網(wǎng)站風(fēng)險(xiǎn)評(píng)估報(bào)告——《信息安全工程》課程報(bào)告課程名稱 信息安全工程班 級(jí)專 業(yè) 信息安全任課教師學(xué) 號(hào)姓 名1 / 71

網(wǎng)站風(fēng)險(xiǎn)評(píng)估報(bào)告

——《信息安全工程》課程報(bào)告

課程名稱 信息安全工程

班 級(jí)

專 業(yè) 信息安全

任課教師

學(xué) 號(hào)

姓 名

1 / 71

,

目錄

封面-------------------------------------------------------------------------1 目錄-------------------------------------------------------------------------2 一、評(píng)估準(zhǔn)備-------------------------------------------------------------3 1、安全評(píng)估準(zhǔn)備-----------------------------------------------------3 2、安全評(píng)估范圍-----------------------------------------------------3 3、安全評(píng)估團(tuán)隊(duì)-----------------------------------------------------3 4、安全評(píng)估計(jì)劃-----------------------------------------------------3 二、風(fēng)險(xiǎn)因素評(píng)估-------------------------------------------------------3

1．威脅分析-----------------------------------------------------------3 1.1威脅分析概述--------------------------------------------------3

1.2威脅分析來(lái)源--------------------------------------------------4

1.3威脅種類--------------------------------------------------------4

2．安全評(píng)估-----------------------------------------------------------7

2.1高危漏洞--------------------------------------------------------7

2.2中級(jí)漏洞--------------------------------------------------------7

2.3低級(jí)漏洞--------------------------------------------------------8

三、綜述--------------------------------------------------------------------8

1.1具有最多安全性問(wèn)題的文件--------------------------------9

1.2Web 風(fēng)險(xiǎn)分布統(tǒng)計(jì)--------------------------------------------9

2.Web 風(fēng)險(xiǎn)類別分布-----------------------------------------------10

3. 滲透測(cè)試------------------------------------------------------------10

4. 漏洞信息------------------------------------------------------------15

四、風(fēng)險(xiǎn)評(píng)價(jià)-------------------------------------------------------------18

五、風(fēng)險(xiǎn)控制建議-------------------------------------------------------19 附錄:------------------------------------------------------------------------22

2 / 71

,

一、評(píng)估準(zhǔn)備

1、安全評(píng)估目標(biāo)

在項(xiàng)目評(píng)估階段，為了充分了解SecurityTweets 這個(gè)網(wǎng)站的安全系數(shù)，因此需要對(duì)SecurityTweets 這個(gè)網(wǎng)站當(dāng)前的重點(diǎn)服務(wù)器和web 應(yīng)用程序進(jìn)行一次抽樣掃描和安全弱點(diǎn)分析，對(duì)象為SecurityTweets 全站，然后根據(jù)安全弱點(diǎn)掃描分析報(bào)告，作為提高SecurityTweets 系統(tǒng)整體安全的重要參考依據(jù)之一。

2、安全評(píng)估范圍

本小組將對(duì)如下系統(tǒng)進(jìn)行安全評(píng)估：

采用linux 系統(tǒng)的web 服務(wù)器（IP 地址：176.28.50.165）

采用nginx 服務(wù)器程序的web 站點(diǎn)

采用MySQL 的數(shù)據(jù)庫(kù)

3、安全評(píng)估團(tuán)隊(duì)

成員組成：

使用工具：

1、Acunetix Web Vulnerability Scanner

2、BurpSuite

4、安全評(píng)估計(jì)劃

1、此次針對(duì)網(wǎng)站的安全評(píng)估分為2個(gè)步驟進(jìn)行。第一步利用現(xiàn)有的優(yōu)秀安全評(píng)估軟件來(lái)模擬攻擊行為進(jìn)行自動(dòng)的探測(cè)安全隱患；第二步根據(jù)第一步得出的掃描結(jié)果進(jìn)行分析由小組成員親自進(jìn)行手動(dòng)檢測(cè)，排除誤報(bào)情況，查找掃描軟件無(wú)法找到的安全漏洞。

2、第一步我們采用兩種不同的滲透測(cè)試軟件對(duì)網(wǎng)站做總體掃描。采用兩種工具是因?yàn)檫@兩個(gè)工具的側(cè)重點(diǎn)不同，可以互為補(bǔ)充，使得分析更為精確。然后生成測(cè)試報(bào)告。

3、根據(jù)上一步生成的測(cè)試報(bào)告，由組員親自手動(dòng)驗(yàn)證報(bào)告的可信性。

4、根據(jù)安全掃描程序和人工分析結(jié)果寫(xiě)出這次安全評(píng)估的報(bào)告書(shū)。

二、風(fēng)險(xiǎn)因素評(píng)估

1. 威脅分析

1.1. 威脅分析概述

本次威脅分析是對(duì)一個(gè)德國(guó)的SecurityTweets 網(wǎng)站進(jìn)行的。威脅分析包括的具體內(nèi)容有：威脅主體、威脅途徑、威脅種類。

3 / 71

,

1.2. 威脅來(lái)源

SecurityTweets 網(wǎng)站是基于Internet 體系結(jié)構(gòu)建立，網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)大都采用TCP/IP作為主要的網(wǎng)絡(luò)通訊協(xié)議，其自身提供了各種各樣的接口以供使用和維護(hù)，然而，這些接口同樣可能向威脅主體提供了攻擊的途徑：

1.3. 威脅種類：

1. 描述

這個(gè)腳本是可能容易受到跨站點(diǎn)腳本（XSS ）攻擊。

跨站點(diǎn)腳本（也被稱為XSS ）是一種漏洞，允許攻擊者發(fā)送惡意代碼（通常在Javascript 中的形式）給其他用戶。因?yàn)闉g覽器無(wú)法知道是否該腳本應(yīng)該是可信與否，它會(huì)在用戶上下文中，允許攻擊者訪問(wèn)被瀏覽器保留的任何Cookie 或會(huì)話令牌執(zhí)行腳本。

雖然傳統(tǒng)的跨站點(diǎn)腳本漏洞發(fā)生在服務(wù)器端的代碼，文檔對(duì)象模型的跨站點(diǎn)腳本是一種類型的漏洞會(huì)影響腳本代碼在客戶端的瀏覽器。

4 / 71

,

2. 描述

基于堆的緩沖區(qū)溢出在nginx1.3.15的SPDY 執(zhí)行1.4.7和1.5.x 版本1.5.12之前之前允許遠(yuǎn)程攻擊者通過(guò)特制的請(qǐng)求執(zhí)行任意代碼。該問(wèn)題影響的ngx_http_spdy_module模塊（默認(rèn)情況下不編譯），并編譯nginx 的 - 與調(diào)試配置選項(xiàng)，如果“聽(tīng)”指令的“SPDY ”選項(xiàng)用于在配置文件中。

3．描述

您使用的是脆弱的Javascript 庫(kù)。一個(gè)或多個(gè)漏洞報(bào)告這個(gè)版本的JavaScript 庫(kù)。咨詢攻擊細(xì)節(jié)和Web 引用有關(guān)受影響的庫(kù)，并進(jìn)行了報(bào)道，該漏洞的詳細(xì)信息。

4. 描述

XML 支持被稱為“外部實(shí)體”，它指示XML 處理器來(lái)檢索和執(zhí)行內(nèi)嵌的設(shè)施包括XML 位于特定URI 的。一個(gè)外部XML 實(shí)體可以用來(lái)追加或修改與XML 文檔相關(guān)聯(lián)的文檔類型定義（DTD ）。外部XML 實(shí)體也可以用于對(duì)XML 文檔的內(nèi)容中包含的XML 。

現(xiàn)在假設(shè)XML 處理器解析數(shù)據(jù)從下攻擊者控制的一個(gè)光源發(fā)出。大多數(shù)時(shí)候，處理器將不會(huì)被確認(rèn)，但它可能包括替換文本從而引發(fā)意想不到的文件打開(kāi)操作，或HTTP 傳輸，或任何系統(tǒng)IDS 的XML 處理器知道如何訪問(wèn)。

以下是將使用此功能包含本地文件（/ etc / passwd文件）的內(nèi)容的示例XML 文檔

<？XML 版本=“1.0”編碼=“UTF-8”？>

<！DOCTYPE 的Acunetix[

<！實(shí)體acunetixent 系統(tǒng)“文件:/// etc / passwd文件”>

]>

＆acunetixent;

4. 描述

此警報(bào)可能是假陽(yáng)性，手動(dòng)確認(rèn)是必要的。

跨站請(qǐng)求偽造，也稱為一次單擊攻擊或會(huì)話騎馬和縮寫(xiě)為CSRF 或者XSRF ，是一種類型的惡意攻擊網(wǎng)站即未經(jīng)授權(quán)的命令是從一個(gè)用戶，該網(wǎng)站信任傳遞的。

5 / 71

,

WVS 的Acunetix 找到一個(gè)HTML 表單與實(shí)施沒(méi)有明顯的CSRF 保護(hù)。詳細(xì)信息請(qǐng)咨詢有關(guān)受影響的HTML 表單的信息。

5. 描述

用戶憑據(jù)的傳送是在一個(gè)未加密的通道。這些信息應(yīng)該始終通過(guò)加密通道（HTTPS ），以避免被攔截惡意用戶轉(zhuǎn)移。

6. 描述

點(diǎn)擊劫持（用戶界面補(bǔ)救的攻擊，用戶界面補(bǔ)救攻擊，用戶界面救濟(jì)的權(quán)利）是誘騙網(wǎng)絡(luò)用戶點(diǎn)擊的東西從什么用戶會(huì)感覺(jué)到他們是點(diǎn)擊，從而有可能泄露機(jī)密資料，或利用其電腦同時(shí)控制不同的惡意技術(shù)點(diǎn)擊看似無(wú)害的網(wǎng)頁(yè)。

該服務(wù)器沒(méi)有返回的X 幀選項(xiàng)頭這意味著該網(wǎng)站可能是在點(diǎn)擊劫持攻擊的風(fēng)險(xiǎn)。 X框，選擇HTTP 響應(yīng)頭可以被用于指示瀏覽器是否應(yīng)該被允許以呈現(xiàn)頁(yè)面中的或