appscan安全测试报告.docx

appscan安全测试报告 　　中国石化资金集中管理信息系统　　Web应用安全测试报告　　1.简介　　本文针对中国石化资金集中管理信息系统，采用IBMRational的安全测试产品AppScan进行安全测试，并基于此次测试的结果进行分析。　　中国石化资金集中管理信息系统应用特点　　中国石化资金集中管理信息系统应用采用作为应用服务器，系统使用基于Spring的Acegi进行安全认证和授权；其中还大量采用了Javascript技术，所有其对于url的解析处理，需要动态进行处理。　　针对中国石化资金集中管理信息系统应用特点的安全测试设置　　针对于中国石化资金集中管理信息系统应用的以上特点，并结合实际使用情况分为三种场景进行测试，测试内容选择了系统的功能1和功能2：　　1）使用用户名/密码，但不进行登陆验证：此场景如同一般用户登陆系统，　　但不进行登陆验证，即不判断针对特殊应用安全的登陆，是否存在安全问题。　　2）使用用户名/密码，进行登陆验证：此场景选择正常用户登陆系统，进行　　登陆验证，即判断针对特殊应用安全的登陆，是否存在安全问题。3）基于不同角色登陆处理：结合权限较高的admin用户和权限较低的　　cqusr1用户进行登陆，除了常规的安全的检测，特别还要针对跨权限的安全访问进行判断。　　通过以上的配置，结合AppScan的登陆设置就可以了。　　2.测试结果简析　　结合以上的三个场景，针对部分功能进行安全测试后，初步获得以下测试结果。　　整体内容分析　　3.严重安全问题分析及修改建议　　XSS跨站点脚本攻击漏洞　　问题概述：黑客可以应用此漏洞，获取最终用户信息，并基于此进行伪装，进行攻击。url:　　http://:40001/wfProject/jsp/app/sinopec/wf/loan/　　http://:40001/wfProject/jsp/app/sinopec/wf/loan/　　http://:40001/wfProject/jsp/app/sinopec/wf/tongye/　　http://:40001/wfProject/jsp/app/sinopec/wf/tongye/　　测试方式：在参数中增加javascript：alert()处理，可执行url修改方法：修改对于参数的处理，将无效值进行排除。　　注入漏洞　　问题概述：黑客可以应用此漏洞，获取交易信息。url：　　http://:40001/wfProject/jsp/app/netbank/common/　　测试方式：在httprequest中填写foobar=foobar之类内容进行攻击修改方法：修改httpparameter处理，将无效内容过滤　　JBoss管理控制台打开　　问题概述：对于jboss控制台没有进行控制。url：　　http://:40001/测试方式：直接进行访问即可　　修改方法：如果上线，此控制台建议关闭或者设置安全。　　跨权限设置访问　　问题概述：登陆用户，即可不受权限限制，通过url直接访问用户管理。url：　　http://:40001/wfProject/jsp/app/acountmanager/　　http://:40001/wfProject/jsp/app/acountmanager/　　http://:40001/wfProject/jsp/app/acountmanager/　　http://:40001/wfProject/jsp/app/acountmanager/　　http://:40001/wfProject/jsp/app/netbank/common/http://:40001/wfProject/servlet/dataengine测试方式：采用权限较低用户，可以访问用户管理内容。修改方法：一定要配置用户授权内容。　　4.总结　　详细内容请详见通过AppScan生成的测试结果，并针对其进行修改。针对此次扫描的情况建议：　　1）将应用的授权进行设置，保障不同角色能够针对的不同功能的角色权限。2）防止XSS以及SQL注入攻击，对于httpparameter进行过滤和控制。3）设置登陆处理逻辑，比如对用户登陆账户设置访问三次后冻结/Session　　不可重用等登陆处理逻辑。　　使用Appscan保障Web应用安全性　　编写：梁建增　　Appscan简介　　IBMRationalAppScanStandardEdition是一种自动化Web应用程序安全性测试引擎，能够连续、自动地审查Web应用程序、测试安全性问题，并生成包含修订建议的行动报告，简化补救过程。　　IBMRationalAppScanSt