網(wǎng)站風(fēng)險評估報告——《信息安全工程》課程報告課程名稱 信息安全工程班 級專 業(yè) 信息安全任課教師學(xué) 號姓 名1 / 71

網(wǎng)站風(fēng)險評估報告

——《信息安全工程》課程報告

課程名稱 信息安全工程

班 級

專 業(yè) 信息安全

任課教師

學(xué) 號

姓 名

1 / 71

,

目錄

封面-------------------------------------------------------------------------1 目錄-------------------------------------------------------------------------2 一、評估準(zhǔn)備-------------------------------------------------------------3 1、安全評估準(zhǔn)備-----------------------------------------------------3 2、安全評估范圍-----------------------------------------------------3 3、安全評估團(tuán)隊-----------------------------------------------------3 4、安全評估計劃-----------------------------------------------------3 二、風(fēng)險因素評估-------------------------------------------------------3

1．威脅分析-----------------------------------------------------------3 1.1威脅分析概述--------------------------------------------------3

1.2威脅分析來源--------------------------------------------------4

1.3威脅種類--------------------------------------------------------4

2．安全評估-----------------------------------------------------------7

2.1高危漏洞--------------------------------------------------------7

2.2中級漏洞--------------------------------------------------------7

2.3低級漏洞--------------------------------------------------------8

三、綜述--------------------------------------------------------------------8

1.1具有最多安全性問題的文件--------------------------------9

1.2Web 風(fēng)險分布統(tǒng)計--------------------------------------------9

2.Web 風(fēng)險類別分布-----------------------------------------------10

3. 滲透測試------------------------------------------------------------10

4. 漏洞信息------------------------------------------------------------15

四、風(fēng)險評價-------------------------------------------------------------18

五、風(fēng)險控制建議-------------------------------------------------------19 附錄:------------------------------------------------------------------------22

2 / 71

,

一、評估準(zhǔn)備

1、安全評估目標(biāo)

在項(xiàng)目評估階段，為了充分了解SecurityTweets 這個網(wǎng)站的安全系數(shù)，因此需要對SecurityTweets 這個網(wǎng)站當(dāng)前的重點(diǎn)服務(wù)器和web 應(yīng)用程序進(jìn)行一次抽樣掃描和安全弱點(diǎn)分析，對象為SecurityTweets 全站，然后根據(jù)安全弱點(diǎn)掃描分析報告，作為提高SecurityTweets 系統(tǒng)整體安全的重要參考依據(jù)之一。

2、安全評估范圍

本小組將對如下系統(tǒng)進(jìn)行安全評估：

采用linux 系統(tǒng)的web 服務(wù)器（IP 地址：176.28.50.165）

采用nginx 服務(wù)器程序的web 站點(diǎn)

采用MySQL 的數(shù)據(jù)庫

3、安全評估團(tuán)隊

成員組成：

使用工具：

1、Acunetix Web Vulnerability Scanner

2、BurpSuite

4、安全評估計劃

1、此次針對網(wǎng)站的安全評估分為2個步驟進(jìn)行。第一步利用現(xiàn)有的優(yōu)秀安全評估軟件來模擬攻擊行為進(jìn)行自動的探測安全隱患；第二步根據(jù)第一步得出的掃描結(jié)果進(jìn)行分析由小組成員親自進(jìn)行手動檢測，排除誤報情況，查找掃描軟件無法找到的安全漏洞。

2、第一步我們采用兩種不同的滲透測試軟件對網(wǎng)站做總體掃描。采用兩種工具是因?yàn)檫@兩個工具的側(cè)重點(diǎn)不同，可以互為補(bǔ)充，使得分析更為精確。然后生成測試報告。

3、根據(jù)上一步生成的測試報告，由組員親自手動驗(yàn)證報告的可信性。

4、根據(jù)安全掃描程序和人工分析結(jié)果寫出這次安全評估的報告書。

二、風(fēng)險因素評估

1. 威脅分析

1.1. 威脅分析概述

本次威脅分析是對一個德國的SecurityTweets 網(wǎng)站進(jìn)行的。威脅分析包括的具體內(nèi)容有：威脅主體、威脅途徑、威脅種類。

3 / 71

,

1.2. 威脅來源

SecurityTweets 網(wǎng)站是基于Internet 體系結(jié)構(gòu)建立，網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)大都采用TCP/IP作為主要的網(wǎng)絡(luò)通訊協(xié)議，其自身提供了各種各樣的接口以供使用和維護(hù)，然而，這些接口同樣可能向威脅主體提供了攻擊的途徑：

1.3. 威脅種類：

1. 描述

這個腳本是可能容易受到跨站點(diǎn)腳本（XSS ）攻擊。

跨站點(diǎn)腳本（也被稱為XSS ）是一種漏洞，允許攻擊者發(fā)送惡意代碼（通常在Javascript 中的形式）給其他用戶。因?yàn)闉g覽器無法知道是否該腳本應(yīng)該是可信與否，它會在用戶上下文中，允許攻擊者訪問被瀏覽器保留的任何Cookie 或會話令牌執(zhí)行腳本。

雖然傳統(tǒng)的跨站點(diǎn)腳本漏洞發(fā)生在服務(wù)器端的代碼，文檔對象模型的跨站點(diǎn)腳本是一種類型的漏洞會影響腳本代碼在客戶端的瀏覽器。

4 / 71

,

2. 描述

基于堆的緩沖區(qū)溢出在nginx1.3.15的SPDY 執(zhí)行1.4.7和1.5.x 版本1.5.12之前之前允許遠(yuǎn)程攻擊者通過特制的請求執(zhí)行任意代碼。該問題影響的ngx_http_spdy_module模塊（默認(rèn)情況下不編譯），并編譯nginx 的 - 與調(diào)試配置選項(xiàng)，如果“聽”指令的“SPDY ”選項(xiàng)用于在配置文件中。

3．描述

您使用的是脆弱的Javascript 庫。一個或多個漏洞報告這個版本的JavaScript 庫。咨詢攻擊細(xì)節(jié)和Web 引用有關(guān)受影響的庫，并進(jìn)行了報道，該漏洞的詳細(xì)信息。

4. 描述

XML 支持被稱為“外部實(shí)體”，它指示XML 處理器來檢索和執(zhí)行內(nèi)嵌的設(shè)施包括XML 位于特定URI 的。一個外部XML 實(shí)體可以用來追加或修改與XML 文檔相關(guān)聯(lián)的文檔類型定義（DTD ）。外部XML 實(shí)體也可以用于對XML 文檔的內(nèi)容中包含的XML 。

現(xiàn)在假設(shè)XML 處理器解析數(shù)據(jù)從下攻擊者控制的一個光源發(fā)出。大多數(shù)時候，處理器將不會被確認(rèn)，但它可能包括替換文本從而引發(fā)意想不到的文件打開操作，或HTTP 傳輸，或任何系統(tǒng)IDS 的XML 處理器知道如何訪問。

以下是將使用此功能包含本地文件（/ etc / passwd文件）的內(nèi)容的示例XML 文檔

<？XML 版本=“1.0”編碼=“UTF-8”？>

<！DOCTYPE 的Acunetix[

<！實(shí)體acunetixent 系統(tǒng)“文件:/// etc / passwd文件”>

]>

＆acunetixent;

4. 描述

此警報可能是假陽性，手動確認(rèn)是必要的。

跨站請求偽造，也稱為一次單擊攻擊或會話騎馬和縮寫為CSRF 或者XSRF ，是一種類型的惡意攻擊網(wǎng)站即未經(jīng)授權(quán)的命令是從一個用戶，該網(wǎng)站信任傳遞的。

5 / 71

,

WVS 的Acunetix 找到一個HTML 表單與實(shí)施沒有明顯的CSRF 保護(hù)。詳細(xì)信息請咨詢有關(guān)受影響的HTML 表單的信息。

5. 描述

用戶憑據(jù)的傳送是在一個未加密的通道。這些信息應(yīng)該始終通過加密通道（HTTPS ），以避免被攔截惡意用戶轉(zhuǎn)移。

6. 描述

點(diǎn)擊劫持（用戶界面補(bǔ)救的攻擊，用戶界面補(bǔ)救攻擊，用戶界面救濟(jì)的權(quán)利）是誘騙網(wǎng)絡(luò)用戶點(diǎn)擊的東西從什么用戶會感覺到他們是點(diǎn)擊，從而有可能泄露機(jī)密資料，或利用其電腦同時控制不同的惡意技術(shù)點(diǎn)擊看似無害的網(wǎng)頁。

該服務(wù)器沒有返回的X 幀選項(xiàng)頭這意味著該網(wǎng)站可能是在點(diǎn)擊劫持攻擊的風(fēng)險。 X框，選擇HTTP 響應(yīng)頭可以被用于指示瀏覽器是否應(yīng)該被允許以呈現(xiàn)頁面中的或