《网站安全漏洞检查报告华东庄园.doc》由会员分享,可在线阅读,更多相关《网站安全漏洞检查报告华东庄园.doc(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、华东庄园网站安全漏洞检查报告目录1工作描述31.1漏洞统计31.2安全测试时间32安全评估方式43安全评估的必要性44检查结果45网站安全整改方案56安全评估方法56.1弱口令检测56.1.1危害56.1.2检测内容56.2Web注入漏洞66.2.1危害66.2.2检测内容66.3文件包含漏洞66.3.1危害76.3.2检测内容76.4逻辑漏洞76.4.1危害76.4.2检测内容76.5前端漏洞86.5.1检测内容86.6错误配置86.6.1危害86.6.2检测内容86.7信息泄露86.7.1危害86.7.2检测内容87安全隐患8附件1 漏洞详情10附件2 产品介绍10WAF10WAF防护简述
2、10安骑士12安骑士防护简述12安全管家141 工作描述本次项目的安全评估对象为:http:/ 安全评估是可以帮助用户对目前自己的网络、系统、应用的缺陷有相对直观的认识和了解。以第三方角度对用户网络安全性进行检查,可以让用户了解从外部网络漏洞可以被利用的情况,安全顾问通过解释所用工具在探查过程中所得到的结果,并把得到的结果及已有的安全措施进行比对。1.1 漏洞统计网站地址高危中危低危提示总计01310225总计01310225威胁定级:中风险1.2 安全测试时间开始时间:2018-02-08 17:24:38结束时间:2018-02-09 00:36:582 安全评估方式本次安全扫描是站在攻击
3、者的角度,从公网对目标系统通过安全扫描系统进行扫描。扫描系统将自动对目标进行端口、服务、应用等层面的安全漏洞检测。为避免自动化扫描带来的误报,在扫描完成后,安全技术顾问会对扫描结果进行分析处理,排除误报,综合分析漏洞的影响,将最终分析结果汇报给客户。3 安全评估的必要性安全评估利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对授权测试环境中的核心服务器及重要的网络设备,包括服务器、防火墙等进行非破坏性质的模拟黑客攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。安全评估和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率和漏报
4、率,并且不能发现高层次、复杂、并且相互关联的安全问题;安全评估需要投入的人力资源较大、对测试者的专业技能要求很高(安全评估报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。此次安全评估的范围:序号域名(IP)备注01华东庄园0203044 检查结果本次网站安全检查是完全站在攻击者角度,模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试,通过结合多方面的攻击技术进行测试,发现本网站系统存在比较明显的、可利用的安全漏洞,网站安全等级为中风险,针对已存在漏洞的系统需要进行重点加固。要求7个工作日内整改完毕。5 网站安全整改方案6 安全评估方法6.1 弱口
5、令检测 就是说由常用数字、字母、字符等组合成的,容易被别人通过简单及平常的思维方式就能猜到的密码,利用弱口令结合计算机系统等漏洞可以做到入侵的事半功倍的效果。6.1.1 危害利用弱口令可以进入后台修改资料,比如考试成绩,电费水费等。财务报销,比如企业的财务申请。窃取企业内部资料。例如OA平台中的文件等。获取用户信息。比如通过后台登陆某个用户的账号,把里面的资金转出。实时监控,监控别人的一举一动,甚至可以看到“潜规则”。6.1.2 检测内容、RDP、SMB、SMTP、POP3、IMAP MYSQL、MSSQL、MongoDB、MemCache、 Redis、Oracle、Subversion、L
6、DAP、PPTP、VPN、HTTP基础登录、WebFrom登录表单。 6.2 Web注入漏洞WEB漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞,常见的WEB漏洞有Sql注入、Xss漏洞、上传漏洞等。6.2.1 危害如果网站存在WEB漏洞并被黑客攻击者利用,攻击者可以轻易控制整个网站,并可进一步提权获取网站服务器权限,控制整个服务器。这些危害包括但不局限于:1) 数据库信息泄漏:数据库中存放的用户的隐私信息的泄露;2) 网页篡改:通过操作数据库对特定网页进行篡改;3) 网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击;4)
7、 数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被篡改;5) 服务器被远程控制安装后门,经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统;6) 破坏硬盘数据,瘫痪全系统;一些类型的数据库系统能够让SQL指令操作文件系统,这使得SQL注入的危害被进一步放大。6.2.2 检测内容SQL注入、命令注入、代码注入、SSRF网络注入、表达式注入、JAVA EL表达式注入命令执行、范序列化 、XPATH注入等注入漏洞。 6.3 文件包含漏洞 服务器通过php的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,而我们可以构造这个恶意文件
8、来达到邪恶的目的。6.3.1 危害在通过引入文件时,引用的文件名,用户可控,由于传入的文件名没有经过合理的校验,或者校验被绕过,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。6.3.2 检测内容文件包含(LFI/RFI)、任意文件读取、任意文件上传、XXE、任意文件删除 6.4 逻辑漏洞逻辑错误漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误,一般出现在任意密码修改(没有旧密码验证)、越权访问、密码找回、交易支付金额。6.4.1 危害就是相同级别(权限)的用户或者同一角色不同的用户之间,可以越权访问、修改或者删除的非法操作。如果出现次漏洞,
9、那么将可能会造成大批量数据泄露,严重的甚至会造成用户信息被恶意篡改。另外,某些网站,像发布文章、删除文章等操作属于管理员该做的事情。一个匿名用户也可以做相同的事情。6.4.2 检测内容JSONP数据劫持、身份认证安全、验证码限制被绕过、业务一致性安全、业务数据篡改、认证权限找回逻 辑、业务授权(水平/垂直越权)安全、业务流程乱序、业务接口调用安全。6.5 前端漏洞6.5.1 检测内容XSS、CSRF、ClickJacking、Jsonp劫持、HTTP头注入CRLF、URL跳转。6.6 错误配置6.6.1 危害第三方软件的错误设置可能导致黑客利用该漏洞构造不同类型的入侵攻击。6.6.2 检测内容
10、WebServer配置失误、中间件配置失误、容器配置失误。 6.7 信息泄露6.7.1 危害目标网站WEB程序和服务器未屏蔽错误信息,未做有效权限控制,可能导致泄漏敏感信息,恶意攻击者利用这些信息进行进一步渗透测试。6.7.2 检测内容配置文件、测试文件、目录遍历、备份文件、SVN、GIT、压缩包、临时文件、接口暴露、心脏滴血。7 安全隐患漏洞参考标准 目前定义有四类漏洞危害等级,危害等级定义依据为:详细漏洞列表见附件1附件1 漏洞详情附件2 产品介绍WAFWAF防护简述(1)Web应用攻击防护1)防护OWASP常见威胁内置多种防护策略,可选择进行SQL注入、XSS跨站、Webshell上传、
11、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护2)0day漏洞快速防护针对高危Web 0day漏洞,专业安全团队24小时内提供虚拟补丁,自动防御保障服务器安全3)网站隐身通过域名DNS牵引流量,不对攻击者暴露服务器地址、避免绕过Web应用防火墙直接攻击(2)缓解恶意CC攻击1)低误杀的防护算法不再是对访问频率过快的IP直接粗暴封禁,而是综合URL请求、响应码等分布特征判断异常行为2)恶意特征攻击100%拦截针对请求中的常见头部字段,如IP、URL、User-Agent、Referer、参数中出现的恶意特征配置访问控制3)
12、专属业务的定制规则企业版可设置针对某具体URL业务的正常访问频率规则4)强大的威胁情报可定制化提供对海量恶意IP黑名单、恶意爬虫库的封禁能力(3)业务安全保障1)自动化快速接入无需修改服务器源码,调用API接口等复杂操作,一键配置,自动防护2)良好用户体验针对正常的浏览器或者APP访问,无需访问者任何额外操作;针对疑似机器人访问行为,浮层滑块验证3)精准拦截强大的设备指纹、人机识别能力保障业务运营活动正常开展。(4)HTTPS优化1)支持网站一键HTTPS源站如果为HTTP网站,上传证书私钥后,可一键改造为HTTPS,无需服务器改造2)支持HTTP回源支持HTTPS业务流量以HTTP回源,降低
13、源站的负载消耗,优化业务性能(5)HTTP/HTTPS访问控制1)IP访问控制支持对指定IP或网段,以及恶意IP的封禁或者加白2)URL访问控制支持对指定URL地址的禁止访问或加白3)恶意CC变种攻击支持如wordpress pingback等常见CC变种型攻击防护4)IP访问控制支持对指定IP或网段,以及恶意IP的封禁或者加白5)URL访问控制支持对指定URL地址的禁止访问或加白6)恶意CC变种攻击支持如wordpress pingback等常见CC变种型攻击防护(6)日志管理全量访问日志提供全量日志智能检索,一键搜索异常请求及安全攻击拦截、了解当前网站业务状况安骑士安骑士防护简述(1)安全
14、预防1)漏洞管理:Linux软件漏洞:通过检测服务器上安装软件的版本信息,及CVE官方的漏洞库进行匹配,检测出存在漏洞的软件并给您推送漏洞信息(可检测如:SSH、OpenSSL、Mysql等软件漏洞)Windows漏洞:通过订阅微软官方更新源,若发现您服务器存在高危的官方漏洞未修复,将为您推送微软官方补丁(如“SMB远程执行漏洞”,另外系统将只推送高危漏洞,安全更新和低危漏洞需要您手动更新)CMS漏洞:共享阿里云安全情报源,通过目录及文件的检测方案,检出Web-CMS软件漏洞,并给您提供云盾自研补丁(可修复如:Wordpress、Discuz等软件漏洞)配置型、组件型的漏洞:无法通过版本匹配和
15、文件判断的漏洞(如:redis未授权访问漏洞等)2)基线检查:账户安全检测:检测服务器上是否存在黑客入侵后,留下的账户,对影子账户、隐藏账户、克隆账户,同时对密码策略合规、系统及应用弱口令进行检测系统配置检测:系统组策略、登录基线策略、注册表配置风险检测数据库风险检测:支持对Redis数据库高危配置进行检测合规对标检测:CIS-Linux Centos7系统基线合规检测(2)入侵检测1)异常登录:异地登录:系统记录所有登录记录,对于非常用登录的行为进行实时提醒,可自由配置常用登录地非白名单IP登录提醒:配置白名单IP后,对非白名单IP的事件进行告警非法时间登录提醒:配置合法登录时间后,对非合法
16、时间登录事件进行告警非法账号登录提醒:配置合法登录账号后,对非合法账号登录事件进行告警暴力破解登录拦截:对非法破解密码的行为进行识别,并上报到阿里云处罚中心进行拦截,避免被黑客多次猜解密码而入侵2)网站后门(Webshell)查杀:自研网站后门查杀引擎,拥有本地查杀加云查杀体系,同时兼有定时查杀和实时防护扫描策略,支持常见的php、jsp等后门文件类型3)主机异常(含云查杀):进程异常行为:反弹Shell、JAVA进程执行CMD命令、bash异常文件下载等异常网络连接:C&C肉鸡检测、恶意病毒源连接下载等恶意进程(云查杀):常见DDoS木马、挖矿木马及病毒程序检测,支持云端一键隔离(自研沙箱+
17、国内外主流杀毒引擎)敏感文件篡改:系统及应用的关键文件被黑客篡改异常账号:黑客入侵后创建隐藏账号、公钥账号等(3)资产指纹1)主机管理:分组和标签:支持四级资产分组和子分组、支持资产标签管理2)端口、账号、进程、软件:端口监听:对端口监听信息收集和呈现,对变动进行记录,便于清点端口开放账号管理:收集账户及对应权限信息,可清点特权账户,发现提权行为进程管理:进程快照信息收集及呈现,便于自主清点合法进程发现异常进程软件管理:清点软件安装信息,同时在高危漏洞爆发可快速定位受影响资产(待上线)(4)日志检索1)进程相关:进程启动:进程一旦启动,则记录下该启动事件的详细信息进程快照:某一时刻的进程全量日
18、志抓取并存储2)网络连接:主动外联:对外网络连接的五元组相关信息实时采集3)其他日志:系统登录:SSH、RDP的系统登录流水日志端口监听快照:某一时刻的所有对外监听端口的快照数据账号快照:某一时刻的所有账号信息的快照数据安全管家(1) 加固指导指导用户进行安全风险管理,根据出具的漏洞扫描报告,帮助用户控制安全风险,修补安全漏洞。(2) 安全危险管理1.监控客户安全攻击态势,高危攻击及时告警2.定期分析安全攻击态势及安全趋势,知道安全建设方向3.根据安全威胁信息及时调整安全防御策略(3) 云盾产品支持1. 协助用户进行WAF产品部署,实现产品的快速上线。2. 根据业务特点优化云盾产品策略,防护效果最大化。3. 定期分析云盾产品使用效果,安全态势一目了然。(4) 安全应急响应1. 快速响应、及时处置,将黑客攻击的影响降到最低。2. 分析黑客入侵手法及入侵后行为,评估入侵损失。3. 提供安全加固及安全防范指导,防止重复发生安全事件。联系单位:青岛市公安局网络警察支队联系人:钟警官:17667589505技术支持单位:阿里云山东服务中心联系人:丁贺: 王欣: