏洞扫描，用户和密码猜解，跨站脚本分析，SQL注射漏洞挖掘，数据库挖掘分析等几个方面进行测试，得出了XXXX网站系统存在的安全风险点，针对这些风险点，我门将提供XXXX安全加固建议。 二、脆弱性分析方法 2.1工具自动分析 2.1.1工具自动分析机制 由于WEB程序语言遵循CGI接口规范，因此WEB漏洞主要体现在程序对输入的处理上面。而WEB应用扫描软件则是根据这个特点，通过发送精心构造的请求，并且对服务器返回的响应来判断服务器是否存在指定的WEB漏洞。基于这个原因，WEB应用扫描软件应该可以发现包括XSS、SQL Injection和缓冲区溢出在内的大部分常见的WEB漏洞。 2.1.2工具自动分析过程 WEB应用扫描软件首先对目标站点进行分析，获取目标应用系统的组织结构，然后找出可能存在问题的程序，并且获取这些程序允许的参数输入，然后根据知识库中的内容，精心构造一些特殊的请求，然后发送给服务器，并且最终服务器会把请求交给该程序处理，通过分析服务器返回的响应，我们就可以判断出目标应用系统存在什么漏洞，漏洞位于什么程序，是哪个参数出现了问题。同时，对于无法准确判断结果的程序，我们的WEB应用扫描软件提供了交互式漏洞挖掘工具，可以准确判断目标应用系统是否存在安全漏洞。 2.1.3本次分析工具介绍 本次分析使用的自动分析工具为国际上的著名应用安全产品Sanctum公司（以色列）的AppScan V４.0（/） 评估系统，可以对各种已知及未知、应用程序特有及普遍存在的漏洞进行评估，并能够分析并且学习每一个Web应用独特的个性，通过组合变化各种攻击特征，测试并验证目标系统的脆弱性。 三、渗透测试过程描述 3.1工具扫描脆弱性分析综述 XX公司本次对XXXX官方网站系统http://www.XXXXXX.com和http://www.XXXXXX.com:8080进行了细致的扫描工作，没有发现明显的安全漏洞。 3.2工具扫描脆弱性分析统计 根据漏洞类别进行统计，如下所示: 漏洞类别 高 中 低 风险值 网站结构分析 － － － 0 目录遍历探测 － － － 0 隐藏文件探测 － － － 0 备份文件探测 － － － 0 CGI漏洞扫描 － － － 0 用户和密码猜解 － － － 0 跨站脚本分析 － － － 0 SQL注射漏洞挖掘（含数据库挖掘分析） － － － 0 风险总值 0 注：通过工具分析没有发现XXXX网站系统的存在的安全漏洞。 3.3网站结构人工分析 通过对网站进行智能搜索扫描和结构分析，发现XXXX网站使用两种web服务、两种脚本语言和两种数据库，分别是iis6+asp+Access和apache tomcat+jsp+oracle，分别跑在80和8080两个端口上，另外通过扫描可以看出网站使用的windows 2003的操作系统，由于近期并有针对windows 2003和iis6以及apache可以利用的安全漏洞，所以从端口上看在系统层上是没有有利用价值的漏洞，因此，我们只能从asp和jsp脚本上对网站进行渗透测试，并最终发现了脚本存在的漏洞，并利用这些漏洞进入XXXX网站后台系统。 3.4目录遍历