中国石化资金集中管理信息系统
Web应用安全测试报告
1. 简介
本文针对中国石化资金集中管理信息系统,采用IBM Rational的安全测试产品AppScan进行安全测试,并基于此次测试的结果进行分析。
1.1 中国石化资金集中管理信息系统应用特点
中国石化资金集中管理信息系统应用采用Jboss4.2.4作为应用服务器,系统使用基于Spring的Acegi进行安全认证和授权;其中还大量采用了Javascript技术,所有其对于url的解析处理,需要动态进行处理。
1.2 针对中国石化资金集中管理信息系统应用特点的安全测试设置
针对于中国石化资金集中管理信息系统应用的以上特点,并结合实际使用情况分为三种场景进行测试,测试内容选择了系统的功能1和功能2:
1)使用用户名/密码,但不进行登陆验证:此场景如同一般用户登陆系统,但不进行登陆验证,即不判断针对特殊应用安全的登陆,是否存在安全问题。
2)使用用户名/密码,进行登陆验证:此场景选择正常用户登陆系统,进行登陆验证,即判断针对特殊应用安全的登陆,是否存在安全问题。
3)基于不同角色登陆处理:结合权限较高的admin用户和权限较低的cqusr1用户进行登陆,除了常规的安全的检测,特别还要针对跨权限的安全访问进行判断。
通过以上的配置,结合AppScan的登陆设置就可以了。
2. 测试结果简析
结合以上的三个场景,针对部分功能进行安全测试后,初步获得以下测试结果。
2.1 整体内容分析
3. 严重安全问题分析及修改建议
3.1 XSS跨站点脚本攻击漏洞
问题概述:黑客可以应用此漏洞,获取最终用户信息,并基于此进行伪装,进行攻击。
url:
…… …… 余下全文