Web风险评估报告

1/71网站风险评估报告——《信息安全工程》报告课程名称信息安全工程班级专业信息安全任课教师学号姓名2/71目录封面-------------------------------------------------------------------------1目录-------------------------------------------------------------------------2一、评估准备-------------------------------------------------------------31、安全评估准备-----------------------------------------------------32、安全评估范围-----------------------------------------------------33、安全评估团队-----------------------------------------------------34、安全评估计划-----------------------------------------------------3二、风险因素评估-------------------------------------------------------31．威胁分析-----------------------------------------------------------31.1威胁分析概述--------------------------------------------------31.2威胁分析来源--------------------------------------------------41.3威胁种类--------------------------------------------------------42．安全评估-----------------------------------------------------------72.1高危漏洞--------------------------------------------------------72.2中级漏洞--------------------------------------------------------72.3低级漏洞--------------------------------------------------------8三、综述--------------------------------------------------------------------81.1具有最多安全性问题的文件--------------------------------91.2Web风险分布统计--------------------------------------------92.Web风险类别分布-----------------------------------------------103.渗透测试------------------------------------------------------------104.漏洞信息------------------------------------------------------------15四、风险评价-------------------------------------------------------------18五、风险控制建议-------------------------------------------------------19附录:------------------------------------------------------------------------223/71一、评估准备1、安全评估目标在项目评估阶段，为了充分了解SecurityTweets这个网站的安全系数，因此需要对SecurityTweets这个网站当前的重点服务器和web应用程序进行一次抽样扫描和安全弱点分析，对象为SecurityTweets全站，然后根据安全弱点扫描分析报告，作为提高SecurityTweets系统整体安全的重要参考依据之一。2、安全评估范围本小组将对如下系统进行安全评估：采用linux系统的web服务器（IP地址：176.28.50.165）采用nginx服务器程序的web站点采用MySQL的数据库3、安全评估团队成员组成：使用工具：1、AcunetixWebVulnerabilityScanner2、BurpSuite4、安全评估计划1、此次针对网站的安全评估分为2个步骤进行。第一步利用现有的优秀安全评估软件来模拟攻击行为进行自动的探测安全隐患；第二步根据第一步得出的扫描结果进行分析由小组成员亲自进行手动检测，排除误报情况，查找扫描软件无法找到的安全漏洞。2、第一步我们采用两种不同的渗透测试软件对网站做总体扫描。采用两种工具是因为这两个工具的侧重点不同，可以互为补充，使得分析更为精确。然后生成测试报告。3、根据上一步生成的测试报告，由组员亲自手动验证报告的可信性。4、根据安全扫描程序和人工分析结果写出这次安全评估的报告书。二、风险因素评估1.威胁分析1.1.威胁分析概述本次威胁分析是对一个德国的SecurityTweets网站进行的。威胁分析包括的具体内容有：威胁主体、威胁途径、威胁种类。组员姓名班级学号4/711.2.威胁来源SecurityTweets网站是基于Internet体系结构建立，网络业务系统大都采用TCP/IP作为主要的网络通讯协议，其自身提供了各种各样的接口以供使用和维护，然而，这些接口同样可能向威胁主体提供了攻击的途径：来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益外部人员利用信息系统的脆弱性，对网络或系统的保密性、完整性和可用性进行破坏，以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心，或者由于不关心或不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击1.3.威胁种类：1.描述这个脚本是可能容易受到跨站点脚本（XSS）攻击。跨站点脚本（也被称为XSS）是一种漏洞，允许攻击者发送恶意代码（通常在Javascript中的形式）给其他用户。因为浏览器无法知道是否该脚本应该是可信与否，它会在用户上下文中，允许攻击者访问被浏览器保留的任何Cookie或会话令牌执行脚本。虽然传统的跨站点脚本漏洞发生在服务器端的代码，文档对象模型的跨站点脚本是一种类型的漏洞会影响脚本代码在客户端的浏览器。5/712.描述基于堆的缓冲区溢出在nginx1.3.15的SPDY执行1.4.7和1.5.x版本1.5.12之前之前允许远程攻击者通过特制的请求执行任意代码。该问题影响的ngx_http_spdy_module模块（默认情况下不编译），并编译nginx的-与调试配置选项，如果“听”指令的“SPDY”选项用于在配置文件中。3．描述您使用的是脆弱的Javascript库。一个或多个漏洞报告这个版本的JavaScript库。咨询攻击细节和Web引用有关受影响的库，并进行了报道，该漏洞的详细信息。4.描述XML支持被称为“外部实体”，它指示XML处理器来检索和执行内嵌的设施包括XML位于特定URI的。一个外部XML实体可以用来追加或修改与XML文档相关联的文档类型定义（DTD）。外部XML实体也可以用于对XML文档的内容中包含的XML。现在假设XML处理器解析数据从下攻击者控制的一个光源发出。大多数时候，处理器将不会被确认，但它可能包括替换文本从而引发意想不到的文件打开操作，或HTTP传输，或任何系统IDS的XML处理器知道如何访问。以下是将使用此功能包含本地文件（/etc/passwd文件）的内容的示例XML文档？XML版本=“1.0”编码=“UTF-8”？！DOCTYPE的Acunetix[！实体acunetixent系统“文件:///etc/passwd文件”]XXX＆acunetixent;/XXX4.描述此警报可能是假阳性，手动确认是必要的。跨站请求伪造，也称为一次单击攻击或会话骑马和缩写为CSRF或者XSRF，是一种类型的恶意攻击网站即未经授权的命令是从一个用户，该网站信任传递的。6/71WVS的Acunetix找到一个HTML表单与实施没有明显的CSRF保护。详细信息请咨询有关受影响的HTML表单的信息。5.描述用户凭据的传送是在一个未加密的通道。这些信息应该始终通过加密通道（HTTPS），以避免被拦截恶意用户转移。6.描述点击劫持（用户界面补救的攻击，用户界面补救攻击，用户界面救济的权利）是诱骗网络用户点击的东西从什么用户会感觉到他们是点击，从而有可能泄露机密资料，或利用其电脑同时控制不同的恶意技术点击看似无害的网页。该服务器没有返回的X帧选项头这意味着该网站可能是在点击劫持攻击的风险。X框，选择HTTP响应头可以被用于指示浏览器是否应该被允许以呈现页面中的frame或IFRAME。网站可以利用这一点避免点击劫持攻击，以确保其内容不会嵌入到其他网站。7.描述一个常见的威胁Web开发人员面对的是一个密码猜测攻击被称为蛮力攻击。蛮力攻击是试图通过系统地尝试字母，数字和符号的每个可能的组合，直到你发现工作一个正确的组合来发现密码。这个登录页面没有对密码猜测攻击（蛮力攻击）的任何保护。它的建议，以实现一个定义不正确的密码尝试次数后，某些类型的帐户锁定的。对于咨询有关解决此问题的详细信息的Web引用。8.描述HTTPOPTIONS方法在此Web伺服器已启用。OPTIONS方法提供了由web服务器所支持的方法列表，它代表约可在发现Request-URI的请求/响应链中的通讯选项信息的请求。9.描述一个可能的敏感目录已经找到。这个目录不是直接从website.This检查一下常见的敏感资源，如备份目录链接，数据库转储，管理页面，临时目录。这些目录中的每一个可以帮助攻击者更多地了解他的目标。10．描述7/71虚拟主机是一台服务器（或服务器池）上托管多个域名（每名独立处理）的方法。这允许一个服务器共享它的资源，诸如存储器和处理器周期，而无需提供使用相同的主机名的所有服务。这个Web服务器响应不同，当主机头操纵以及各种常见的虚拟主机进行测试。这可能表明有一个虚拟主机存在。11.描述此cookie不具备HTTPOnly标志设置。当一个cookie设置与HTTPOnly标志，它指示该cookie只能由服务器而不是由客户端脚本访问的浏览器。这是一个会话cookie的一个重要的安全保护。12.描述当一个新的名称，并输入密码的形式和提交表单时，浏览器会询问密码应该是saved.Thereafter显示表单时，该名和密码自动填充或完成输入名称。与本地访问攻击者可以从浏览器缓存中获取明文密码。2.安全评估2.1.高危漏洞：1.影响恶意用户可能注入的JavaScript，VBScript中，的ActiveX，HTML或Flash成为一个易受攻击的应用程序来欺骗用户，以便从他们那里收集数据。攻击者可以窃取会话cookie并接管帐户，冒充用户。另外，也可以修改呈现给用户的网页的内容。2.影响攻击者可以导致堆内存缓冲区溢出的工作进程通过使用特制的请求，可能导致任意代码执行。3.影响攻击可以包括公开本地文件，其中可能包含敏感数据，如密码或用户的私人数据，使用文件：系统识别计