Web风险评估报告.docx

Web风险评估报告

网站风险评估报告

——《信息安全工程》报告

课程名称 信息安全工程班 级

专 业 信息安全任课教师

学 号

1/75

姓 名

名目

封面 1

\l“_TOC_250020“名目 2

\l“_TOC_250019“一、评估预备 3

1、安全评估预备 3

\l“_TOC_250018“2、安全评估范围 3

\l“_TOC_250017“3、安全评估团队 3

\l“_TOC_250016“4、安全评估量划 3

\l“_TOC_250015“二、风险因素评估 3

\l“_TOC_250014“威逼分析 3

\l“_TOC_250013“威逼分析概述 3

威逼分析来源 4

\l“_TOC_250012“威逼种类 4

\l“_TOC_250011“安全评估 7

\l“_TOC_250010“高危漏洞 7

\l“_TOC_250009“中级漏洞 7

\l“_TOC_250008“低级漏洞 8

\l“_TOC_250007“三、综述 8

\l“_TOC_250006“具有最多安全性问题的文件 9

\l“_TOC_250005“Web风险分布统计 9

Web风险类别分布 10

\l“_TOC_250004“渗透测试 10

\l“_TOC_250003“漏洞信息 15

\l“_TOC_250002“四、风险评价 18

\l“_TOC_250001“五、风险掌握建议 19

\l“_TOC_250000“附录 22

2/75

一、评估预备

1、安全评估目标

在工程评估阶段，为了充分了解SecurityTweets这个网站的安全系数，因此需要对SecurityTweets这个网站当前的重点效劳器和web应用程序进展一次抽样扫描和安全弱点分析，对象为SecurityTweets全站，然后依据安全弱点扫描分析报告，作为提高SecurityTweets系统整体安全的重要参考依据之一。

2、安全评估范围

本小组将对如下系统进展安全评估：

承受linux系统的web效劳器〔IP地址：65〕承受nginx效劳器程序的web站点

承受MySQL的数据库

3、安全评估团队

成员组成：

组员

组员

姓名

班级

学号

使用工具：

3/75

1、AcunetixWebVulnerabilityScanner2、BurpSuite

4、安全评估量划

1、此次针对网站的安全评估分为2个步骤进展。第一步利用现有的优秀安全评估软件来模拟攻击行为进展自动的探测安全隐患；其次步依据第一步得出的扫描结果进展分析由小组成员亲自进展手动检测，排解误报状况，查找扫描软件无法找到的安全漏洞。

2、第一步我们承受两种不同的渗透测试软件对网站做总体扫描。承受两种工具是由于这两个工具的侧重点不同，可以互为补充，使得分析更为准确。然后生成测试报告。

3、依据上一步生成的测试报告，由组员亲自手动验证报告的可信性。

4、依据安全扫描程序和人工分析结果写出这次安全评估的报告书。

二、风险因素评估

威逼分析

威逼分析概述

本次威逼分析是对一个德国的SecurityTweets网站进展的。威逼分析包括的具体内容有：威逼主体、威逼途径、威逼种类。

威逼来源

素人员用自主或内外勾结的方式盗窃机密信息或进展篡改，猎取利益SecurityTweets网站是基于Internet体系构造建立，网络业务系统大都承受

素

人员

用自主或内外勾结的方式盗窃机密信息或进展篡改，猎取

利益

来源

描述

环境因素

断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、

洪灾、火灾、地震、意外事故等环境危害或自然灾难，以及软件、硬件、数据、通讯线路等方面的故障

人为因

恶

意

不满的或有预谋的内部人员对信息系统进展恶意破坏；采

4/75

外部人员利用信息系统的脆弱性，对网络或系统的保密性、

完整性和可用性进展破坏，以猎取利益或炫耀力量

非

恶

内部人员由于缺乏责任心，或者由于不关心或不专注，或

意员

人

者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能缺乏、不具备岗位技能

要求而导致信息系统故障或被攻击

威逼种类：

描述

这个脚本是可能简洁受到跨站点脚本〔XSS〕攻击。

跨站点脚本〔也被称为XSS〕是一种漏洞，允许攻击者发送恶意代码〔通常在Javascript中的形式〕给其他用户。由于扫瞄器无法知道是否该脚本应当是可信与否，它会在用户上下文中，允许攻击者访问被扫瞄器保存的任何Cookie或会话令牌执行脚