脆弱性分析方法-51testing.doc

XXXX有限公司 网站系统渗透测试报告 2011年3月2日  目录 一、概述 3 1.1 渗透测试范围 3 1.2 渗透测试主要内容 3 二、脆弱性分析方法 4 2.1工具自动分析 4 三、渗透测试过程描述 5 3.1脆弱性分析综述 5 3.2脆弱性分析统计 5 3.3网站结构分析 6 3.4目录遍历探测 6 3.5隐藏文件探测 8 3.6备份文件探测 8 3.7 CGI漏洞扫描 9 3.8用户名和密码猜解 9 3.9 验证登陆漏洞 10 3.10 跨站脚本漏洞挖掘 11 3.10 SQL注射漏洞挖掘 12 3.11数据库挖掘分析 17 四、分析结果总结 18 一、概述 按照江苏电信网上营业厅渗透测试授权书时间要求，我们从2011年2月15日至2011年2月某25期间，对网上营业厅官方网站系统http://www.*.进行了全面细致的脆弱性扫描，同时结合南京青苜信息技术有限公司安全专家的手工分析，两者汇总得到了该分析报告。 1.1 渗透测试范围 此次渗透测试的主要对象包括： 网上营业厅官方网站。 注：所有本报告中描述的测试过程和测试漏洞都是针对江苏电信网上营业厅官方网站系统。 1.2 渗透测试主要内容 在本次渗透测试过程中，南京青苜信息技术有限公司通过对网上营业厅网站结构分析，目录遍历探测，隐藏文件探测，备份文件探测，CGI漏洞扫描，用户和密码猜解，跨站脚本分析，SQL注射漏洞挖掘 二、脆弱性分析方法 2.1工具自动分析 2.1.1工具自动分析机制 由于WEB程序语言遵循CGI接口规范，因此WEB漏洞主要体现在程序对输入的处理上面。而WEB应用扫描软件则是根据这个特点，通过发送精心构造的请求，并且对服务器返回的响应来判断服务器是否存在指定的WEB漏洞。基于这个原因，WEB应用扫描软件应该可以发现包括XSS、SQL Injection和缓冲区溢出在内的大部分常见的WEB漏洞。 2.1.2工具自动分析过程 WEB应用扫描软件首先对目标站点进行分析，获取目标应用系统的组织结构，然后找出可能存在问题的程序，并且获取这些程序允许的参数输入，然后根据知识库中的内容，精心构造一些特殊的请求，然后发送给服务器，并且最终服务器会把请求交给该程序处理，通过分析服务器返回的响应，我们就可以判断出目标应用系统存在什么漏洞，漏洞位于什么程序，是哪个参数出现了问题。同时，对于无法准确判断结果的程序，我们的WEB应用扫描软件提供了交互式漏洞挖掘工具，可以准确判断目标应用系统是否存在安全漏洞。 2.1.3本次分析工具介绍 本次分析使用的自动分析工具为国际上的著名应用安全产品Sanctum公司（以色列）的AppScan V４.0（/） 评估系统，可以对各种已知及未知、应用程序特有及普遍存在的漏洞进行评估，并能够分析并且学习每一个Web应用独特的个性，通过组合变化各种攻击特征，测试并验证目标系统的脆弱性。 三、渗透测试过程描述 3.1工具扫描脆弱性分析综述 南京青苜信息技术有限公司本次对网上营业厅官方网站系统http://www.*.进行了细致的扫描工作，发现部分明显的安全漏洞。根据漏洞类别统计: 漏洞类别 高 中 低 风险值 网站结构分析 － － － 0 目录遍历探测 － － － 0 隐藏文件探测 － － － 0 备份文件探测 － － － 0 CGI漏洞扫描 － － － 0 用户和密码猜解 － － － 0 跨站脚本分析 － － － 0 SQL注射漏洞挖掘 － － 0 风险总值 0 注：通过工具分析没有发现XXXX网站系统的存在的安全漏洞。 3.3网站结构人工分析 通过对网站进行智能搜索扫描和结构分析，发现XXXX网站使用两种web服务、两种脚本语言和两种数据库，分别是iis6+asp+Access和apache tomcat+jsp+oracle，分别跑在80和8080两个端口上，另外通过扫描可以看出网站使用的windows 2003的操作系统，由于近期并有针对windows 2003和iis6以及apache可以利用的安全漏洞，所以从端口上看在系统层上是没有有利用价值的漏洞，因此，我们只能从asp和jsp脚本上对网站进行渗透测试，并最终发现了脚本存在的漏洞，并利用这些漏洞进入XXXX网站后台系统。 3.4目录遍历人工探测 通过遍历每个存在的目录，智能搜索并探测是否存在 apache tomcat存在漏洞 通过XX公司安全人员对apache tomcat手工测试发现，XXXX网站由于配置原因存在目录过滤不严，可浏览任意web目录漏洞如下： http://www.XXXXXX.com:8080/XXXXXX/Library/ http://www.XXXXXX.com:8080/XXXXXX/