Web风险评估报告.doc

网站风险评估报告 ——《信息安全工程》报告 课程名称 信息安全工程 班 级 专 业 信息安全 任课教师 学 号 姓 名 目录 封面1 目录2 一、评估准备3 1、安全评估准备3 2、安全评估范围3 3、安全评估团队3 4、安全评估计划3 二、风险因素评估3 1．威胁分析3 1.1威胁分析概述3 1.2威胁分析来源4 1.3威胁种类4 2．安全评估7 2.1高危漏洞7 2.2中级漏洞7 2.3低级漏洞8 三、综述8 1.1具有最多安全性问题的文件9 1.2Web风险分布统计9 2.Web风险类别分布10 3.渗透测试10 4.漏洞信息15 四、风险评价18 五、风险控制建议19 附录:22 一、评估准备 1、安全评估目标 在项目评估阶段，为了充分了解SecurityTweets这个网站的安全系数，因此需要对SecurityTweets这个网站当前的重点服务器和web应用程序进行一次抽样扫描和安全弱点分析，对象为SecurityTweets全站，然后根据安全弱点扫描分析报告，作为提高SecurityTweets系统整体安全的重要参考依据之一。 2、安全评估范围 本小组将对如下系统进行安全评估： 采用linux系统的web服务器（IP地址：65） 采用nginx服务器程序的web站点 采用MySQL的数据库 3、安全评估团队 成员组成： 组员 姓名 班级 学号 使用工具： 1、Acunetix Web Vulnerability Scanner 2、BurpSuite 4、安全评估计划 1、此次针对网站的安全评估分为2个步骤进行。第一步利用现有的优秀安全评估软件来模拟攻击行为进行自动的探测安全隐患；第二步根据第一步得出的扫描结果进行分析由小组成员亲自进行手动检测，排除误报情况，查找扫描软件无法找到的安全漏洞。 2、第一步我们采用两种不同的渗透测试软件对网站做总体扫描。采用两种工具是因为这两个工具的侧重点不同，可以互为补充，使得分析更为精确。然后生成测试报告。 3、根据上一步生成的测试报告，由组员亲自手动验证报告的可信性。 4、根据安全扫描程序和人工分析结果写出这次安全评估的报告书。 二、风险因素评估 威胁分析 威胁分析概述 本次威胁分析是对一个德国的SecurityTweets网站进行的。威胁分析包括的具体内容有：威胁主体、威胁途径、威胁种类。 威胁来源 SecurityTweets 网站是基于Internet 体系结构建立，网络业务系统大都采用TCP/IP作为主要的网络通讯协议，其自身提供了各种各样的接口以供使用和维护，然而，这些接口同样可能向威胁主体提供了攻击的途径： 来源 描述 环境因素 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障 人为因素 恶意人员 不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益 外部人员利用信息系统的脆弱性，对网络或系统的必威体育官网网址性、完整性和可用性进行破坏，以获取利益或炫耀能力 非恶意人员 内部人员由于缺乏责任心，或者由于不关心或不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击 威胁种类： 1.描述 这个脚本是可能容易受到跨站点脚本（XSS）攻击。 跨站点脚本（也被称为X