




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
EOSPlatform7.2安全測試報告/第15頁共15頁PRIMETONTECHNOLOGIES,LTD.上海普元信息技術(shù)有限責(zé)任公司EOSPlatform7.2項目安全測試報告Nopartofthisdocumentmaybereproduced,storedinanyelectronicretrievalsystem,ortransmittedinanyformorbyanymeans,mechanical,photocopying,recording,otherwise,withoutthewrittenpermissionofthecopyrightowner.COPYRIGHT2008byPrimetonTechnologies,Ltd.ALLRIGHTSRESERVED.文檔修訂記錄序號版本號修訂日期修訂概述修訂人審核人批準(zhǔn)人備注1.0.02014-08-11創(chuàng)建朱倩容
目錄1 測試概述 31.1 測試目的 31.2 測試對象 41.3 測試范圍 42 測試環(huán)境 42.1 測試環(huán)境 42.2 測試工具 43 測試過程概述 44 測試結(jié)論 54.1 總體說明 54.2 附錄 54.2.1 default應(yīng)用 54.2.2 governor應(yīng)用 94.2.3 workspace應(yīng)用 114.2.4 portal應(yīng)用 14測試概述測試目的本次測試的目的是對EOSPlatform7.2產(chǎn)品的功能進(jìn)行安全掃描,發(fā)現(xiàn)缺陷,驗證缺陷,同時對EOSPlatform7.2版本的安全情況出客觀評價。測試對象EOSPlatform7.2產(chǎn)品安裝包測試范圍default應(yīng)用的sce和seegovernor應(yīng)用workspace應(yīng)用portal應(yīng)用測試環(huán)境測試環(huán)境本次安全測試主要是針對多服務(wù)器的單機(jī)版:Windows7+Tomcat7Windows7+Jboss6Windows7+Weblogic10.3Linux+WAS7.0Windows7+Pas6.0測試工具本次安全掃描使用業(yè)內(nèi)主流的安全掃描軟件Appscan9.0版本。測試過程概述整個測試過程是使用測試工具appscan對EOSPlatform7.2的功能進(jìn)行掃描的過程,因為工具對EOSPlatform7.2的功能的URL識別不完全,工具自帶的瀏覽器也和IE顯示的不同,所以應(yīng)用上需要手工修改一些內(nèi)容。對于default應(yīng)用,默認(rèn)掃描出登錄頁面,里面的應(yīng)用的url都是手工探索出的,掃描sce時左側(cè)的樹會出現(xiàn)頻繁報錯,需要修改default\common\skins\skin0和default\common\skins\capskin0的component.jsp,把把eos-web.js.gzip的.gzip去掉在governor應(yīng)用下,登錄后左側(cè)的樹不顯示,修改
webapps\governor\common\skins\skin0\component.jsp,把eos-web.js.gzip的.gzip去掉測試過程中默認(rèn)不要使用試用版的license,需要使用無并發(fā)限制的license對于安全掃描,每個應(yīng)用的user-config.xml中設(shè)置了安全的開關(guān),掃描時需要打開開關(guān)。測試結(jié)論總體說明測試結(jié)果顯示;高嚴(yán)重性和中嚴(yán)重性的漏洞已經(jīng)基本得到修復(fù),低嚴(yán)重性的漏洞有所遺留。特別說明:目前存在的一些問題主要在于三類:掃描工具本身的測試用例存在問題,在高并發(fā)大數(shù)據(jù)包情況下,存在數(shù)據(jù)包長度與http頭中長度標(biāo)識不一致的情況,導(dǎo)致sql盲注等漏洞應(yīng)用服務(wù)器本身存在漏洞,需要用戶自行選擇合適的服務(wù)器及補(bǔ)丁解決掃描工具過于嚴(yán)格,一些中嚴(yán)重性和低嚴(yán)重性漏洞的出現(xiàn)屬于合理范圍(比如jsp上存在注釋,會話缺少secure屬性等),這類問題產(chǎn)品沒有集中解決附錄default應(yīng)用測試結(jié)果1、應(yīng)用服務(wù)器Tomcat7.0(1)Tomcat下的see遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性SQL盲注10中等嚴(yán)重性不充分帳戶封鎖1會話標(biāo)識未更新1加密會話(SSL)Cookie中缺少Secure屬性1支持弱SSL密碼套件1低嚴(yán)重性會話cookie中缺少HttpOnly屬性1檢測到文件替代版本36臨時文件下載36(2)Tomcat下的sce遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性SQL盲注6中等嚴(yán)重性Windows文件參數(shù)變更2會話標(biāo)識未更新1加密會話(SSL)Cookie中缺少Secure屬性1支持弱SSL密碼套件1低嚴(yán)重性會話cookie中缺少HttpOnly屬性1檢測到文件替代版本37臨時文件下載372、應(yīng)用服務(wù)器Jboss6.0(1)Jboss下的see:遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性JBossJava管理擴(kuò)展控制臺認(rèn)證旁路1SQL盲注2中等嚴(yán)重性不充分帳戶封鎖1會話標(biāo)識未更新1啟用了不安全的HTTP方法1支持弱SSL密碼套件1低嚴(yán)重性Flash參數(shù)AllowScriptAccess已設(shè)置為always1會話cookie中缺少HttpOnly屬性2檢測到文件替代版本22臨時文件下載22(2)Jboss下的sce:遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性JBossJava管理擴(kuò)展控制臺認(rèn)證旁路1SQL盲注7中等嚴(yán)重性Windows文件參數(shù)變更2會話標(biāo)識未更新1中等嚴(yán)重性加密會話(SSL)Cookie中缺少Secure屬性1啟用了不安全的HTTP方法1支持弱SSL密碼套件1低嚴(yán)重性會話cookie中缺少HttpOnly屬性2檢測到文件替代版本32臨時文件下載323、應(yīng)用服務(wù)器Weblogic(1)Weblogic下的see遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性CNCTekBizDB搜索腳本遠(yuǎn)程Shell命令執(zhí)行1TektronixPhaserLinkWebserver遠(yuǎn)程管理認(rèn)證旁路4中等嚴(yán)重性AllaireJRun2.3.X樣本源代碼泄露4不充分帳戶封鎖1會話標(biāo)識未更新1支持弱SSL密碼套件1低嚴(yán)重性發(fā)現(xiàn)可高速緩存的SSL頁面8發(fā)現(xiàn)潛在訂單信息9發(fā)現(xiàn)潛在注冊信息27會話cookie中缺少HttpOnly屬性1檢測到文件替代版本50臨時文件下載51直接訪問管理頁面18(2)Weblogic下的sce遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性跨站點腳本編制2通過URL重定向釣魚1中等嚴(yán)重性Windows文件參數(shù)變更6會話標(biāo)識未更新1支持弱SSL密碼套件1低嚴(yán)重性會話cookie中缺少HttpOnly屬性1檢測到文件替代版本27檢測到隱藏目錄4臨時文件下載284、應(yīng)用服務(wù)器Was(1)Was下的see遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性SQL盲注6TektronixPhaserLinkWebserver遠(yuǎn)程管理認(rèn)證旁路3中等嚴(yán)重性AllaireJRun2.3.X樣本源代碼泄露3不充分帳戶封鎖1會話標(biāo)識未更新1加密會話(SSL)Cookie中缺少Secure屬性1低嚴(yán)重性IBMWebSphereApplicationServer文件泄露1發(fā)現(xiàn)可高速緩存的SSL頁面3發(fā)現(xiàn)潛在訂單信息10發(fā)現(xiàn)潛在注冊信息30會話cookie中缺少HttpOnly屬性1檢測到文件替代版本46檢測到隱藏目錄1臨時文件下載43直接訪問管理頁面17(2)Was下的sce遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性SQL盲注2通過URL重定向釣魚1中等嚴(yán)重性會話標(biāo)識未更新1加密會話(SSL)Cookie中缺少Secure屬性1跨站點請求偽造1低嚴(yán)重性IBMWebSphereApplicationServer文件泄露1SSL請求中的查詢參數(shù)5發(fā)現(xiàn)可高速緩存的SSL頁面2會話cookie中缺少HttpOnly屬性1檢測到文件替代版本26檢測到隱藏目錄1臨時文件下載275、應(yīng)用服務(wù)器Pas(1)Pas下的see遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性SQL盲注1TektronixPhaserLinkWebserver遠(yuǎn)程管理認(rèn)證旁路13中等嚴(yán)重性AllaireJRun2.3.X樣本源代碼泄露13不充分帳戶封鎖1會話標(biāo)識未更新1加密會話(SSL)Cookie中缺少Secure屬性1跨站點請求偽造1支持弱SSL密碼套件1低嚴(yán)重性發(fā)現(xiàn)可高速緩存的SSL頁面12發(fā)現(xiàn)潛在訂單信息15發(fā)現(xiàn)潛在注冊信息45會話cookie中缺少HttpOnly屬性2檢測到文件替代版本58臨時文件下載58直接訪問管理頁面30(2)Pas下的sce遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性通過URL重定向釣魚1中等嚴(yán)重性會話標(biāo)識未更新1加密會話(SSL)Cookie中缺少Secure屬性1支持弱SSL密碼套件1低嚴(yán)重性發(fā)現(xiàn)可高速緩存的SSL頁面8會話cookie中缺少HttpOnly屬性2檢測到文件替代版本26臨時文件下載24結(jié)果分析高嚴(yán)重性問題屬于總體說明中的特別說明第一類問題,屬于測試工具的問題,具體可通過tcp抓包或開啟應(yīng)用服務(wù)器日志查看;中嚴(yán)重性問題中,與SSL相關(guān)的問題,需要用戶自行申請可信證書解決,產(chǎn)品已提供安全協(xié)議轉(zhuǎn)換能力。對于賬戶封鎖等問題,可通過IP鎖定,黑白名單等能力解決,需要結(jié)合用戶應(yīng)用需求,產(chǎn)品未提供相關(guān)能力;其他問題屬于總體說明中的特別說明第二、三類問題。governor應(yīng)用測試結(jié)果1、應(yīng)用服務(wù)器Tomcat遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性已解密的登錄請求6中等嚴(yán)重性會話標(biāo)識未更新2低嚴(yán)重性檢測到文件替代版本1臨時文件下載1在參數(shù)值中找到了內(nèi)部IP公開模式35自動填寫未對密碼字段禁用的HTML屬性32、應(yīng)用服務(wù)器Jboss遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性AlibabaWeb服務(wù)器文件下載和遠(yuǎn)程命令執(zhí)行4Apache::ASP模塊Source.asp文件創(chuàng)建4AuctionWeaverCGI遠(yuǎn)程Shell執(zhí)行8Bugzilla遠(yuǎn)程命令執(zhí)行4CNCTekBizDB搜索腳本遠(yuǎn)程Shell命令執(zhí)行4Conservatives腳本遠(yuǎn)程Shell執(zhí)行8已解密的登錄請求7中等嚴(yán)重性AccountManagerCGI遠(yuǎn)程密碼更改4AHGEZshopper文件下載4會話標(biāo)識未更新2跨站點請求偽造1啟用了不安全的HTTP方法1新聞更新訪問控制旁路4應(yīng)用流程Subversion所用的Webevent管理權(quán)43、應(yīng)用服務(wù)器Weblogic遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性O(shè)racleApplicationServerPL/SQL未授權(quán)的SQL查詢執(zhí)行2SQL盲注1會話定置3已解密的登錄請求6中等嚴(yán)重性登錄錯誤消息憑證枚舉1會話標(biāo)識未更新3跨站點請求偽造1低嚴(yán)重性MicrosoftSiteServeradSamples信息泄露1Oracle日志文件信息泄露2發(fā)現(xiàn)可高速緩存的登錄頁面1會話cookie中缺少HttpOnly屬性1檢測到文件替代版本1臨時文件下載3在參數(shù)值中找到了內(nèi)部IP公開模式34直接訪問管理頁面19自動填寫未對密碼字段禁用的HTML屬性14、應(yīng)用服務(wù)器Was遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性已解密的登錄請求7中等嚴(yán)重性不充分帳戶封鎖1會話標(biāo)識未更新3跨站點請求偽造1低嚴(yán)重性MicrosoftSiteServeradSamples信息泄露1會話cookie中缺少HttpOnly屬性1檢測到文件替代版本1臨時文件下載2在參數(shù)值中找到了內(nèi)部IP公開模式36在未加密連接中發(fā)現(xiàn)信用卡號模式(Visa)1直接訪問管理頁面19自動填寫未對密碼字段禁用的HTML屬性35、應(yīng)用服務(wù)器Pas遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性已解密的登錄請求7中等嚴(yán)重性不充分帳戶封鎖1會話標(biāo)識未更新2跨站點請求偽造1低嚴(yán)重性MicrosoftSiteServeradSamples信息泄露1會話cookie中缺少HttpOnly屬性1檢測到文件替代版本1臨時文件下載2在參數(shù)值中找到了內(nèi)部IP公開模式36在未加密連接中發(fā)現(xiàn)信用卡號模式(Visa)2直接訪問管理頁面19自動填寫未對密碼字段禁用的HTML屬性2結(jié)果分析分析結(jié)果與default應(yīng)用類似,對于高嚴(yán)重性中出現(xiàn)的“已解密的登錄請求”問題,考慮到管理類應(yīng)用的安全要求一般不會太高,沒有采用類似default應(yīng)用的安全協(xié)議轉(zhuǎn)換方案,如果對安全性要求很高,可采用整體安全協(xié)議的方案(整個governor應(yīng)用都使用https協(xié)議訪問)。workspace應(yīng)用測試結(jié)果應(yīng)用服務(wù)器Tomcat遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性AlibabaWeb服務(wù)器文件下載和遠(yuǎn)程命令執(zhí)行3SQL盲注17StatisticsServerLiveStatsss.cfg拒絕服務(wù)3TektronixPhaserLinkWebserver遠(yuǎn)程管理認(rèn)證旁路3UtilMindMaillist.cgi遠(yuǎn)程命令執(zhí)行3Whois_raw.cgi遠(yuǎn)程命令執(zhí)行3已解密的登錄請求5中等嚴(yán)重性AccountManagerCGI遠(yuǎn)程密碼更改3AHGEZshopper文件下載3AllaireJRun2.3.X樣本源代碼泄露3BannerRotating01特權(quán)升級3BigBrother遠(yuǎn)程文件下載3BytesInteractiveShopper.cgi購物車目錄遍歷3CGIForum文件下載3DCForum文件下載3低嚴(yán)重性LyrisListManager訪問控制旁路3Mailfile.cgi任意文件下載3MailForm.pl文件下載3MoreoverCachedFeed.cgi文件下載3MultiHTMLPoisonNullByte任意文件下載3Netauth目錄遍歷3臨時文件下載61直接訪問管理頁面57自動填寫未對密碼字段禁用的HTML屬性32、應(yīng)用服務(wù)器Jboss遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性SQL盲注7StatisticsServerLiveStatsss.cfg拒絕服務(wù)4TektronixPhaserLinkWebserver遠(yuǎn)程管理認(rèn)證旁路4UtilMindMaillist.cgi遠(yuǎn)程命令執(zhí)行4Whois_raw.cgi遠(yuǎn)程命令執(zhí)行4已解密的登錄請求2中等嚴(yán)重性AccountManagerCGI遠(yuǎn)程密碼更改4AHGEZshopper文件下載4BytesInteractiveShopper.cgi購物車目錄遍歷4YaBB任意文件下載4會話標(biāo)識未更新1啟用了不安全的HTTP方法1新聞更新訪問控制旁路4應(yīng)用流程Subversion所用的Webevent管理權(quán)43、應(yīng)用服務(wù)器Weblogic遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性SQL盲注8已解密的登錄請求5中等嚴(yán)重性會話標(biāo)識未更新1跨裝點請求偽造1鏈接注入(便于跨站請求偽造)3低嚴(yán)重性MicrosoftIIS缺少Host頭信息泄露1發(fā)現(xiàn)壓縮目錄2會話cookie中缺少HttpOnly屬性1檢測到文件替代版本22臨時文件下載23在未加密連接中發(fā)現(xiàn)信用卡號模式(Visa)1直接訪問管理頁面10自動填寫未對密碼字段禁用的HTML屬性14、應(yīng)用服務(wù)器Was遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性SQL盲注35已解密的登錄請求5中等嚴(yán)重性會話標(biāo)識未更新1低嚴(yán)重性IBMWebSphereApplicationServer文件泄露1MicrosoftSiteServeradSamples信息泄露1Oracle日志文件信息泄露2發(fā)現(xiàn)潛在訂單信息3發(fā)現(xiàn)潛在注冊信息9發(fā)現(xiàn)壓縮目錄8歸檔文件下載14會話cookie中缺少HttpOnly屬性1檢測到文件替代版本34臨時文件下載34在未加密連接中發(fā)現(xiàn)信用卡號模式(MasterCard)1直接訪問管理頁面19自動填寫未對密碼字段禁用的HTML屬性35、應(yīng)用服務(wù)器Pas遺留問題的嚴(yán)重程度具體問題問題個數(shù)高嚴(yán)重性AlibabaWeb服務(wù)器文件下載和遠(yuǎn)程命令執(zhí)行1AuctionWeaverCGI遠(yuǎn)程Shell執(zhí)行2Bugzilla遠(yuǎn)程命令執(zhí)行1ExtropiaWebBanner遠(yuǎn)程命令執(zhí)行1FingerServerCGIShell命令執(zhí)行1已解密的登錄請求2中等嚴(yán)重性AccountManagerCGI遠(yuǎn)程密碼更改1AHGEZshopper文件下載1AllaireJRun2.3.X樣本源代碼泄露1BannerRotating01特權(quán)升級1低嚴(yán)重性BasilixWebmail訪問控制旁路1會話cookie中缺少HttpOnly屬性2檢測到ASP.NET項目轉(zhuǎn)換報告1檢測到文件替代版本34臨時文件下載35直接訪問管理頁
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 沈陽市大東區(qū)2025屆初三下學(xué)期模擬卷(五)生物試題含解析
- 新疆維吾爾自治區(qū)阿克蘇市農(nóng)一師高級中學(xué)2024-2025學(xué)年高三下學(xué)期教學(xué)質(zhì)量檢測試題(一模)生物試題含解析
- 2025版游戲主播專屬合同
- 浙江省杭州地區(qū)達(dá)標(biāo)名校2025年第二學(xué)期期末考試初三數(shù)學(xué)試題含解析
- 二手車位交易合同范文
- 采購原材料合同樣本
- 高速公路擴(kuò)建工程施工合同書
- 工廠設(shè)備安裝勞務(wù)分包合同26
- 美容院原材料采購合同
- 網(wǎng)絡(luò)優(yōu)化合同書
- 2016-2023年鄭州信息科技職業(yè)學(xué)院高職單招(英語/數(shù)學(xué)/語文)筆試歷年參考題庫含答案解析
- 31情緒管理ABC理論
- 如何建立與客戶的信任關(guān)系
- 《建筑工程概算》課件
- 年產(chǎn)16萬噸赤蘚糖醇項目建議書
- ST語言編程手冊
- 中醫(yī)婦科醫(yī)生行業(yè)現(xiàn)狀分析
- 必殺04 第七單元 我們鄰近的地區(qū)和國家(綜合題20題)(解析版)
- 企業(yè)安全檢查表(全套)
- 票據(jù)業(yè)務(wù)承諾函
- 《來一斤母愛》課件
評論
0/150
提交評論