中国石化AppScan安全测试报告.docVIP

  1. 1、本文档共6页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
中国石化资金集中管理信息系统 Web应用安全测试报告 简介   本文针对中国石化资金集中管理信息系统,采用IBM Rational的安全测试产品AppScan进行安全测试,并基于此次测试的结果进行分析。 中国石化资金集中管理信息系统应用特点 中国石化资金集中管理信息系统应用采用Jboss4.2.4作为应用服务器,系统使用基于Spring的Acegi进行安全认证和授权;其中还大量采用了Javascript技术,所有其对于url的解析处理,需要动态进行处理。 针对中国石化资金集中管理信息系统应用特点的安全测试设置 针对于中国石化资金集中管理信息系统应用的以上特点,并结合实际使用情况分为三种场景进行测试,测试内容选择了系统的功能1和功能2: 使用用户名/密码,但不进行登陆验证:此场景如同一般用户登陆系统,但不进行登陆验证,即不判断针对特殊应用安全的登陆,是否存在安全问题。 使用用户名/密码,进行登陆验证:此场景选择正常用户登陆系统,进行登陆验证,即判断针对特殊应用安全的登陆,是否存在安全问题。 基于不同角色登陆处理:结合权限较高的admin用户和权限较低的cqusr1用户进行登陆,除了常规的安全的检测,特别还要针对跨权限的安全访问进行判断。 通过以上的配置,结合AppScan的登陆设置就可以了。 测试结果简析 结合以上的三个场景,针对部分功能进行安全测试后,初步获得以下测试结果。 整体内容分析 场景内容 安全问题总计 问题分类及数量 场景1:用户名/密码登陆,无登陆验证 访问192url,发现60问题 严重: 2类/16个 中等: 2类/3个 低等: 3类/6个 泄漏:4类/35个 场景2:用户名/密码登陆,进行登陆验证 访问243url,发现104问题 严重: 3类/22个 中等: 2类/3个 低等: 3类/36个 泄漏:4类/43个 场景3:分角色用户登陆 访问192url,发现69问题 严重: 3类/23个 中等: 2类/3个 低等: 3类/6个 泄漏:4类/37个 严重安全问题分析及修改建议 XSS跨站点脚本攻击漏洞 问题概述:黑客可以应用此漏洞,获取最终用户信息,并基于此进行伪装,进行攻击。 url: 2:40001/wfProject/jsp/app/sinopec/wf/loan/commissionedLoanApply.jsp 2:40001/wfProject/jsp/app/sinopec/wf/loan/loanApply.jsp 2:40001/wfProject/jsp/app/sinopec/wf/tongye/RMBOverdraftApply.jsp 2:40001/wfProject/jsp/app/sinopec/wf/tongye/RMBchaijieApply.jsp 测试方式:在参数中增加javascript:alert(134108)处理,可执行url 修改方法:修改对于参数的处理,将无效值进行排除。 注入漏洞 问题概述:黑客可以应用此漏洞,获取交易信息。 url: 2:40001/wfProject/jsp/app/netbank/common/customDropDownDict.jsp 测试方式:在http request中填写 foobar=foobar之类内容进行攻击 修改方法:修改http parameter处理,将无效内容过滤 JBoss管理控制台打开 问题概述:对于jboss控制台没有进行控制。 url: 2:40001/ 测试方式:直接进行访问即可 修改方法:如果上线,此控制台建议关闭或者设置安全。 跨权限设置访问 问题概述:登陆用户,即可不受权限限制,通过url直接访问用户管理。 url: 2:40001/wfProject/jsp/app/acountmanager/interestBill.jsp 2:40001/wfProject/jsp/app/acountmanager/outlayBill.jsp 2:40001/wfProject/jsp/app/acountmanager/paymentBill.jsp 2:40001/wfProject/jsp/app/acountmanager/reciveBill.jsp 2:40001/wfProject/jsp/app/netbank/common/bankInfo.jsp 2:40001/wfProject/servlet/dataengine 测试方式:采用权限较低用户,可以访问用户管理内容。 修改方法:一定要配置用户授权内容。 总结 详细内容请详见通过AppScan生成的测试结果,并针对其进行修改。针对

文档评论(0)

eVitcbOBqM + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档