广东农商行渗透测试报告.doc

____________________________ 广东农村商业银行 渗透测试报告____________________________ 文档日期: 2010-08-08 文档版本: 1.0 概述 1.1 测试目的 通过模拟黑客的渗透测试，评估目标系统是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小，为制定相应的安全措施与解决方案提供实际的依据。 1.2 测试范围 渗透方式 应用系统 网段主机 外网渗透 32 1.3 实施流程 渗透测试服务流程定义如下： 1.3.1 信息收集 此阶段中，渗透测试小组进行必要的信息收集，如 IP 地址、DNS 记录、软件版本信息、IP 段等。 采用方法 基本网络信息获取 ping 目标网络得到 IP 地址和 ttl 等信息 tcptraceroute 和 traceroute 的结果 whois 结果 netcraft 获取目标可能存在的域名、Web 及服务器信息 curl 获取目标 web 基本信息 nmap 对网站进行端口扫描并判断操作系统类型 google、yahoo、baidu 等有哪些信誉好的足球投注网站引擎获取目标信息 FWtester、hping3 等工具进行防火墙规则探测 其他 1.3.2 渗透测试 此阶段中，渗透测试小组根据第一阶段获得的信息对网络、系统进行渗透测试。此阶段如果成功的话，可能获得普通权限。 采用方法 常规漏洞扫描和采用商用软件进行检查 结合使用ISS与 Nessus 等商用或免费的扫描工具进行漏洞扫描 采用 SolarWinds 对网络设备等进行有哪些信誉好的足球投注网站发现 采用 nikto、webinspect 等软件对 web 常见漏洞进行扫描 采用如AppDetectiv 之类的商用软件对数据库进行扫描分析 对 Web 和数据库应用进行分析 采用 WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe 等工具进行分析 用 Ethereal 抓包协助分析 用 webscan、fuzzer 进行 SQL 注入和 XSS 漏洞初步分析 手工检测 SQL 注入和 XSS 漏洞 采用类似OScanner 的工具对数据库进行分析 基于通用设备、数据库、操作系统和应用的攻击 采用各种公开及私有的缓冲区溢出程序代码，也采用诸如MetasploitFramework之类的利用程序集合。 基于应用的攻击 基于web、数据库或特定的B/S 或C/S 结构的网络应用程序存 在的弱点进行攻击。 口令猜解技术 进行口令猜解可以采用X-Scan、Brutus、Hydra、溯雪等工具， 1.3.3 本地信息收集 此阶段中，渗透测试小组进行本地信息收集，用于下一阶段的权限提升。 1.3.4 权限提升 此阶段中，渗透测试小组尝试由普通权限提升为管理员权限，获得对系统的完全控制权。 在时间许可的情况下，必要时从第一阶段重新进行。 采用方法 口令嗅探与键盘记录 嗅探、键盘记录、木马等软件，功能简单，但要求不被防病毒 软件发觉，因此通常需要自行开发或修改。 口令破解 有许多著名的口令破解软件，如L0phtCrack、John the Ripper、Cain 等 1.3.5 清除 此阶段中，渗透测试小组清除中间数据。 1.3.6 输出报告 此阶段中，渗透测试小组根据测试的结果编写渗透测试服务报告。 1.4 参考标准 《OWASP Testing Guide》 测试综述 2.1 系统层测试综述 用端口扫描工具对广东农商行网站所在的主机进行端口扫描，发现该主机存在大量的开放端口，这些端口容易被恶意用户利用入侵系统。如下图所示： 2.2 应用层测试综述 应用系统 利用漏洞 威胁来源 风险等级 风险描述 SQL注入漏洞 外部黑客 高 查看、修改或删除数据库条目和表。 数据库错误模式漏洞 外部黑客 高 查看、修改或删除数据库条目和表。 用户信息未加密传输 外部黑客 中 可能会窃取诸如用户名和密码等未经加密的登录信息 易受攻击的 ActiveX 控件 外部黑客 中 可以在 Web 应用程序的客户机上执行任意代码 内部IP泄露模式 外部黑客 低 可能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置 潜在的文件上传漏洞 外部黑客 低 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件 隐藏目录漏洞 外部黑客 低 可能会检索有关站点文件系统结构的信息，这可能会帮助攻击者映射此 Web 站点 Web 应用程序源代码泄露 外部黑客 低 可能会检索服务器端脚本的源代码，这可能会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息 网站存在一些安全缺陷，如SQL注入漏洞，数据库错误模式漏洞，用户信息未加密漏洞等，具体漏洞情况如下图所示： 测试结果