网站安全性检测
来源:互联网 发布:训练眼睛的软件 编辑:程序博客网 时间:2024/06/05 23:40
1、任务描述
这个任务最初是由众友赛微的石文芳进行描述的:XX公司经过这几年的建设,在公司内部建立了以.net技术为基础的办公网络,办公网络可能在使用上最近考虑要在集团推广,会向公网暴漏,因此XX公司考虑需要看看其安全性到什么程度,以便决定是否需要加强安全性,再适合的时候再向公网开放。XX公司已向IBM等公司进行了前期咨询,IBM公司报价这一整套安全性检测做下来需要上千万的费用,远远超于XX公司的预算,因此XX公司希望我们作为合作伙伴,能够承接这一项目。目前XX公司对办公网络的安全性检测需要深入到什么程度、如何做等问题没有任何认识。
2、我方在网站安全性检测方面的基本技术储备及经验等情况
我方在发展历程中在这方面拥有以下基础:
1、公司建设项目基本都是基于BS开发的,因此在网站安全性建设方面以一定经验,但是并没有严格按照网站安全性建设方面的专家级要求进行过内部梳理,没有建立一套完整的安全性测试、管理体系。
2、因为受限于公司规模、成本等问题,目前公司没有专业的安全监测人员。公司主要技术人员拥有多年工作经验,在网站安全性检测方面或多或少拥有一部分经验。
3、公司没有自己开发的专业的安全性检测工具。但是目前网络上开放的网站安全性检测工具倒是有不少。
4、公司在java方面的经验多于.net技术方面的经验。而作为BS开发的两大技术语言,java和.net有很多共通性。
3、前期处理及需求分析工作
由于客户的需求并不明确,商务人员缺乏专业技术能力,在转述过程中不能准确描述需求,因此,我方安排了商务人员、技术达人和XX公司的相关技术人员、管理人员进行了2~3轮的需求沟通。沟通内容包括:
1、XX公司在构建公司内部办公网络时采用的基本技术。结果:主要采用了.net技术,客户端采用了第三方的上传组件、第三方的用户信息保存组件,服务端采用了第三方的工作流组件。
2、XX公司对于目前需要测试的办公网络进行了演示(主要的功能操作演示)。
3、XX公司对目前需要安全测试的办公网络中的测试范围按照模块进行了确定。这主要是因为目前这套办公网络在实际建设过程中分为很多子模块,有些子模块跟系统关联很紧密,即使办公网络主体发布在测试环境,这些子模块也很难剥离发布测试版本,在测试环境的办公网络也会对这些子模块的生产数据产生影响。因此需要确定测试边界,以避免对生产数据产生干扰。
4、经过与XX沟通,XX同意在期公司内部搭建一套测试用的办公网络,通过远程桌面共享出来,这样我方工作人员可在我方办公场所远程连接后进行测试工作,这样做一方面解决了要为测试人员安排工作位置、硬件设备等问题,另一方面我方拥有的测试工具可以比较顺畅地使用,不受限于XX公司安保条件的限制,并且在工作过程中,我方的测试工具不会对XX公司的网络、硬件产生直接影响或者破坏、增加负担,而且避免了测试中间结果泄露等问题。
5、双方经过协商,测试前期由我方先期提出测试方案,方案包括以下主要内容:
》检测基本情况说明
》检测实施原则
》web安全原理及其安全方面说明
》web安全检测项目逐项描述、说明及其危害说明、检测办法说明
》web安全检测项目列表
》风险规避
》安全检测的交付件说明
6、最终检测结果以安全检测的交付件——《web安全检测报告》为最终结果。
4、检测过程
检测依照孙振强编写的《XX公司web系统安全监测方案》进行。方案主题内容按照上面的主要内容编写,具体检测项目如下列表:
检测过程的实施按照上表中的项目实施,具体使用工具、方法在《方案》都有较为具体的描述,我方按照《方案》,总计花费了约半个月的时间进行了检测工作。
5、工作成果。
检测最终形成了《XX公司Web系统安全检测报告》,初版由我编写,经由检测方案编写人孙振强、商务人员李臻宇及其他干系人共同审验修改后发版,作为交付物交付客户。
为保证信息传送准确,我和商务人员与XX公司的技术负责人进行了交付会议,对检测结果进行了详细说明。
XX公司对检测结果表示满意。
后续工作由商务人员持续跟进。
这个任务最初是由众友赛微的石文芳进行描述的:XX公司经过这几年的建设,在公司内部建立了以.net技术为基础的办公网络,办公网络可能在使用上最近考虑要在集团推广,会向公网暴漏,因此XX公司考虑需要看看其安全性到什么程度,以便决定是否需要加强安全性,再适合的时候再向公网开放。XX公司已向IBM等公司进行了前期咨询,IBM公司报价这一整套安全性检测做下来需要上千万的费用,远远超于XX公司的预算,因此XX公司希望我们作为合作伙伴,能够承接这一项目。目前XX公司对办公网络的安全性检测需要深入到什么程度、如何做等问题没有任何认识。
2、我方在网站安全性检测方面的基本技术储备及经验等情况
我方在发展历程中在这方面拥有以下基础:
1、公司建设项目基本都是基于BS开发的,因此在网站安全性建设方面以一定经验,但是并没有严格按照网站安全性建设方面的专家级要求进行过内部梳理,没有建立一套完整的安全性测试、管理体系。
2、因为受限于公司规模、成本等问题,目前公司没有专业的安全监测人员。公司主要技术人员拥有多年工作经验,在网站安全性检测方面或多或少拥有一部分经验。
3、公司没有自己开发的专业的安全性检测工具。但是目前网络上开放的网站安全性检测工具倒是有不少。
4、公司在java方面的经验多于.net技术方面的经验。而作为BS开发的两大技术语言,java和.net有很多共通性。
3、前期处理及需求分析工作
由于客户的需求并不明确,商务人员缺乏专业技术能力,在转述过程中不能准确描述需求,因此,我方安排了商务人员、技术达人和XX公司的相关技术人员、管理人员进行了2~3轮的需求沟通。沟通内容包括:
1、XX公司在构建公司内部办公网络时采用的基本技术。结果:主要采用了.net技术,客户端采用了第三方的上传组件、第三方的用户信息保存组件,服务端采用了第三方的工作流组件。
2、XX公司对于目前需要测试的办公网络进行了演示(主要的功能操作演示)。
3、XX公司对目前需要安全测试的办公网络中的测试范围按照模块进行了确定。这主要是因为目前这套办公网络在实际建设过程中分为很多子模块,有些子模块跟系统关联很紧密,即使办公网络主体发布在测试环境,这些子模块也很难剥离发布测试版本,在测试环境的办公网络也会对这些子模块的生产数据产生影响。因此需要确定测试边界,以避免对生产数据产生干扰。
4、经过与XX沟通,XX同意在期公司内部搭建一套测试用的办公网络,通过远程桌面共享出来,这样我方工作人员可在我方办公场所远程连接后进行测试工作,这样做一方面解决了要为测试人员安排工作位置、硬件设备等问题,另一方面我方拥有的测试工具可以比较顺畅地使用,不受限于XX公司安保条件的限制,并且在工作过程中,我方的测试工具不会对XX公司的网络、硬件产生直接影响或者破坏、增加负担,而且避免了测试中间结果泄露等问题。
5、双方经过协商,测试前期由我方先期提出测试方案,方案包括以下主要内容:
》检测基本情况说明
》检测实施原则
》web安全原理及其安全方面说明
》web安全检测项目逐项描述、说明及其危害说明、检测办法说明
》web安全检测项目列表
》风险规避
》安全检测的交付件说明
6、最终检测结果以安全检测的交付件——《web安全检测报告》为最终结果。
4、检测过程
检测依照孙振强编写的《XX公司web系统安全监测方案》进行。方案主题内容按照上面的主要内容编写,具体检测项目如下列表:
序号
类型
级别
检测项
输入项
1
Web程序
严重
发现.zip、.rar、.gz等打包文件
源代码排查
2
严重
发现SVN版本控制信息文件
源代码排查
3
严重
发现文件上传漏洞
工具监测
4
严重
发现源码泄露
源代码排查
5
严重
服务器配置信息泄露
工具监测
6
严重
缓存溢出(Buffer Overflow)
性能测试
7
严重
网站敏感文件可被下载
工具监测
8
高危
HTTP头部注入漏洞
工具监测
9
高危
SQL注入漏洞(盲注)
工具监测
10
高危
参数篡改(Parameter Tampering)
脚本排查
11
高危
非法读取用户信息
脚本排查
12
高危
网站“被拖库”风险
源代码排查
13
高危
网站数据库泄露
源代码排查
14
高危
跨站脚本xss监测
源代码排查
15
高危
网站用户资料泄露
脚本排查
16
提示
发现SQL报错信息泄露漏洞
脚本排查
17
警告
页面异常导致本地路径泄漏
脚本排查
18
服务器
严重
IIS 7.0/7.5服务器PHP解析漏洞
工具监测
19
高危
IIS4\IIS5 CGI环境块伪造漏洞
工具监测
20
高危
OpenSSL“心脏出血”漏洞
工具监测
21
高危
服务器漏洞检测
登陆系统排查
22
高危
服务器写功能开启漏洞
登陆系统排查
23
高危
XPATH注入漏洞
登陆系统排查
24
高危
非法执行任意代码
脚本排查
25
高危
黑客入侵内容检测
登陆系统排查
26
高危
开启了匿名FTP
工具监测
27
高危
目录启用了写权限漏洞
登陆系统排查
28
警告
发现目录开启了可执行文件运行权限
登陆系统排查
29
警告
发现目录启用了自动目录列表功能
登陆系统排查
30
警告
同主机网站安全
脚本排查
31
提示
IIS短文件名泄露漏洞
脚本排查
32
提示
发现Java错误信息
脚本排查
33
提示
发现服务器启用了DELETE Method
登陆系统排查
34
提示
发现服务器启用了Frontpage扩展
登陆系统排查
35
提示
发现服务器启用了TRACE Method
登陆系统排查
36
提示
发现服务器启用了TRACK Method
登陆系统排查
37
提示
发现可访问的敏感文件
源代码排查
38
网络
严重
防CC攻击
设备检查
39
严重
防DDoS攻击
设备检查
40
提示
开放端口检测
脚本排查
检测过程的实施按照上表中的项目实施,具体使用工具、方法在《方案》都有较为具体的描述,我方按照《方案》,总计花费了约半个月的时间进行了检测工作。
5、工作成果。
检测最终形成了《XX公司Web系统安全检测报告》,初版由我编写,经由检测方案编写人孙振强、商务人员李臻宇及其他干系人共同审验修改后发版,作为交付物交付客户。
为保证信息传送准确,我和商务人员与XX公司的技术负责人进行了交付会议,对检测结果进行了详细说明。
XX公司对检测结果表示满意。
后续工作由商务人员持续跟进。
阅读全文
