- 1、本文档共6页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
中国石化资金集中管理信息系统
Web应用安全测试报告
简介
本文针对中国石化资金集中管理信息系统,采用IBM Rational的安全测试产品AppScan进行安全测试,并基于此次测试的结果进行分析。
中国石化资金集中管理信息系统应用特点
中国石化资金集中管理信息系统应用采用Jboss4.2.4作为应用服务器,系统使用基于Spring的Acegi进行安全认证和授权;其中还大量采用了Javascript技术,所有其对于url的解析处理,需要动态进行处理。
针对中国石化资金集中管理信息系统应用特点的安全测试设置
针对于中国石化资金集中管理信息系统应用的以上特点,并结合实际使用情况分为三种场景进行测试,测试内容选择了系统的功能1和功能2:
使用用户名/密码,但不进行登陆验证:此场景如同一般用户登陆系统,但不进行登陆验证,即不判断针对特殊应用安全的登陆,是否存在安全问题。
使用用户名/密码,进行登陆验证:此场景选择正常用户登陆系统,进行登陆验证,即判断针对特殊应用安全的登陆,是否存在安全问题。
基于不同角色登陆处理:结合权限较高的admin用户和权限较低的cqusr1用户进行登陆,除了常规的安全的检测,特别还要针对跨权限的安全访问进行判断。
通过以上的配置,结合AppScan的登陆设置就可以了。
测试结果简析
结合以上的三个场景,针对部分功能进行安全测试后,初步获得以下测试结果。
整体内容分析
场景内容 安全问题总计 问题分类及数量 场景1:用户名/密码登陆,无登陆验证 访问192url,发现60问题 严重: 2类/16个
中等: 2类/3个
低等: 3类/6个
泄漏:4类/35个 场景2:用户名/密码登陆,进行登陆验证 访问243url,发现104问题 严重: 3类/22个
中等: 2类/3个
低等: 3类/36个
泄漏:4类/43个 场景3:分角色用户登陆 访问192url,发现69问题 严重: 3类/23个
中等: 2类/3个
低等: 3类/6个
泄漏:4类/37个
严重安全问题分析及修改建议
XSS跨站点脚本攻击漏洞
问题概述:黑客可以应用此漏洞,获取最终用户信息,并基于此进行伪装,进行攻击。
url:
2:40001/wfProject/jsp/app/sinopec/wf/loan/commissionedLoanApply.jsp
2:40001/wfProject/jsp/app/sinopec/wf/loan/loanApply.jsp
2:40001/wfProject/jsp/app/sinopec/wf/tongye/RMBOverdraftApply.jsp
2:40001/wfProject/jsp/app/sinopec/wf/tongye/RMBchaijieApply.jsp
测试方式:在参数中增加javascript:alert(134108)处理,可执行url
修改方法:修改对于参数的处理,将无效值进行排除。
注入漏洞
问题概述:黑客可以应用此漏洞,获取交易信息。
url:
2:40001/wfProject/jsp/app/netbank/common/customDropDownDict.jsp
测试方式:在http request中填写 foobar=foobar之类内容进行攻击
修改方法:修改http parameter处理,将无效内容过滤
JBoss管理控制台打开
问题概述:对于jboss控制台没有进行控制。
url:
2:40001/
测试方式:直接进行访问即可
修改方法:如果上线,此控制台建议关闭或者设置安全。
跨权限设置访问
问题概述:登陆用户,即可不受权限限制,通过url直接访问用户管理。
url:
2:40001/wfProject/jsp/app/acountmanager/interestBill.jsp
2:40001/wfProject/jsp/app/acountmanager/outlayBill.jsp
2:40001/wfProject/jsp/app/acountmanager/paymentBill.jsp
2:40001/wfProject/jsp/app/acountmanager/reciveBill.jsp
2:40001/wfProject/jsp/app/netbank/common/bankInfo.jsp
2:40001/wfProject/servlet/dataengine
测试方式:采用权限较低用户,可以访问用户管理内容。
修改方法:一定要配置用户授权内容。
总结
详细内容请详见通过AppScan生成的测试结果,并针对其进行修改。针对
您可能关注的文档
- 中国健身学院排名,十大健身培训机构?.doc
- 中国共产党云南省第九次代表大会精神宣讲材料(提纲).doc
- 中国共产党第十八次代表大会精神学习心得体会.doc
- 中国医科大学2016年12月考试《中医药学概论》考查课试题.doc
- 中国医科大学2016年12月考试《医用化学》考查课试题.doc
- 中国医科大学2016年12月考试《护理心理学》考查课试题.doc
- 中国医科大学2016年12月考试《急危重症护理学》考查课试题.doc
- 中国医科大学2016年12月课程考试《思想道德修养与法律基础》考查课试题.doc
- 中国医科大学2016年12月考试《社会医疗保险学》考查课试题.doc
- 中国医科大学2016年12月课程考试《社会医疗保险》考查课试题.doc
最近下载
- 办公用品采购服务方案.docx
- 党纪学习教育党课PPT课件含讲稿:知敬畏、存戒惧、守底线把铁的纪律内化为日用而不觉的言行准则.pptx VIP
- 西游记100道测试题带答案.pdf
- 古代战争100题口诀歌讲义.pdf VIP
- 年终个人农业执法工作总结6篇.docx VIP
- 图微新材料研究有限公司年产改性塑胶产品 46 吨新建项目环境影响报告表.docx
- 俊玮_C3604 MSDS 物质安全表.pdf
- 2024贵州省专业技术人员继续教育公需科目(满分答案).pdf VIP
- 《职业病防治法》考试复习题库汇总500题(单选多选判断).doc VIP
- 冀人版科学三年级上册《科学学生活动手册》答案.pptx
文档评论(0)