返回
中国石化appscan安全测试报告

中国石化appscan安全测试报告

ID:35206659

大小:222.00 KB

页数:6页

时间:2019-03-21

中国石化appscan安全测试报告_第1页
中国石化appscan安全测试报告_第2页
中国石化appscan安全测试报告_第3页
中国石化appscan安全测试报告_第4页
中国石化appscan安全测试报告_第5页
资源描述:

《中国石化appscan安全测试报告》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、中国石化Web应用安全测试报告中国石化资金集中管理信息系统Web应用安全测试报告IBMRationalAppScan中国石化Web应用安全测试报告1.简介  本文针对中国石化资金集中管理信息系统,采用IBMRational的安全测试产品AppScan进行安全测试,并基于此次测试的结果进行分析。1.1中国石化资金集中管理信息系统应用特点中国石化资金集中管理信息系统应用采用Jboss4.2.4作为应用服务器,系统使用基于Spring的Acegi进行安全认证和授权;其中还大量采用了Javascript技术,所有其对于url的解析处理,需

2、要动态进行处理。1.2针对中国石化资金集中管理信息系统应用特点的安全测试设置针对于中国石化资金集中管理信息系统应用的以上特点,并结合实际使用情况分为三种场景进行测试,测试内容选择了系统的功能1和功能2:1)使用用户名/密码,但不进行登陆验证:此场景如同一般用户登陆系统,但不进行登陆验证,即不判断针对特殊应用安全的登陆,是否存在安全问题。IBMRationalAppScan中国石化Web应用安全测试报告1)使用用户名/密码,进行登陆验证:此场景选择正常用户登陆系统,进行登陆验证,即判断针对特殊应用安全的登陆,是否存在安全问题。2)基

3、于不同角色登陆处理:结合权限较高的admin用户和权限较低的cqusr1用户进行登陆,除了常规的安全的检测,特别还要针对跨权限的安全访问进行判断。通过以上的配置,结合AppScan的登陆设置就可以了。1.测试结果简析结合以上的三个场景,针对部分功能进行安全测试后,初步获得以下测试结果。1.1整体内容分析场景内容安全问题总计问题分类及数量场景1:用户名/密码登陆,无登陆验证访问192url,发现60问题严重:2类/16个中等:2类/3个低等:3类/6个泄漏:4类/35个场景2:用户名/密码登陆,进行登陆验证访问243url,发现10

4、4问题严重:3类/22个中等:2类/3个低等:3类/36个泄漏:4类/43个场景3:分角色用户登陆访问192url,发现69问题严重:3类/23个中等:2类/3个低等:3类/6个泄漏:4类/37个IBMRationalAppScan中国石化Web应用安全测试报告1.严重安全问题分析及修改建议1.1XSS跨站点脚本攻击漏洞问题概述:黑客可以应用此漏洞,获取最终用户信息,并基于此进行伪装,进行攻击。url:http://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/loan/commiss

5、ionedLoanApply.jsphttp://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/loan/loanApply.jsphttp://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/tongye/RMBOverdraftApply.jsphttp://10.1.19.92:40001/wfProject/jsp/app/sinopec/wf/tongye/RMBchaijieApply.jsp测试方式:在参数中增加javascri

6、pt:alert(134108)处理,可执行url修改方法:修改对于参数的处理,将无效值进行排除。1.2注入漏洞问题概述:黑客可以应用此漏洞,获取交易信息。url:http://10.1.19.92:40001/wfProject/jsp/app/netbank/common/customDropDownDict.jsp测试方式:在httprequest中填写foobar=foobar之类内容进行攻击修改方法:修改httpparameter处理,将无效内容过滤1.3JBoss管理控制台打开问题概述:对于jboss控制台没有进行控制

7、。url:IBMRationalAppScan中国石化Web应用安全测试报告http://10.1.19.92:40001/测试方式:直接进行访问即可修改方法:如果上线,此控制台建议关闭或者设置安全。1.1跨权限设置访问问题概述:登陆用户,即可不受权限限制,通过url直接访问用户管理。url:http://10.1.19.92:40001/wfProject/jsp/app/acountmanager/interestBill.jsphttp://10.1.19.92:40001/wfProject/jsp/app/acountm

8、anager/outlayBill.jsphttp://10.1.19.92:40001/wfProject/jsp/app/acountmanager/paymentBill.jsphttp://10.1.19.92:40001/wfProjec

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。