1.1 概述
为了掌握某市政务网站的网络安全整体情况,在相关监管机构授权后,我们组织人员抽取了某市78个政务网站进行安全扫描,并对其中的12个网站进行人工安全检测。通过安全扫描和人工检测,对该市政务网站整体安全情况进行预估。
1.2 工具扫描结果
本次利用网站安全检测平台共扫描各类政务网站78个,其中存在漏洞的网站38个,占比为48.7%。其中存在高危漏洞的网站6个,占扫描网站总数的7.6%.
从检测出漏洞的危险等级来看,高危漏洞数量占13%,中危占22%,低危占65%。
其中应用程序错误信息(24.5%)、异常页面导致服务器信息泄露(11.2%)和跨站脚本攻击漏洞(17.0%)这三类是占比最高的网站安全漏洞,三者之和超过漏洞总数的50%。
1.3 人工检测结果
我们从78个网站中随机抽取12个站点进行人工测试,取样后的12个站点情况为:其中7个站点在安全扫描中未发现漏洞,5个站点存在漏洞。存在漏洞的5个站点漏洞分布情况如下:
| 漏洞级别 | 高危 | 中危 | 低危 |
|---|---|---|---|
| 漏洞数量 | 1 | 3 | 7 |
表图如下:
而通过对12个站点的手工检测,发现其中的11个网站都存在中高危漏洞。与工具检测结果相差较大。
手工检测漏洞分布情况如下:
| 漏洞级别 | 高危 | 中危 | 低危 |
|---|---|---|---|
| 漏洞数量 | 17 | 6 | 8 |
部分检测数据如下:
而手工检测和工具检测的主要区别在于业务逻辑型漏洞,如越权漏洞、文件上传漏洞、账户枚举漏洞等,同时还有部分常规漏洞的绕过WAF后的检测,如XSS漏洞、SQL注入漏洞、命令执行漏洞等。
1.4 漏洞修复情况
在我们发现上述网站漏洞后,及时通报了相关单位。其中1天内修复的比例仅为6%,当天未修复但一周以内修复的比例为27%,超过一周才修复的比例为67%。
1.5 检测结论
1、通过工具扫描,发现部分网站仍存在一些较为明显的漏洞,可被自动化检测工具检测到,而这些漏洞一旦被恶意攻击者利用则很可能给网站带来较大威胁。
2、通过人工检测,发现绝大部分网站都存在中高危漏洞,很多漏洞如业务逻辑型漏洞、绕过WAF的检测等方面是扫描器无法探测到的,但通过人工检测能发现更多更深层次的漏洞,而这种漏洞更容易被有目的的攻击者利用(如APT攻击)。
3、通过漏洞的修复情况分析,即便是在能够修复漏洞的网站中,仍有近2/3的网站漏洞修复周期过长,修复较为不及时(大于7天)。
4、网站所有者不能认为有了WAF等设备就能高枕无忧,应该定期对网站进行整体安全评测,特别是人工安全检测、代码审计等。
关注我们
对web安全有兴趣的小伙伴可以关注或加入我们,TideSec安全团队:
来源:freebuf.com 2019-03-01 18:03:13 by: TideSec
请登录后发表评论
注册