YYYY
渗 透 测 试 报LOGO
Xxxx(公司名称)20XX年X月X日
告
保密申明
这份文件包含了来自XXXX公司(以下简称“XXXX”)的可靠、权威的信息,这些信息作为YYYY正在实施的安全服务项目实施专用,接受这份计划书表示同意对其内容保密并且未经XXXX书面请求和书面认可,不得复制、泄露或散布这份文件。如果你不是有意接受者,请注意:对这份项目实施计划书内容的任何形式的泄露、复制或散布都是被禁止的。
文档信息表
文档基本信息 项目名称 文档名称 文档版本 创建日期 保密级别 YYYY渗透测试报告 YYYY渗透测试报告 1.1 2019-9-16 商密 是否为正式交付件 当前修订日期 文档审批要求 文档修订信息 是 2019-9-16 是 版本 1.0 1.0 修正章节 全部 全部 日期 2019-9-16 2019-9-16 作者 XX XX 变更记录 创建文档 完成文档
摘要
本文件是XXXX信息技术有限公司受YYYY委托所撰写的《YYYY渗透测试报告》的报告书。这里对本次渗透测试结果所得出的整体安全情况作概括描述,文件正文为全面的分析。
本次渗透测试主要采用专家人工测试的方法,采用了部分工具作为辅助。在渗透测试中我们发现:系统应用层存在明显的安全问题,多处存在高危漏洞,高危漏洞类型主要为失效的访问控制、存储型xss。缺乏对输入输出进行的防护和过滤。
结论:整体而言,YYYY在本次渗透测试实施期间的安全风险状况为“严重状态”。 (系统安全风险状况等级的含义及说明详见附录A) 结果统计简要汇总,如下图 0-1、表0-1。
图0-1 系统整体验证测试整改前跟踪统计图
表0-1 测试对象整改后结果统计表
序号 1 漏洞编号 yyyy_20191008_漏洞简要描述及分析 危害 用户编辑文章处存在XSS漏洞,可能会导致管高危 理员及其他用户的cookie被窃取,从而导致xss_01 yyyy_20191008_bac_01 恶意用户非法使用相关权限。 用户编辑文章时,未对用户的身份和权限进行确认,导致用户可以编辑任意其他用户的文高危 章。 2
一、 项目信息
委托单位:
单位名称 单位地址 联系人 联系电话 邮箱 YYYY 检测单位:
单位名称 单位地址 联系人 联系电话 邮箱 XXXX公司 二、 项目概述
1. 测试目的
为了解YYYY公司网络系统的安全现状,在许可及可控的范围内,对XXXX应用系统开展渗透测试工作,从攻击者的角度检测和发现系统可能存在的漏洞,并针对发现的漏洞提供加固建议。
2. 测试范围
渗透测试的范围仅限于经过YYYY公司以书面形式进行授权的服务器、网络设置被和应用系统。XXXX承诺不会对授权范围之外的网络和主机设备以及数据进行测试、模拟攻击。
1) 测试范围表 应用系统 门户网站 IP或域名 2) 网络拓扑图及接入点
无
3) 接入点
JA:公司内网接入 JB:互联网接入
注,如果从JB无法获取到该信息系统相关漏洞,则漏洞的描述接入点不标注JB,相关漏洞风险等级可进行适当降级处理(公司员工需有安全意识或接受过安全意识培训,公司电脑配备杀软且内部网络未发生过安全事故)。
三、 渗透测试说明
1. 测试工具
sqlmap、hackbar、burpsuite、AWVS。
2. 测试账号
账号名称 TEST001 相关详细信息 密码:PassW0rdTest001 ID: 1031 绑定手机号:1xxxxxxxxxx 密码:PassW0rdTest002 ID: 1032 绑定手机号:1xxxxxxxxxx TEST002 3. 测试前后系统状态
由于采用可控的、非破坏性的渗透测试,不会对被评估的系统造成影响。在渗透
测试结束后,系统将基本保持一致。
四、 渗透测试漏洞归纳
验证测试时模拟来自内外网的用户,针对漏洞扫描工具发现的漏洞,利用工具或手工方式对结果进行验证,试图非授权访问数据库内容,获得操作系统权限等操作。主要针对主机、数据库及应用等可能存在的风险进行安全性测试,测试内容及漏洞详情等如下。
1. YYYY网站
1) 存储型XSS
危害等级:高
漏洞编号:yyyy_20191008_xss_01 漏洞URL/IP: Xxxxxxxx 接入点:JB 漏洞描述:
XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛、OA、CRM等社交网站上,比如:某CRM系统的客户投诉功能上存在XSS存储型漏洞,黑客提交了恶意攻击代码,当系统管理员查看投诉信息时恶意代码执行,窃取了客户的资料,然而管理员毫不知情,这就是典型的XSS存储型攻击。
漏洞详情:
漏洞位于普通用户权限编辑发布文章处。发布的文章是富文本文章,允许img等标签,可以尝试触发img标签的事件。服务端对用户发布的内容数据,针对XSS进行了一定限制,但是限制上存在绕过手段。如将敏感函数alert部分字符进行unicode编码后(\alert)即可绕过。
测试流程如下:
(1)使用普通用户登录系统,进行文章编辑发布。
(2)在发布时抓取数据包,对content字段进行修改,使用img标签的onerror事件触发XSS,同时修改alert为(\alert)进行绕过。
(3)测试完整payload如下:
此处展示测试截图
图4-1
(4)测试结果如图4-2所示:
此处展示测试截图
图4-2
修复建议:
(1)在表单提交或者url参数传递前,对需要的参数进行严格过滤,检查用户输入的内容中是否有非法内容。
(2)用户提交的数据进行输出时,要进行相应的编码。 (3)过滤时要考虑编码转换等方式存在绕过的可能。
2) 水平权限越权
危害等级:高
漏洞编号:yyyy_20191008_bac_01 漏洞URI/IP: Xxxxxxxx 接入点:JB 漏洞描述:
攻击者请求操作(增删改查)某条数据时,web应用程序没有判断该条数据的所属人,或者在判断数据所属人时直接从用户提交的表单参数中获取,例如用户id等。
漏洞详情:
测试中,用户可以自行修改参数,操作获取不属于自己的数据。 测试流程如下:
(1)在测试中使用了两个用户,TEST001与TEST002。
(2)首先登陆TEST002,进入修改编辑文章界面。然后将URL中的id参数修改为TEST001的文章id,然后点击确认发布,即可修改TEST001的文章。
此处展示测试截图
图4-3
(3)尝试修改为其他任意文章的id参数,可以编辑修改文章。
此处展示测试截图
图4-4
修复建议:
(1)永远不要完全相信来自用户的输入,对于可控参数进行严格的检查与过滤 (2)执行关键操作前必须验证用户身份 (3)前后端同时校验用户身份及权限
(4)调用功能前验证用户是否有权限调用相关功能
五、 安全状况
网站总体安全风险状况:严重状态 总体风险描述:
通过本次规范性测试可以看到,网站具有一定安全防护,对XSS和SQL注入进行了一定限制。但是对于XSS的过滤不够严格,在恶意用户进行编码构造后依旧可以出发XSS对于用户权限的确认存在问题,。因此,我们认为在渗透测试期间,此网站的总体安全状态为高危状态。
附录A.安全风险状况等级说明
安全风险状况说明 1 良好状态 信息系统处于良好运行状态,没有发现或只存在零星的低风险安全问题,此时只要保持现有安全策略就满足了本系统的安全等级要求。 预警状态 信息系统中存在一些漏洞或安全隐患,此时需根据评估中发现的网络、主机、应用和管理等方面的问题对进行有针对性的加固或改进。 严重状态 信息系统中发现存在严重漏洞或可能严重威胁到系统正常运行的安全问题,此时需要立刻采取措施,例如安装补丁或重新部署安全系统进行防护等等。 紧急状态 信息系统面临严峻的网络安全态势,对组织的重大经济利益或政治利益可能造成严重损害。此时需要与其他安全部门通力协作采取紧急防御措施。 2 3 4
因篇幅问题不能全部显示,请点此查看更多更全内容