满记餐饮管理深圳有限公司网站渗透测试报告_v1 0 NST-PET-MJCY-201707-01

报告编号： NST-PET-MJCY-201707-01渗透测试报告客户名称：满记餐饮管理（深圳）有限公司检测对象：网站实施单位：深圳市网安计算机安全检测技术有限公司提交日期：2017年07月10日声明文档信息文档名称满记餐饮管理（深圳）有限公司网站渗透测试报告版本v1.0编号NST-PET-MJCY-201707-01版本更新记录版本号更新日期负责人更新内容v1.02017.07.10童川、祁保青、吕梓炫、王东实施人员编写初稿v1.02017.07.10余觉非部门总监审阅并修改声明根据甲方（满记餐饮管理（深圳）有限公司）和乙方（深圳市网安计算机安全检测技术有限公司）签订的安全服务合同要求及双方约定，乙方在甲方的知允下对指定的对象实施渗透测试服务。本报告为本次渗透测试服务的输出结果，供甲方进行漏洞修补和安全加固参考，并进行安全风险规避，安全控制和管理。本报告的检测结论仅对被测对象当时的状态有效。当检测完成后，由于被测对象的系统变更，本报告不再适用。在任何情况下，若需引用本报告中的结果或结论都应保持其原有的意义，不得对相关内容擅自进行增加、修改和伪造或掩盖事实。版权所有 2001-2017深圳市网安计算机安全检测技术有限公司目录目录1.渗透测试概述21.1.测试目的21.2.参考标准21.3.测试范围21.4.实施日期及时间22.测试结果汇总22.1.主页/Index.php22.2.后台/Admin.php32.3.微信公众号“满记甜品系统测试”33.测试过程33.1.主页/Index.php33.1.1.信息收集33.1.2.验证测试53.2.后台/Admin.php63.2.1.信息收集63.2.2.验证测试83.3.微信公众号“满记甜品系统测试”93.3.1.信息收集93.3.2.验证测试104.附录A：部分测试项介绍125.附录B：项目组成员13版权所有 2001-2017深圳市网安计算机安全检测技术有限公司1. 渗透测试概述1.1. 测试目的渗透测试（Penetration Test）是指安全渗透测试者尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络/主机/数据库/应用的安全性作深入的探测，发现系统最脆弱的环节的过程。本次测试采用黑盒渗透测试方法，检验被测对象防范各类威胁的能力，并对所检测系统的整体安全状况作出具体分析和加固建议。1.2. 参考标准l OWASP Testing Guide v31.3. 测试范围序号对象名称IP/URL1.主页/Index.php2.后台/Admin.php3.微信公众号满记甜品系统测试1.4. 实施日期及时间实施日期实施时间2017年07月08日-2017年07月10日全天2. 测试结果汇总2.1. 主页/Index.php漏洞索引风险SQL注入漏洞测试本报告3.1.2第（1）节高2.2. 后台/Admin.php漏洞索引风险传输层保护不足本报告3.2.2第（1）节中2.3. 微信公众号“满记甜品系统测试”漏洞索引风险SQL注入漏洞测试本报告3.3.2第（1）节高3. 测试过程3.1. 主页/Index.php3.1.1. 信息收集1) IP和域名信息域名IP地址982) Google Hacking结果通过google搜索并未发现敏感目录或文件，获取的信息如下：截图：Google搜索结果3) 网站扫描器信息对被测网站进行网站扫描，未发现测试对象存在漏洞，通过分析扫描结果，认为误报的可能性较低，详细结果需要人工渗透测试进一步确认。截图：网站扫描结果4) 信息分析通过对收集的信息进行分析，未发现可以利用的Google Hacking信息，网站扫描器对被测站点扫描未发现存在漏洞，通过手工测试发现被测站点存在高危漏洞，针对上述发现的问题需要经过验证进行确认。3.1.2. 验证测试1) SQL注入漏洞测试 测试过程我方工程师通过手工测试，发现测试对象对用户提交的数据过滤不严，导致存在SQL注入漏洞。测试如下：:80/Index.php/Webchat/nearby?limit=10&radius=10&lat=22.539710103936873&lng=114.01953091350487截图：利用工具测试 风险分析SQL注入漏洞应属于极其危险的漏洞，攻击者可通过SQL注入漏洞对数据库进行查询、篡改等操作，甚至清空整个数据库。对系统方面，攻击者也可通过SQL注入漏洞结合数据库扩展执行系统命令，通过备份功能植入系统后门等危险操作，该风险等级为高。 修复建议SQL注入漏洞是由于网站开发时对用户提交查询参数缺少限制，因此，修补此类漏洞的最根本方法是由开发人员修改源程序。一般来讲，可通过以下2个方面实现：a)数据查询参数化：SQL 注入是由攻击者篡改查询数据以修改查询逻辑导致的，因此防止 SQL 注入攻击最好的方法是将查询逻辑与查询数据分离，可防止执行从用户输入插入的命令。b)验证用户输入的类型和格式：推荐使用白名单制将用户输入的内容定义为相关字段仅接受特定帐号或特定帐户类型，或其他字段仅接受整数或英文字母，可有效防止SQL注入。也有程序员习惯使用黑名单制，将已知的错误数据（如半角单引号、大于号、小于号、and、select、union、delete、drop、or等等）转义或过滤，但由于无法提前知道错误数据的所有形式，所以更推荐使用白名单机制。3.2. 后台/Admin.php3.2.1. 信息收集1) IP和域名信息域名IP地址982) Google Hacking结果通过google搜索并未发现敏感目录或文件，获取的信息如下：截图：Google搜索结果3) 网站扫描器信息对被测网站进行网站扫描，发现测试对象存在中危漏洞，通过分析扫描结果，认为误报的可能性较低，详细结果需要人工渗透测试进一步确认。截图：网站扫描结果4) 信息分析通过对收集的信息进行分析，未发现可以利用的Google Hacking信息，网站扫描器对被测站点扫描发现存在可被利用的中危漏洞，通过手工测试发现被测站点存在中危漏洞，针对上述发现的问题需要经过验证进行确认。3.2.2. 验证测试1) 传输层保护不足测试 测试过程通过网站扫描和手工测试，发现测试对象登录页面未使用安全的传输方式提交登录请求，测试如下：/Admin.php/Login/index截图: 不安全的登录请求 风险分析测试对象的用户登录过程中，用户登录名称和密码没有使用安全的传输方式进行提交，并且未对用户登录之类敏感信息（用户名、密码）进行有效加密。攻击者可能会用网络嗅探等方式获取登录信息，存在中危风险。 修复建议应对登录请求等敏感信息采取加密手段进行保护，使用HTTPS安全传输方式确保数据在传输过程中不会被泄露或窃取。3.3. 微信公众号“满记甜品系统测试”3.3.1. 信息收集1) IP和域名信息域名IP地址982) Google Hacking结果通过google搜索并未发现敏感目录或文件，获取的信息如下：截图：Google搜索结果3) 网站扫描器信息对被测网站进行网站扫描，未发现测试对象存在漏洞，通过分析扫描结果，认为误报的可能性较低，详细结果需要人工渗透测试进一步确认。截图：网站扫描结果4) 信息分析通过对收集的信息进行分析，未发现可以利用的Google Hacking信息，网站扫描器对被测站点扫描未发现存在漏洞，通过手工测试发现被测站点存在高危漏洞，针对上述发现的问题需要经过验证进行确认。3.3.2. 验证测试1) SQL注入漏洞测试 测试过程我方工程师通过手工测试，发现测试对象对用户提交的数据过滤不严，导致存在SQL注入漏洞。测试如下：:80/Index.php/Webchat/nearby?limit=10&radius=10&lat=22.539710103936873&lng=114.01953091350487截图：利用工具测试 风险分析SQL注入漏洞应属于极其危险的漏洞，攻击者可通过SQL注入漏洞对数据库进行查询、篡改等操作，甚至清空整个数据库。对系统方面，攻击者也可通过SQL注入漏洞结合数据库扩展执行系统命令，通过备份功能植入系统后门等危险操作，该风险等级为高。 修复建议SQL注入漏洞是由于网站开发时对用户提交查询参数缺少限制，因此，修补此类漏洞的最根本方法是由开发人员修改源程序。一般来讲，可通过以下2个方面实现：a)数据查询参数化：SQL 注入是由攻击者篡改查询数据以修改查询逻辑导致的，因此防止 SQL 注入攻击最好的方法是将查询逻辑与查询数据分离，可防止执行从用户输入插入的命令。b)验证用户输入的类型和格式：推荐使用白名单制将用户输入的内容定义为相关字段仅接受特定帐号或特定帐户类型，或其他字段仅接受整数或英文字母，可有效防止SQL注入。也有程序员习惯使用黑名单制，将已知的错误数据（如半角单引号、大于号、小于号、and、select、union、delete、drop、or等等）转义或过滤，但由于无法提前知道错误数据的所有形式，所以更推荐使用白名单机制。4. 附录A：部分测试项介绍 注入测试攻击者通过客户端提交恶意构造的SQL语句，来获取数据库中的敏感数据，修改数据库并执行数据库管理操作，在某些情况下能对操作系统执行系统命令。 跨站脚本测试XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的，如盗取用户密码、种植木马等操作。 路径遍历测试许多的Web应用程序一般会有对服务器的文件读取查看的功能，大多会用到提交的参数来指明文件名，形如：/getfile=image.jgp当服务器处理传送过来的image.jpg文件名后，Web应用程序即会自动添加完整路径，形如“d:/site/images/image.jpg”，将读取的内容返回给访问者。由于文件名可以任意更改而服务器支持“/”，“/.”等特殊符号的目录回溯，从而使攻击者越权访问或者覆盖敏感数据，如网站的配置文件、系统的核心文件。 弱口令测试弱口令指的是容易被别人猜测到或被破解工具破解的口令均为弱口令。例如“123”、“abc”等，并且大多程序是通过用户名和口令来作为身份验证机制。 敏感信息泄泄漏通过恶意构造URL地址让页面报错，从而得到服务器的敏感信息，如网站绝对路径、版本等，并使用工具扫描网站的备份文件，测试文件等，使攻击者能进一步的了解网站的结构 暴力破解测试暴力破解密码，其中一种是就是用某种暴力破解软件，一个接一个的试，直到试验出正确的密码，也称为穷举法，如使用XSCAN猜解FTP密码。 权限提升攻击者通过使用各种工具和技术，使用他们可获得从Guest到SYSTEM不等的访问权限。常见如Windows Linux本地溢出漏洞，应用程序FTP SERV-U本地提权等。 配置缺陷测试目标网站应用程序若设置不当，会产生目录浏览，IIS写入，数据库文件泄漏等漏洞，通过这些配置缺陷可查看网站根目录下所有文件，并能直接PUT脚本木马，达到控制网站的目的。5. 附录B：项目组成员对于报告中的疑问或修补过程中遇到问题，请随时致电网安公司寻求技术支持，公司电话83763789。