人才库系统安全测试报告

人才库系统安全测试报告书

目录1简介 31.1 编写目的 31.2 项目背景 31.3 系统简介 31.3.1建设思路 31.3.2总体建构 42测试概要 42.1测试范围 42.2测试方法和测试工具 52.2.1验证输入安全 52.2.2访问控制安全 52.2.3认证与会话管理 52.2.4缓冲区溢出 52.2.5不安全的配置管理 52.2.6注入式漏洞 62.2.7不恰当的异常处理 62.2.8跨站脚本（XSS） 62.2.9测试工具介绍 62.3测试环境配置 73测试组织 73.1测试人员 73.2测试时间细分及投入人力 84测试结果和结论 84.1测试结果 84.2问题整改 84.3测试结论 9

1简介编写目的本报告为中国人才信息综合管理系统的安全测试报告，目的在考察系统安全性。项目背景为深入贯彻落实中央、省委、市委关于人才工作的要求和部署，以开放视野和创新政策广纳天下英才，服务全面创新改革驱动转型发展。落实市“人才新政”战略，做实区英才政策、中国自由贸易区高层次人才12条措施及配套政策，加快本区域人才队伍建设，推动区、中国自由贸易试验区片区、四川(长江)经济开发区产业发展，启动建设中国人才信息综合管理系统。系统简介1.3.1建设思路本项目的总体建设思路为“一网、一库、一中心、一平台、一门户、N应用、M场景”，即一个高层次人才大数据采集网、一个高层次人才大数据库、一个高层次人才大数据中心、一个高层次人才大数据平台、N个高层次人才管理应用、M个高层次人才大数据应用场景。1.3.2总体建构2测试概要2.1测试范围本文报告了本次测试的汇总数据，测试评价及测试结论。2.2测试方法和测试工具中国人才信息综合管理系统主要使用了输入安全、访问控制安全、认证与会话管理、缓冲区溢出、拒绝服务、不安全的配置管理、注入式漏洞等安全测试方案。针对以上提供的测试方案进行对应的测试用例和测试脚本编写，并使用Websecurify作为测试工具。2.2.1验证输入安全中国人才信息综合管理系统主要对没有被验证的输入进行如下测试：数据类型（字符串，整型，实数，等）、允许的字符集、最小和最大的长度、是否允许空输入、参数是否是必须的、重复是否允许、数值范围、特定的值（枚举型）、特定的模式（正则表达式）。2.2.2访问控制安全验证用户身份以及权限的页面，复制该页面的url地址，关闭该页面以后，查看是否可以直接进入该复制好的地址例：从一个页面链到另一个页面的间隙可以看到URL地址直接输入该地址，可以看到自己没有权限的页面信息。2.2.3认证与会话管理测试是否对Grid、Label、Treeview类的输入框进行验证，输入的内容是否会按照html语法解析出来。2.2.4缓冲区溢出测试系统是否有加密关键数据。例：view－source：http地址可以查看源代码，在页面输入密码，页面显示的是*****,点击鼠标右键，查看源文件就可以看见刚才输入的密码。2.2.5不安全的配置管理测试Config配置中的链接字符串以及用户信息，邮件，数据存储信息是否进行加密保护，程序员应该配置所有的安全机制，关掉所有不使用的服务，设置角色权限帐号，使用日志和警报。2.2.6注入式漏洞一个验证用户登陆的页面，如果使用的sql语句为：Select*fromtableAwhereusername＝’’+username+’’andpassword…..Sql输入‘or1＝1――就可以不输入任何password进行攻击或者是半角状态下的用户名与密码均为：‘or’‘=’。2.2.7不恰当的异常处理测试程序在抛出异常的时候给出了比较详细的内部错误信息，是否暴露了不应该显示的执行细节，网站是否存在潜在漏洞。2.2.8跨站脚本（XSS）攻击者使用跨站脚本来发送恶意代码给没有发觉的用户，窃取他机器上的任意资料。测试方法：●HTML标签：<…>…</…>●转义字符：&(&)；<(<)；>(>)；(空格)；●脚本语言：<script.language=‘javascript’>…Alert(‘’)</script>●特殊字符：‘’<>/●最小和最大的长度●是否允许空输入2.2.9测试工具介绍工具名称用途WebsecurifyScanner用于测试系统安全漏洞Nmap用于进行端口扫描BurpSuite用于进行网络漏洞扫描2.3测试环境配置在此次项目的测试中，所使用到的环境和配置见下表：硬件环境序号服务器厂商/型号配置/数量操作系统1Web服务器Dell/r730内存：16G；磁盘：100G；cpu：1颗Centos6.52数据库服务器Dell/r730内存：16G；磁盘：500G；cpu：1颗Centos6.5软件环境序号系统软件厂商版本1TomcatApache7.0.682Mysql

Oracle5.63测试组织3.1测试人员序号姓名角色职责1测试组长负责安排测试任务2测试员负责具体系统模块安全测试3测试员负责具体系统模块安全测试3.2测试时间细分及投入人力以下为测试过程中多个测试轮次的时间和人员安排以及工作内容的简单描述：子系统/子模块起止日期总天数测试人员系统登录2019.3.12-2109.3.121人才认定2019.3.12-2109.3.165人才招引2019.3.13-2109.3.153人才服务2019.3.16-2109.3.194人才管理2019.3.15-2109.3.1844测试结果和结论4.1测试结果测试过程共发现问题：38个。共解决问题：38个。未解决问题：0个。4.2问题整改4.2.1XSS攻击漏洞修复漏洞发现：本次页面在用户文档管理、新闻管理等发现18个漏洞漏洞修复：修复涉及后台java代码，对所有需要写入数据库接口参数，进行特殊字符转义处理，比如将<转义为>，>转义为<防止前端页面读取到特殊字符后执行script脚本。4.2.2SQL注入漏洞修复漏洞发现：本次后台发现15处sql注入漏洞。漏洞修复：修复涉及后台java代码以及sql语句。1：对所有前台JavaScript传入的sql查询参数，统一拦截并将多余空格删除。2：对参数中的特殊字符进行转义处理。3：对mybatis查询框架全部启动预编译功能，使用#{}传参方法代替${}传参方式。4.2.3用户敏感数据未加密传输漏洞修复漏洞发现：本次发现用户敏感数据未加密传输共计5个，涵盖用户注册、企业用户注册、用户登录、企业用户登录、用户密码修改。漏洞修复：漏洞修改涉及前端javascript代码及后台java代码，将原有的明文提交方式修改为分段加密提交方式。1：前端页面向服务器申请RSA非对称加密公钥:2：服务器随机生成一对非对称RSA公钥和私钥，并将公钥返回前端页面3：前端页面使用获取的动态RSA加密公钥对用户账号、登录密码等敏感信息进行加密。4：前端页面对公钥进行MD5加密后获取公钥的指纹码信息。4：前端页面向后端服务器提交指纹码和加密信息。5：服务器对密文进行解密后进行业务逻辑处理。6：服务器解密完成之后立即销毁公钥与私钥，防止其他网络用户使用相同的公钥进行攻击。4.2.4MySql登录口令安全策略根据客户要求取消MySql登录口令复杂密码设置。系统原设置用户密码长度必须超过6位，内容必须包含数字、大小写字母和特殊符号，现因客户要求对前台注册密码不做限