2024网站渗透测试报告.docx

《2024网站渗透测试报告.docx》由会员分享，可在线阅读，更多相关《2024网站渗透测试报告.docx（21页珍藏版）》请在优知文库上搜索。

1、网站渗透测试报告XXX公司2024年3月文档控制文档基本信息项目名称文档名称创建者审核创建时间2024年X月XX日审核时间2024年X月XX日文档修订信息版本修正章节日期作者变更记录1.0全部创建1.1部分增加目录3一 .概述61.1 背景61.2 范围61.3 原则61.4 目的61.5 所用工具7二 .测试概述8三 .渗透测试结果93. 1HTTP慢速拒绝服务攻击91) 漏洞简介92) UR1./IP.93) 漏洞验证94) 风险分析105) 风险等级106) 安全建议103.2XSS13D漏洞简介134) 风险分析145) 风险等级146) 安全建议143.3 受诫礼(BAR-MITZV

2、AH)攻击161) 漏洞简介162) UR1./IP.163) 漏洞验证164) 风险分析175) 风险等级176) 安全建议173.4 目录便利171) 漏洞简介172) UR1./IP.183) 漏洞验证184) 风险分析185) 风险等级186) 安全建议183. 5内网IP地址泄露191) 漏洞简介192) UR1./IP.194) 风险分析195) 风险等级196) 安全建议19四.整体风险评价201.l背景受XX的委托，XX公司于2024年X月XX日对其门户网站进行了渗透测试。1.2范围经过和项目组的沟通，确定了下列信息资产作为渗透测试的对象。对象名称域名或IPXXXhttp:/l

3、http:/2http:/31. 3原则3渗透测试具有一定的风险，为把风险降至最低，需遵守一定原则，这也是本次测试中测试组所遵守的最高准则，一切测试行为都是在不违背此原则的情况下进行的。该原则具体如下：保证测试操作在不影响目标业务正常运营的情况下进行，对目标（包括目标配置信息、数据库信息、文件信息等）只进行读取操作，禁止进行写入操作，或者只在负责人允许的范围内进行写入操作。但由于本次测试是在黑盒模式下进行，程序逻辑对于测试人员不透明，因此，测试人员只在己知的逻辑范围内遵守以上原则，同时也承认风险的存在。1.4目的通过模拟黑客的渗透测试，评估目标系统是否存在可以被攻击者真实利用的漏洞以及由此引起

4、的风险大小，为制定相应的安全措施与解决方案提供实际的依据。本次渗透测试验证目标系统抵御非法入侵和攻击行为的能力，并非完整的安全测试或漏洞审计。因此，本次测试所涉及的漏洞是网站所有漏洞的子集,而非全部。1.5所用工具工具名称工具简介IBMAppScan是一个面向Web应用安全检测的自动化工具，使用它可以自动化检测Web应用的安全漏洞，比如跨站点脚本攻击(CrossSiteScriptingFlaws)、注入式攻击(InjectionFlaws)、失效的访问控制(BrOkenAccessControl)缓存溢出问题(BUfferOverflows)等等。这些安全漏洞大多包括在OWASP(OpenW

5、ebApplicationSecurityProject,开放式Web应用程序安全项目)所公布的Web应用安全漏洞中。WWWSCAN款优秀的网站目录扫描工具。虽然扫描速度并不快，但是运行相当稳定。配合渗透测试团队多年积累的数据字典，挖掘隐藏目录的能力非常强大。NosecPangolin诺赛科技出品的一款强大的SQ1.注入工具，支持多种网站环境。另外附带了MD5破解，网站后台扫描功能。Nessus一款B/S构架的系统漏洞扫描工具，它的运行依赖于插件，扫描速度快，更新及时。NSFOCUSRSAS绿盟远程安全评估系统(简称：NSFOCUSRSAS)是绿盟科技开发的漏洞管理产品，通过该产品能够发现信息

6、系统存在的安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口，并形成整体安全风险报告。AWVSAcunetixWebVulnerabilityScanner(简称AwVS)是一款知名的网络漏洞扫描工具，它通过网络爬虫测试你的网站安全，检测流行安全漏洞。Jsky提供网站漏洞扫描服务，能够有效的查找出网站中的漏洞；并提供网站漏洞检测服务。Sqlmap一款高级渗透测试用的自动化SQ1.注入工具，其主要功能是扫描，发现并利用给定的UR1.进行SQ1.注入漏洞。Burpsuite是用于攻击WEB应用程序的继承平台，它包含了许多工具，并为这些工具设计了许多

7、接口，以促进加快攻击应用程序的过程。MetasploitMetasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程。团队合作，在MetaSPIoit和综合报告提出了他们的发现二.测试概述本次针对XXX进行的渗透测试工作共发现存在安全漏洞6个，其中高风险漏洞3个，中风险漏洞1个，低风险漏洞2个。建议根据本次测试结果中的安全建议进行整改加固，以提高网络的整体安全性。序号应用漏洞名称风险分析数量级别1HTTP慢速拒绝服务攻击堵塞We

8、b服务，让所有浏览该网站的人无法正常访问该网站，影响请求当前应用服务的所有用户已经当前应用服务本身。I2XSS影响目标网站用户，易造成账户失窃；数据信息被读取、篡改、添加或者删除；非法转账；强制发送电子邮件；受控向其他网站发起攻击等。13XXX受诫礼(BARMITZVAH)攻击明文窃取通过SS1.和T1.S协议传输的机密数据，诸如银行卡号码，密码和其他敏感信息。1I4目录便利攻击者可以直接访问网站的目录，从而可以了解网站整体框架，降低攻击成本。1中5内网IP地址泄露使得攻击者能够进一步的内网业务及应用，从而降低攻击成本。2低I三.渗透测试结果3.1 HTTP慢速拒绝服务攻击D漏洞简介拒绝服务攻

9、击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为网络协议本身的安全缺陷，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把非法用户的连接复位,影响合法用户的连接。2)UR1./IPhttp:/3)漏洞验证hi,真不巧，网页走丢了。图1漏洞证明截图图2漏洞证明截图4）风险分析堵塞W

10、eb服务，让所有浏览该网站的人无法正常访问该网站，影响请求当前应用服务的所有用户已经当前应用服务本身。严重情况可导致服务器宕机。5）风险等级高6）安全建议购买必要的防ddos攻击硬件设备针对不同的Server其对慢速http拒绝服务攻击防范方法也不同，建议使用以下措施防范慢速http拒绝服务攻击：WebSphere1、限制HTTP数据的大小在WebSPhereApplicationServer中进行如下设置：任何单个HTTP头的默认最大大小为32768字节。可以将它设置为不同的值。HnP头的默认最大数量为500可以将它设置为不同的限制值。另一种常见的DOS攻击是发送一个请求，这个请求会导致一个

11、长期运行的GET请求。WebSphereApplicationServerPlug-in中的ServerIOTimeoutRetry属性可限制任何请求的重试数量。这可以降低这种长期运行的请求的影响。设置限制任何请求正文的最大大小。详见参考链接。2、设置keepalive参数打开ibmhttpSerVer安装目录，打开文件夹Conf,打开文件httpd.conf,查找KeepAlive值，改ON为OFF,其默认为ONo这个值说明是否保持客户与HnPSERVER的连接，如果设置为ON,则请求数到达MaxKeepAliveRequests设定值时请求将排队，导致响应变慢。Weblogic1、在配置管

12、理界面中的协议-一般信息下设置完成消息超时时间小于4002、在配置管理界面中的协议-H11P下设置POST超时、持续时间、最大POST大小为安全值范围。Nginx1、通过调整$正口肥Stjnethod,配置服务器接受http包的操作限制；2、在保证业务不受影响的前提下，调整ClientJnaX_body_size,client_body_buffer_size,client_header_buffer_size,large_cIient_header_buffersclient_body_timeout,client_header_timeout的值，必要时可以适当的增加；3、对于会话或者相同

13、的ip地址，可以使用HttP1.imitReqMOdUIeandHttp1.imitzoneMoclule参数去限制请求量或者并发连接数;4、根据CPU和负载的大小，来配置WorkejProCeSSeS和worker_connections的值，公式是：max_cIients=worker_processes*worker_connectionsoApache建议使用mod_reqtimeout和mod_qos两个模块相互配合来防护。1、mod_reqtimeout用于控制每个连接上请求发送的速率。配置例如：# 请求头部分，设置超时时间初始为10秒，并在收到客户端发送的数据后，每接收到500字

14、节数据就将超时时间延长1秒，但最长不超过40秒。可以防护Slowloris型的慢速攻击。RequestReadTimeoutheader-10-40,minrate=500# 请求正文部分，设置超时时间初始为10秒，并在收到客户端发送的数据后，每接收到500字节数据就将超时时间延长1秒，但最长不超过40秒。可以防护slowmessagebody型的慢速攻击。RequestReadTimeoutbody=10-40,minrate=500需注意，对于HnPS站点，需要把初始超时时间上调，比如调整到20秒。2、m。C1.qoS用于控制并发连接数。配置例如：# 当服务器并发连接数超过600时，关闭keepaliveQS_SrVMaxConnClose600# 限制每个源IP最大并发连接数为50QS-SrvMaxConnPerIP50这两个数值可以根据服务器的性能调整。IHS服务器请您先安装最新补丁包，然后启用mod_reqtimeout模块，在配置文件中加A：1.oadModulereqtimeout_modu1emodules/mod_reqtimeout.so为mod_reqtimeout模块添加配置：# IfModulemod_reqtimeout.cRequestReadTimeoutheader-10-40,MinRate=500body-10-40,