WLAN系统安全评估报告.docx

密级：商业秘密文档编号：贵州移动网络与信息安全服务项目WLAN系统风险评估报告V1.0安氏领信科技发展有限公司二〇一一年八月版本控制版本日期参与人员更新说明1.02011-07-28姚一国文档建立分发控制编号读者文档权限与文档的主要关系1安氏项目组创建、修改、读取读者、编辑2贵州移动项目组读取读者、本文档存档目录第 1 章综述1第 2 章概述22.1背景22.2目的22.3读者32.4评估范围32.4.1H3C无线控制器32.4.2傲天动联无线控制器32.4.3国人无线控制器42.4.4Motorola无线控制器4第 3 章业务安全评估结果53.1利用DNS漏洞绕过Portal认证访问互联网53.2移动WLAN Portal业务订购短信滥用83.3Portal推送地址未做严格限制113.4Portal推送地址包含敏感信息133.5能够通过公网访问portal并通过认证15第 4 章客户信息视图174.1客户信息流程视图分析174.1.1用户上线认证流程174.1.2用户下线流程204.1.3动态密码申请流程224.1.4用户自服务功能流程23第 5 章Portal应用安全检查结果285.1集团Portal认证系统285.1.1中国移动WLAN portal存在缓冲区溢出漏洞285.1.2中国移动WLAN protal存在目录遍历漏洞295.1.3中国移动WLAN protal存在敏