信息系统渗透测试报告.doc

密 级： 内部 文档编号：2007002-011 项目编号：2007002 XX市地税局信息系统 渗透测试报告  目 录 1 概述 3 2 系统背景 3 2.1 征管系统的逻辑架构 3 2.2 征管系统的物理架构 4 2.3 网络架构 5 3 渗透准备 5 4 渗透结论 5 5 安全建议 6 6 渗透测试方法 6 6.1 目标 6 6.2 范围 6 6.3 使用工具 6 7 测试过程 6 8 总结 22 8.1 存在隐患 22 8.2 安全建议 22 概述 根据《XX省人民政府信息化工作办公室关于印发信息安全风险评估试点工作实施方案的通知》文件精神，XX省信息安全测评中心承担了XX市地税局“征管信息系统”的风险评估工作。我中心以建立符合我省情况的风险评估方法、积累风险评估工作经验、培养队伍、协助XX市地税局更深入地了解其信息系统安全现状为目标。通过文档分析、现场访谈、问卷调查、技术评估等方法，对XX市地税局“征管信息系统”进行了全面的风险评估。 渗透测试是在XX市地税局的允许下和在可控的范围内，采取可控的，不造成不可弥补损失的黑客入侵手法，对XX市地税局信息系统所包含的网络和主机设备等发起真正攻击。 系统背景 征管系统的逻辑架构 征管系统采用了三层架构，即表示层、应用逻辑层和数据层。 表示层是三层架构中用户访问应用系统的所使用设备的总称，它可以是计算机IE浏览器，也可以是PDA、手机等。表示层的主要功能是发送用户的请求信息给后端的应用逻辑层，并接收应用逻辑层返回的数据，最终展现在客户端设备的界面上。征管系统的表示层是软件开发商采用了.Net Framework 构建的智能客户端（smart client）。智能客户端整合了IE浏览器和Windows控件。由于表示层还是采用浏览器技术，表示层与应用逻辑层的连接协议是HTTP。负载均衡主要是在多台WEB服务器间进行客户端请求的分配调整，充分利用服务器资源，提高响应速度。目前采用了一台F5的负载均衡器实现。 应用逻辑层负责处理用户认证和相关业务逻辑的实现，是征管系统的控制层。它利用组件的形式提供用户权限控制，事务处理服务、安全控制服务、数据库访问服务等，同时征管系统的业务逻辑处理组件也在这一层部署。 数据层是支撑逻辑事务层的底层结构，为应用逻辑层提供数据库数据存取的服务。在数据层中保存了征管系统的所有数据。 征管系统的物理架构 征管系统的物理架构也由三层组成，客户端通过XX地税内网访问征管系统的应用服务器和数据库服务器。 征管应用服务器：采用4台IBM X440 PC Server，处理征管业务逻辑。 数据库服务器：采用两台IBM RS6000小型机，一台为主数据库服务器，另一台做热备。当一台机器出故障时，另外一台会自动接管，保证应用系统的连续性。两台服务器接同一个磁盘阵列。 DC服务器：两台IBM X 440 PC SERVER作为DC服务器，互为集群，为征管系统提供用户认证管理。 客户端软件一般采用WindowsXP，在客户端需要安装Smart Client。应用服务器采用Windows2000 Advanced Server操作系统。6M1小型机运行AIX4.3操作系统。  网络架构 XX地税局征管系统网络拓朴图 XX地税征管系统通过一台Cisco交换机同内部服务器群进行互联，一台4506通过Cisco 7513同各基层税务局/所进行互联。 渗透准备 渗透时间2007年7月27日，18:00 ~ 19:30。 渗透结论 补丁未及时更新，web服务器存在SQL注入 XX.20.225.10 可以得到系统权限 XX.20.224.10 可以得到系统权限 安全建议 加强同一网段的主机的安全，禁止不必要的端口访问； 及时更新系统及相关软件补丁； 针对WEB过滤用户提交内容中包含的特殊字符； 数据库连接严格禁止使用SA账号； 尽量避免使用太简单的后台地址； 后台地址验证使用验证码以防止暴力破解； AIX主机关闭Sendmail服务或使用其它第三方mail服务软件； 不推荐使用WinVNC，因为其密码为可逆加密； AIX建议使用SSH代替明文传输的Telnet。 渗透测试方法 目标 XX市地税局内网 范围 XX.20.224.10 XX.20.225.10 XX.20.225.3 XX.20.225.19 使用工具 手工 测试过程 由于服务器配置相同，挑选了几台典型的机器测试 XX.20.225.1 开放端口如下： TCP: XX.20.225.1 [7-echo] TCP: XX.20.225.1 [9-discard] TCP: XX.20.225.1 [13-daytime] TCP: XX.20.225.1 [