中国石化AppScan安全测试报告Word下载.doc

中国石化AppScan安全测试报告Word下载.doc

《中国石化AppScan安全测试报告Word下载.doc》由会员分享，可在线阅读，更多相关《中国石化AppScan安全测试报告Word下载.doc（6页珍藏版）》请在冰豆网上搜索。

1.2针对中国石化资金集中管理信息系统应用特点的安全测试设置

针对于中国石化资金集中管理信息系统应用的以上特点，并结合实际使用情况分为三种场景进行测试，测试内容选择了系统的功能1和功能2：

1）使用用户名/密码，但不进行登陆验证：

此场景如同一般用户登陆系统，但不进行登陆验证，即不判断针对特殊应用安全的登陆，是否存在安全问题。

2）使用用户名/密码，进行登陆验证：

此场景选择正常用户登陆系统，进行登陆验证，即判断针对特殊应用安全的登陆，是否存在安全问题。

3）基于不同角色登陆处理：

结合权限较高的admin用户和权限较低的cqusr1用户进行登陆，除了常规的安全的检测，特别还要针对跨权限的安全访问进行判断。

通过以上的配置，结合AppScan的登陆设置就可以了。

2.测试结果简析

结合以上的三个场景，针对部分功能进行安全测试后，初步获得以下测试结果。

2.1整体内容分析

场景内容

安全问题总计

问题分类及数量

场景1：

用户名/密码登陆，无登陆验证

访问192url，发现60问题

严重:

2类/16个

中等:

2类/3个

低等:

3类/6个

泄漏：

4类/35个

场景2：

用户名/密码登陆，进行登陆验证

访问243url，发现104问题

3类/22个

3类/36个

4类/43个

场景3：

分角色用户登陆

访问192url，发现69问题

3类/23个

4类/37个

3.严重安全问题分析及修改建议

3.1XSS跨站点脚本攻击漏洞

问题概述：

黑客可以应用此漏洞，获取最终用户信息，并基于此进行伪装，进行攻击。

url:

http:

//10.1.19.92:

40001/wfProject/jsp/app/sinopec/wf/loan/commissionedLoanApply.jsp

40001/wfProject/jsp/app/sinopec/wf/loan/loanApply.jsp

40001/wfProject/jsp/app/sinopec/wf/tongye/RMBOverdraftApply.jsp

40001/wfProject/jsp/app/sinopec/wf/tongye/RMBchaijieApply.jsp

测试方式：

在参数中增加javascript:

alert（134108）处理，可执行url

修改方法：

修改对于参数的处理，将无效值进行排除。

3.2注入漏洞

黑客可以应用此漏洞，获取交易信息。

url：

40001/wfProject/jsp/app/netbank/common/customDropDownDict.jsp

在httprequest中填写foobar=foobar之类内容进行攻击

修改httpparameter处理，将无效内容过滤

3.3JBoss管理控制台打开

对于jboss控制台没有进行控制。

40001/

直接进行访问即可

如果上线，此控制台建议关闭或者设置安全。

3.4跨权限设置访问

登陆用户，即可不受权限限制，通过url直接访问用户管理。

40001/wfProject/jsp/app/acountmanager/interestBill.jsp

40001/wfProject/jsp/app/acountmanager/outlayBill.jsp

40001/wfProject/jsp/app/acountmanager/paymentBill.jsp

40001/wfProject/jsp/app/acountmanager/reciveBill.jsp

40001/wfProject/jsp/app/netbank/common/bankInfo.jsp

40001/wfProject/servlet/dataengine

采用权限较低用户，可以访问用户管理内容。

一定要配置用户授权内容。

4.总结

详细内容请详见通过AppScan生成的测试结果，并针对其进行修改。

针对此次扫描的情况建议：

1）将应用的授权进行设置，保障不同角色能够针对的不同功能的角色权限。

2）防止XSS以及SQL注入攻击，对于httpparameter进行过滤和控制。

3）设置登陆处理逻辑，比如对用户登陆账户设置访问三次后冻结/Session不可重用等登陆处理逻辑。

本次安全测试工作，只是选择了部分功能，针对jboss的测试部署环境进行的，本应用一定还包括大量其他问题，等待进行验证和处理。

IBMRationalAppScan