网站安全漏洞检查报告

xx网站安全漏洞检查报告

目录：

1 工作描述 (3)

2 安全评估方式 (3)

3 安全评估的必要性 (3)

4 安全评估方法 (4)

4.1 信息收集 (4)

4.2 权限提升 (4)

4.3 溢出测试 (4)

4.4 SQL注入攻击 (5)

4.5 检测页面隐藏字段 (5)

4.6 跨站攻击 (5)

4.7 第三方软件误配置 (5)

4.8 Cookie利用 (5)

4.9 后门程序检查 (5)

4.10 其他测试 (6)

5 XX网站检查情况(http://www. ) (6)

5.1 漏洞统计 (6)

5.2 结果: (6)

6 发现安全隐患 (7)

6.1 发现安全隐患: SQL 注入漏洞 (7)

6.1.1 漏洞位置 (7)

6.2 发现安全隐患: XSS（跨脚本攻击） (7)

6.2.1 漏洞位置 (7)

7 通用安全建议 (7)

7.1 SQL注入类 (7)

7.2 跨站脚本类 (8)

7.3 密码泄漏类 (8)

7.4 其他类 (8)

7.5 服务最小化 (8)

7.6 配置权限 (8)

7.7 配置日志 (8)

8 附录 (9)

8.1 Web应用漏洞原理 (9)

8.1.1 WEB漏洞的定义 (9)

8.1.2 WEB漏洞的特点 (9)

8.2 典型漏洞介绍 (9)

8.3 XSS跨站脚本攻击 (9)

8.4 SQL INJECTION数据库注入攻击 (10)

1工作描述

本次项目的安全评估对象为：http://

安全评估是可以帮助用户对目前自己的网络、系统、应用的缺陷有相对直观的认识和了解。以第三方角度对用户网络安全性进行检查，可以让用户了解从外部网络漏洞可以被利用的情况，安全顾问通过解释所用工具在探查过程中所得到的结果，并把得到的结果与已有的安全措施进行比对。

2安全评估方式

安全评估主要依据联想网御安全工程师已经掌握的安全漏洞和安全检测工具，采用工具扫描 + 手工验证的方式。模拟黑客的攻击方法在客户的授权和监督下对客户的系统和网络进行非破坏性质的攻击性测试。

3安全评估的必要性

安全评估利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对授权测试环境中的核心服务器及重要的网络设备，包括服务器、防火墙等进行非破坏性质的模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。

安全评估和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题；安全评估需要投入的人力资源较大、对测试者的专业技能要求很高（安全评估报告的价值直接依赖于测试者的专业技能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。

此次安全评估的范围：

4安全评估方法

4.1 信息收集

信息收集分析几乎是所有入侵攻击的前提/前奏/基础。“知己知彼，百战不殆”，信息收集分析就是完成的这个任务。通过信息收集分析，攻击者（测试者）可以相应地、有针对性地制定入侵攻击的计划，提高入侵的成功率、减小暴露或被发现的几率。

本次评估主要是启用网络漏洞扫描工具，通过网络爬虫测试网站安全、检测流行的攻击、如交叉站点脚本、SQL注入等。

4.2 权限提升

通过收集信息和分析，存在两种可能性，其一是目标系统存在重大弱点：测试者可以直接控制目标系统，这时测试者可以直接调查目标系统中的弱点分布、原因，形成最终的测试报告；其二是目标系统没有远程重大弱点，但是可以获得远程普通权限，这时测试者可以通过该普通权限进一步收集目标系统信息。接下来，尽最大努力获取本地权限，收集本地资料信息，寻求本地权限升级的机会。这些不停的信息收集分析、权限升级的结果构成了整个安全评估过程的输出。

4.3 溢出测试

当无法直接利用帐户口令登陆系统时，也会采用系统溢出的方法直接获得系统控制权限，此方法有时会导致系统死机或从新启动，但不会导致系统数据丢失，如出现死机等故障，只要将系统从新启动并开启原有服务即可。

4.4 SQL注入攻击

SQL注入常见于那些应用了SQL 数据库后端的网站服务器，黑客通过向提交某些特殊SQL语句，最终可能获取、篡改、控制网站服务器端数据库中的内容。此类漏洞是黑客最常用的入侵方式之一。

4.5 检测页面隐藏字段

网站应用系统常采用隐藏字段存储信息。许多基于网站的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感内容。心存恶意的用户，通过操作隐藏字段内容，达到恶意交易和窃取信息等行为，是一种非常危险的漏洞。

4.6 跨站攻击

攻击者可以借助网站来攻击访问此网站的终端用户，来获得用户口令或使用站点挂马来控制客户端。

4.7 第三方软件误配置

第三方软件的错误设置可能导致黑客利用该漏洞构造不同类型的入侵攻击。

4.8 Cookie利用

网站应用系统常使用cookies 机制在客户端主机上保存某些信息，例如用户ID、口令、时间戳等。黑客可能通过篡改cookies 内容，获取用户的账号，导致严重的后果。

4.9 后门程序检查

系统开发过程中遗留的后门和调试选项可能被黑客所利用，导致黑客轻易地从捷径实施攻击。

4.10 其他测试

在安全评估中还需要借助暴力破解、网络嗅探等其他方法，目的也是为获取用户名及密码。

5XX网站检查情况(http://www. )

5.1 漏洞统计

截图（Acunetix Web Vulnerability Scanner 报告中）

5.2 结果:

本次网站安全检查是完全站在攻击者角度，模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试，通过结合多方面的攻击技术进行测试，发现本市网站系统存在比较明显的、可利用的安全漏洞，网站安全等级为非常危险，针

对已存在漏洞的系统需要进行重点加固。

6发现安全隐患

6.1 发现安全隐患: SQL 注入漏洞

6.1.1漏洞位置

例如：http://域名/dzly/index.php?id=88（可截图）

6.2 发现安全隐患: XSS（跨脚本攻击）

6.2.1漏洞位置

（可截图）

7通用安全建议

7.1 SQL注入类

没有被授权的恶意攻击者可以在有该漏洞的系统上任意执行SQL命令，这将威胁到数据库的安全，并且会泄漏敏感信息。

针对SQL注入，目前的解决办法是：

1、在程序中限制用户提交数据的长度。

2、对用户输入的数据进行合法性检查，只允许合法字符通过检测。对于非字符串类型的，强制检查类型；字符串类型的，过滤单引号。

3、WEB程序调动低权限的sql用户连接，勿用类似于dbo高权限的sql 账号。细化Sql用户权限，限定用户仅对自身数据库的访问控制权限。

4、使用具备拦截SQL注入攻击能力（专门算法）的IPS（入侵防御设备）来保护网站系统。

7.2 跨站脚本类

1、在程序中限制用户提交数据的长度。

2、对用户输入的数据进行合法性检查，只允许合法字符通过检测。

3、使用具备拦截跨站脚本攻击能力（专门算法）的IPS（入侵防御设备）来保护网站系统。

7.3 密码泄漏类

采用HTTPS协议，保护登录页面。

并对用户名密码参数采用密文传输。

7.4 其他类

如上传漏洞修改程序过滤恶意文件；证书错误修改证书；链接错误修改错误链接，开放不安全端口等。

7.5 服务最小化

对系统主机的服务进行确认关闭一些无用的服务或端口，确保主机安全。对数据库的一些端口建议对端口进行做防火墙连接限制，保证不能让外界主机对数据库进行管理。

7.6 配置权限

将网站的各个目录（包括子目录）尽量减小权限，需要用什么权限开什么权限，其他的权限全部删除。

7.7 配置日志

对访问网站的URL动作进行记录全部日志，以便日后的审计和检查。

8附录

8.1 Web应用漏洞原理

8.1.1WEB漏洞的定义

WEB程序语言，无论是ASP、PHP、JSP或者perl等等，都遵循一个基本的接口规范，那就是CGI（Common Gaterway Interface），这也就使得WEB漏洞具有很多相通的地方，但是由于各种实现语言有自己的特点，所以WEB漏洞体现在各种语言方面又有很多不同的地方，WEB漏洞就是指在WEB程序设计开发的过程中，由于各种原因所导致的安全问题，这可能包括设计缺陷，编程错误或者是配置问题等。

8.1.2WEB漏洞的特点

WEB漏洞包括四大特点，即普遍存在、后果严重、容易利用和容易隐藏。普遍存在是因为WEB应用广泛以及WEB程序员普遍不懂安全知识导致的；后果严重是因为WEB漏洞可以导致对数据库中的敏感数据的任意增加、篡改和删除，以及执行任意代码或者读、写、删除任意文件；容易利用是因为攻击者不需要任何特殊的工具，只需要一个浏览器就可以完成整个攻击的过程；容易隐藏则是由于HTTP协议和WEB服务器的特点，攻击者可以非常容易的隐藏自己的攻击行为。

8.2 典型漏洞介绍

8.3 XSS跨站脚本攻击

●漏洞成因

是因为WEB程序没有对用户提交的变量中的HTML代码进行过滤或转

换。

●漏洞形式

这里所说的形式，实际上是指WEB输入的形式，主要分为两种：1．显示输入

2．隐式输入

其中显示输入明确要求用户输入数据，而隐式输入则本来并不要求

用户输入数据，但是用户却可以通过输入数据来进行干涉。

显示输入又可以分为两种：

1．输入完成立刻输出结果

2．输入完成先存储在文本文件或数据库中，然后再输出结果注意：后者可能会让你的网站面目全非!

而隐式输入除了一些正常的情况外，还可以利用服务器或WEB程序

处理错误信息的方式来实施。

●漏洞危害

比较典型的危害包括但不限于：

1．获取其他用户Cookie中的敏感数据

2．屏蔽页面特定信息

3．伪造页面信息

4．拒绝服务攻击

5．突破外网内网不同安全设置

6．与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等

7．其它

一般来说，上面的危害还经常伴随着页面变形的情况。而所谓跨站

脚本执行漏洞，也就是通过别人的网站达到攻击的效果，也就是说，

这种攻击能在一定程度上隐藏身份。

8.4 SQL INJECTION数据库注入攻击

●SQL Injection定义

所谓SQL Injection ，就是通过向有SQL查询的WEB程序提交一个

精心构造的请求，从而突破了最初的SQL查询限制，实现了未授权

的访问或存取。

●SQL Injection原理

随着WEB应用的复杂化，多数WEB应用都使用数据库作为后台，WEB

程序接受用户参数作为查询条件，即用户可以在某种程度上控制查

询的结果，如果WEB程序对用户输入过滤的比较少，那么入侵者就

可能提交一些特殊的参数，而这些参数可以使该查询语句按照自己

的意图来运行，这往往是一些未授权的操作，这样只要组合后的查

询语句在语法上没有错误，那么就会被执行。

●SQL Injection危害

SQL Injection的危害主要包括：

1．露敏感信息

2．提升WEB应用程序权限

3．操作任意文件

4．执行任意命令

●SQL Injection 技巧

利用SQL Injection的攻击技巧主要有如下几种：

1．逻辑组合法：通过组合多种逻辑查询语句，获得所需要的查询结果。

2．错误信息法：通过精心构造某些查询语句，使数据库运行出错，错误信息中包含了敏感信息。

3．有限穷举法：通过精心构造查询语句，可以快速穷举出数据库中的任意信息。

4．移花接木法：利用数据库已有资源，结合其特性立刻获得所需信息。