2024网站渗透测试报告.docx

上传人:王** 文档编号:1351862 上传时间:2024-06-21 格式:DOCX 页数:21 大小:59.85KB
下载 相关 举报
2024网站渗透测试报告.docx_第1页
第1页 / 共21页
2024网站渗透测试报告.docx_第2页
第2页 / 共21页
2024网站渗透测试报告.docx_第3页
第3页 / 共21页
2024网站渗透测试报告.docx_第4页
第4页 / 共21页
2024网站渗透测试报告.docx_第5页
第5页 / 共21页
2024网站渗透测试报告.docx_第6页
第6页 / 共21页
2024网站渗透测试报告.docx_第7页
第7页 / 共21页
2024网站渗透测试报告.docx_第8页
第8页 / 共21页
2024网站渗透测试报告.docx_第9页
第9页 / 共21页
2024网站渗透测试报告.docx_第10页
第10页 / 共21页
亲,该文档总共21页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《2024网站渗透测试报告.docx》由会员分享,可在线阅读,更多相关《2024网站渗透测试报告.docx(21页珍藏版)》请在优知文库上搜索。

1、网站渗透测试报告XXX公司2024年3月文档控制文档基本信息项目名称文档名称创建者审核创建时间2024年X月XX日审核时间2024年X月XX日文档修订信息版本修正章节日期作者变更记录1.0全部创建1.1部分增加目录3一 .概述61.1 背景61.2 范围61.3 原则61.4 目的61.5 所用工具7二 .测试概述8三 .渗透测试结果93. 1HTTP慢速拒绝服务攻击91) 漏洞简介92) UR1./IP.93) 漏洞验证94) 风险分析105) 风险等级106) 安全建议103.2XSS13D漏洞简介134) 风险分析145) 风险等级146) 安全建议143.3 受诫礼(BAR-MITZV

2、AH)攻击161) 漏洞简介162) UR1./IP.163) 漏洞验证164) 风险分析175) 风险等级176) 安全建议173.4 目录便利171) 漏洞简介172) UR1./IP.183) 漏洞验证184) 风险分析185) 风险等级186) 安全建议183. 5内网IP地址泄露191) 漏洞简介192) UR1./IP.194) 风险分析195) 风险等级196) 安全建议19四.整体风险评价201.l背景受XX的委托,XX公司于2024年X月XX日对其门户网站进行了渗透测试。1.2范围经过和项目组的沟通,确定了下列信息资产作为渗透测试的对象。对象名称域名或IPXXXhttp:/l

3、http:/2http:/31. 3原则3渗透测试具有一定的风险,为把风险降至最低,需遵守一定原则,这也是本次测试中测试组所遵守的最高准则,一切测试行为都是在不违背此原则的情况下进行的。该原则具体如下:保证测试操作在不影响目标业务正常运营的情况下进行,对目标(包括目标配置信息、数据库信息、文件信息等)只进行读取操作,禁止进行写入操作,或者只在负责人允许的范围内进行写入操作。但由于本次测试是在黑盒模式下进行,程序逻辑对于测试人员不透明,因此,测试人员只在己知的逻辑范围内遵守以上原则,同时也承认风险的存在。1.4目的通过模拟黑客的渗透测试,评估目标系统是否存在可以被攻击者真实利用的漏洞以及由此引起

4、的风险大小,为制定相应的安全措施与解决方案提供实际的依据。本次渗透测试验证目标系统抵御非法入侵和攻击行为的能力,并非完整的安全测试或漏洞审计。因此,本次测试所涉及的漏洞是网站所有漏洞的子集,而非全部。1.5所用工具工具名称工具简介IBMAppScan是一个面向Web应用安全检测的自动化工具,使用它可以自动化检测Web应用的安全漏洞,比如跨站点脚本攻击(CrossSiteScriptingFlaws)、注入式攻击(InjectionFlaws)、失效的访问控制(BrOkenAccessControl)缓存溢出问题(BUfferOverflows)等等。这些安全漏洞大多包括在OWASP(OpenW

5、ebApplicationSecurityProject,开放式Web应用程序安全项目)所公布的Web应用安全漏洞中。WWWSCAN款优秀的网站目录扫描工具。虽然扫描速度并不快,但是运行相当稳定。配合渗透测试团队多年积累的数据字典,挖掘隐藏目录的能力非常强大。NosecPangolin诺赛科技出品的一款强大的SQ1.注入工具,支持多种网站环境。另外附带了MD5破解,网站后台扫描功能。Nessus一款B/S构架的系统漏洞扫描工具,它的运行依赖于插件,扫描速度快,更新及时。NSFOCUSRSAS绿盟远程安全评估系统(简称:NSFOCUSRSAS)是绿盟科技开发的漏洞管理产品,通过该产品能够发现信息

6、系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,并形成整体安全风险报告。AWVSAcunetixWebVulnerabilityScanner(简称AwVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。Jsky提供网站漏洞扫描服务,能够有效的查找出网站中的漏洞;并提供网站漏洞检测服务。Sqlmap一款高级渗透测试用的自动化SQ1.注入工具,其主要功能是扫描,发现并利用给定的UR1.进行SQ1.注入漏洞。Burpsuite是用于攻击WEB应用程序的继承平台,它包含了许多工具,并为这些工具设计了许多

7、接口,以促进加快攻击应用程序的过程。MetasploitMetasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在MetaSPIoit和综合报告提出了他们的发现二.测试概述本次针对XXX进行的渗透测试工作共发现存在安全漏洞6个,其中高风险漏洞3个,中风险漏洞1个,低风险漏洞2个。建议根据本次测试结果中的安全建议进行整改加固,以提高网络的整体安全性。序号应用漏洞名称风险分析数量级别1HTTP慢速拒绝服务攻击堵塞We

8、b服务,让所有浏览该网站的人无法正常访问该网站,影响请求当前应用服务的所有用户已经当前应用服务本身。I2XSS影响目标网站用户,易造成账户失窃;数据信息被读取、篡改、添加或者删除;非法转账;强制发送电子邮件;受控向其他网站发起攻击等。13XXX受诫礼(BARMITZVAH)攻击明文窃取通过SS1.和T1.S协议传输的机密数据,诸如银行卡号码,密码和其他敏感信息。1I4目录便利攻击者可以直接访问网站的目录,从而可以了解网站整体框架,降低攻击成本。1中5内网IP地址泄露使得攻击者能够进一步的内网业务及应用,从而降低攻击成本。2低I三.渗透测试结果3.1 HTTP慢速拒绝服务攻击D漏洞简介拒绝服务攻

9、击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为网络协议本身的安全缺陷,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把非法用户的连接复位,影响合法用户的连接。2)UR1./IPhttp:/3)漏洞验证hi,真不巧,网页走丢了。图1漏洞证明截图图2漏洞证明截图4)风险分析堵塞W

10、eb服务,让所有浏览该网站的人无法正常访问该网站,影响请求当前应用服务的所有用户已经当前应用服务本身。严重情况可导致服务器宕机。5)风险等级高6)安全建议购买必要的防ddos攻击硬件设备针对不同的Server其对慢速http拒绝服务攻击防范方法也不同,建议使用以下措施防范慢速http拒绝服务攻击:WebSphere1、限制HTTP数据的大小在WebSPhereApplicationServer中进行如下设置:任何单个HTTP头的默认最大大小为32768字节。可以将它设置为不同的值。HnP头的默认最大数量为500可以将它设置为不同的限制值。另一种常见的DOS攻击是发送一个请求,这个请求会导致一个

11、长期运行的GET请求。WebSphereApplicationServerPlug-in中的ServerIOTimeoutRetry属性可限制任何请求的重试数量。这可以降低这种长期运行的请求的影响。设置限制任何请求正文的最大大小。详见参考链接。2、设置keepalive参数打开ibmhttpSerVer安装目录,打开文件夹Conf,打开文件httpd.conf,查找KeepAlive值,改ON为OFF,其默认为ONo这个值说明是否保持客户与HnPSERVER的连接,如果设置为ON,则请求数到达MaxKeepAliveRequests设定值时请求将排队,导致响应变慢。Weblogic1、在配置管

12、理界面中的协议-一般信息下设置完成消息超时时间小于4002、在配置管理界面中的协议-H11P下设置POST超时、持续时间、最大POST大小为安全值范围。Nginx1、通过调整$正口肥Stjnethod,配置服务器接受http包的操作限制;2、在保证业务不受影响的前提下,调整ClientJnaX_body_size,client_body_buffer_size,client_header_buffer_size,large_cIient_header_buffersclient_body_timeout,client_header_timeout的值,必要时可以适当的增加;3、对于会话或者相同

13、的ip地址,可以使用HttP1.imitReqMOdUIeandHttp1.imitzoneMoclule参数去限制请求量或者并发连接数;4、根据CPU和负载的大小,来配置WorkejProCeSSeS和worker_connections的值,公式是:max_cIients=worker_processes*worker_connectionsoApache建议使用mod_reqtimeout和mod_qos两个模块相互配合来防护。1、mod_reqtimeout用于控制每个连接上请求发送的速率。配置例如:# 请求头部分,设置超时时间初始为10秒,并在收到客户端发送的数据后,每接收到500字

14、节数据就将超时时间延长1秒,但最长不超过40秒。可以防护Slowloris型的慢速攻击。RequestReadTimeoutheader-10-40,minrate=500# 请求正文部分,设置超时时间初始为10秒,并在收到客户端发送的数据后,每接收到500字节数据就将超时时间延长1秒,但最长不超过40秒。可以防护slowmessagebody型的慢速攻击。RequestReadTimeoutbody=10-40,minrate=500需注意,对于HnPS站点,需要把初始超时时间上调,比如调整到20秒。2、m。C1.qoS用于控制并发连接数。配置例如:# 当服务器并发连接数超过600时,关闭keepaliveQS_SrVMaxConnClose600# 限制每个源IP最大并发连接数为50QS-SrvMaxConnPerIP50这两个数值可以根据服务器的性能调整。IHS服务器请您先安装最新补丁包,然后启用mod_reqtimeout模块,在配置文件中加A:1.oadModulereqtimeout_modu1emodules/mod_reqtimeout.so为mod_reqtimeout模块添加配置:# IfModulemod_reqtimeout.cRequestReadTimeoutheader-10-40,MinRate=500body-10-40,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > IT计算机 > Web服务

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!