密
级:【敏感】
**银行
渗透测试报告
信息安全技术有限公司
二零一二年一月
银行渗透测试报告
文档信息
文档名称 **银行渗透测试报告
版本编号 V1.0
制 作 人 董
保密级别
复 审 人
适用范围
扩散范围
分发控制
编号 读者
1
2
3
版本历史
权限
与文档主要关系
创建、修改、读取 项目组成员负责编制、修改、审核本文档
批准
项目经理,负责本文档的批准程序
读取、建议
最终用户
版本编号 创建日期
制作人
参与人
V1.0
2012-02-15
2
银行渗透测试报告
目
录
1. 概述....................................................................................................................................................... 4
1.1. 测试范围.......................................................................................................................................4
1.2. 渗透测试人员安排.......................................................................................................................4
2. 渗透测试结果综述............................................................................................................................... 4
2.1. 测试总结与安全建议...................................................................................................................4
2.2. 漏洞等级定义...............................................................................................................................4
2.3. 测试项记录...................................................................................................................................4
3. 渗透测试结果详述............................................................................................................................... 5
3.1. 北京银行信用卡商城...................................................................................................................5
3.1.1. 存在隐藏目录.......................................................................................................................5
3.1.2. 跨站点请求伪造漏洞...........................................................................................................6
3
银行渗透测试报告
1. 概述
本次渗透测试根据银行安全服务工作要求,针对互联网上开放的各业务系统
进行渗透测试,利用各种主流的攻击技术对业务系统做模拟攻击测试,以发现系
统中的安全漏洞和风险点,并提供渗透测试报告、提出系统整改意见。
1.1. 测试范围
本次渗透测试的范围为下列系统:
站点名称
域名
银行信用卡商城
http://BANK.com
1.2. 渗透测试人员安排
风险控制: 虎
渗透测试负责人员:华
渗透测试分析与实施:祝
2. 渗透测试结果综述
2.1. 测试总结与安全建议
2.2. 漏洞等级定义
漏洞等级
描述
高
中
低
无
可直接威胁到网络、操作系统、业务系统的安全性,可导致业务中断或敏感信息泄漏。此类
风险如高危性质远程缓冲区溢出、SQL 注入、关键业务弱口令、验证绕过、未授权的访问、
敏感信息泄漏等。
存在一定的危害性,一经利用即可威胁到操作系统、业务系统的安全性,进而威胁到网络的
安全性。此类风险如远程缓冲区溢出、非关键业务弱口令、XSS 跨站、敏感信息泄漏等。
存在相对较小的危害性,并不直接对系统或应用造成危害。一旦被利用时影响相对较小,在
渗透测试中通常会为进一步的渗透产生辅助性作用。此类风险如信息泄漏、非关键业务拒绝
服务漏洞等。
无风险,未发现相关安全问题
2.3. 测试项记录
4
银行渗透测试报告
测试对象
实施人员
测试用例
实施成果概述
信息泄漏测试 存在隐藏目录
配置管理测试 未发现问题
认证测试
授权测试
未发现问题
未发现问题
会话管理测试 跨站点请求伪造漏洞
数据检验测试 未发现问题
Web 服务测试 未发现问题
http://bANK.com
祝
3. 渗透测试结果详述
3.1. **银行信用卡商城
3.1.1. 存在隐藏目录
风险名称 存在隐藏目录
风险等级 低
风险描述
渗透过程
风险分析
该漏洞可能导致攻击者可以使用穷举目录名或常用目录名,并通过提示信息来判断
系统是否存在此目录或功能模块。
运用安全扫描工具扫描发现存在隐藏目录:
该漏洞可能导致攻击者可以使用穷举目录名或常用目录名,并通过提示信息来判断
系统是否存在此目录或功能模块。
加固建议 使用自定义的友好页面,模糊化提示方式,防止泄漏站点结构。
5
银行渗透测试报告
3.1.2. 跨站点请求伪造漏洞
风险名称 跨站点请求伪造漏洞
风险等级 中
风险描述
由与系统没有对用户的操作做唯一标识,如果攻击者欺骗用户访问恶意构造的页面,
此时攻击者就可以劫持用户的会话数据发出非故意的 HTTP 请求,如修改用户的口
令等恶意操作。
存在 CSRF 漏洞页面:
用户所有操作的参数都是固定的,每次请求并没有设定一个唯一的标识。当用户正
在正常的对网站操作时,攻击者将修改密码的 URL 进行编码或者利用短域名形式发
送给目标,此时用户正处于登录状态下,因此密码自动被修改,常见的这种钓鱼手
段(告诉用户北京银行信用卡商城恭喜他中奖了,让他登录后访问这个 URL)。
下图是攻击者伪造的修改密码页面:
渗透过程
风险分析 攻击者可以利用虚假的链接,欺骗用户点击,从而利用用户的会话信息做恶意的修改。
加固建议 对用户的每一次请求操作,分配唯一的标识 ID。
6