北京市北海公园代码审计报告.docxVIP

北京数字证韦认证中心 BEIJING CERTIFICATE AUTHORITY 北京市北海公园网站 代码审核报告 北京数字证书认证中心 2010-09-16 北 北京数字证韦认证中心 BEIJING CERTIFICATE AUTHORITY 系统名称 北京市北海公园网站系统 测试类别 白盒测试 委托日期 委托单位 北京市公园管理中心 联系地址 委托人 联系电话 检测时间 2010年9月16日--2010年9月22日 注： 因公园管理中心网站上线时间需要，目前只对威胁较大的全部高等风 险，和部分威胁较大的中等风险在报告中进行体现。 测评结论 根据问题组件的严重程度和暴露程度，分为高，中，低三个安全 级别，共发现高危漏洞30个，部分风险较大的中等风险漏洞 5个，合 计发行问题共35个。 漏洞的详细分析请见标题2中（代码审计详解） 20010 安全中心攻防实验室 年9月25日 批 准： 审 核： 编 制：  北京数字证韦认证中心 BEIJING CERTIFICATE AUTHORITY TOC \o 1-5 \h \z 1. 情况 4 1.1. 测试对象 4 \o Current Document 12 测试目的 4 1.3.1.环境的搭建和基本信息的收集1.3.2.代码的工具测试和人工检查1.3. 测试流程 4 1.3.1.环境的搭建和基本信息的收集 1.3.2.代码的工具测试和人工检查 1.3.3.代码安全整改方案和报告的撰写 6 14 风险等级 6 测试组织 7 测试原则 7 \o Current Document 2. 代码审计情况 8 \o Current Document 系统基本情况 8 \o Current Document 代码审计结果 8 \o Current Document 代码审计详解 9 \o Current Document 2.3.1.北京紫竹院公园网站系统 9 \o Current Document SQL Injectio n （ 高） 9 \o Current Document 密码管理：密码的配置文件中以明文显示 （高） 20 \o Current Document 配置文件：使用过高权限的数据库用户 （高） 21 \o Current Document 经常被误用：文件上传 （高） 22 \o Current Document Header Man ipulati on: Cookies （ 高） 24 \o Current Document Cookie 安全：Cookie 没有通过 SSL 发送（高） 28 ASP.NET错误配置：Debug 选项打开（中） 29 \o Current Document ASP.NET配置错误：缺少错误处理 （中） 31 \o Current Document 信任边界冲突（中） 32 \o Current Document Header Man ipulation （ 中） 34 8L1.情况9北京数字证书认证中心 8L 1.情况 BEIJING CERTIFICATE AUTHORITY 1.1.测试对象 本次测试是针对北京市北海公园网站系统进行代码审计安全检测。 12测试目的 北京市公园管理中心委托北京数字证书认证中心对北京市北海公园网站进 行源代码安全审查。通过使用源代码安全审查工具对系统进行扫描和后期的人工 分析审计相结合，发现并分析系统在软件设计和编码实现过程中存在的软件安全 问题，并针对这些问题提出改进建议。 13测试流程 主要流程如图所示：环境搭建和基本信息的收集代码的工具测 主要流程如图所示： 环境搭建和基本信息的收集 代码的工具测 试和人工检查 代码安全整改方案和报告的撰写 基本信息的收集环境的搭建审丹工具的准备确定测试觅 基本信息的收集 环境的搭建 审丹工具的 准备 确定测试觅 代码的工具测试 人工检查 撰写代码 安全漏洞 整改方案 报告的撰写 B.II A32.环境的搭建和基本信息的收集 B.II A 1.3.1. 132. 基本信息的收集 开发环境信息 开发语言以及版本 使用的第三方框架技术以及具体版本 使用的第三方组件以及具体版本 使用的编译器以及具体版本，编译器配置参数 使用的数据库类型以及具体版本，使用到系统的存储过程，函数， 包信息 使用的安全验证机制 开发人员的编码规范 使用的测试工具以及具体版本，测试用例 提供应用系统相关使用说明文档 环境的搭建 开发商协助搭建完整的开发和测试环境，并提供相关测试数据和部 署文档。 开发商协调相关接口人员，做好后期审核过程中的交流工作 。 代码的工具