出报告专用
最后修改时间 2021-4-11
风险评级标准
严重不安全系统
• 存在1个及以上严重漏洞,或3个以上高危漏洞的系统
高危不安全系统
• 存在1个及以上高危漏洞,或5个以上中危漏洞的系统
中危不安全系统
• 存在1个及以上中危漏洞,或5个以上低危漏洞的系统
安全系统
• 存在5个以下低危漏洞的系统
漏洞评级依据
严重漏洞
1. 直接获取业务服务器权限的漏洞以及获取重要数据的漏洞,包括但不限于命令执行、
上传 webshell、代码执行、SQL 注入获得大量重要数据;
2. 严重影响系统业务和数据安全的逻辑漏洞,包括但不限于任意帐号密码重置或更改漏
洞、任意账号资金消费、系统可轻易被薅羊毛、严重越权访问漏洞、未授权访问后台
管理系统、严重级别的敏感信息泄露等;
3. 直接导致核心业务拒绝服务的漏洞,包括通过该远程拒绝服务漏洞直接导致线上核心
应用、系统、服务器无法继续提供服务的漏洞;
4. 当前阶段正在大规模爆发应引起足够重视的安全漏洞等。
高危漏洞
1. 敏感信息泄漏漏洞。包括但不限于源代码压缩包泄漏、SQL
注入、越权或者直接获取大量用户、员工信息;
2. 账号暴力破解漏洞;
3. 可远程获取客户端和服务端权限的漏洞。包括但不限于
SSRF、远程缓冲区溢出、存储型 XSS、以及可获取 cookie 等敏感信息的 XSS
中危漏洞
1. 普通信息泄露。包括但不限于未涉及敏感数据的 SQL
注入、影响数据量有限或者敏感程度有限的越权、源代码或系统日志等信息泄露;
2. 需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户
、网站敏感数据的 JSON
Hijacking、重要操作(如支付类操作、发布信息或修改个人账号敏感信息类操作)
的 CSRF、反射型 XSS;
3. 普通的逻辑缺陷漏洞和越权漏洞。
低危漏洞
1. 轻微信息泄露。包括但不限于路径、SVN
信息泄露、PHPinfo、异常和含有少量敏感字段的调试信息、日志打印及配置等泄露
情况;
2. 应用场景有限的漏洞与难以利用的安全漏洞。包括但不仅限于有限制的反射型或 self
型 XSS、短信 / 邮件轰炸、URL 跳转、敏感操作的 CSRF。
安全控制建议
认证
• 对于存在弱口令的系统,需在加强使用者安全意识的前提下,督促其修改密码,或者
使用策略来强制限制密码长度和复杂性。
• 对于存在弱口令或是空口令的服务,在一些关键服务上,应加强口令强度,同时需使
用加密传输方式,对于一些可关闭的服务来说,建议关闭该服务以达到安全目的,或
者限制为指定范围内IP访问。
• 对于出现验证码功能的系统或服务,不能只在前端进行防护,而是要在后台进行二次
检测,做到前后端同时加固。
• 不同系统、主机应根据密码规则采用具有强复杂性的不同口令。
• 对内外网中的各种服务的弱口令现象进行排查。
应用
• 服务器配置 HTTPS 方式访问,对通讯进行加密。
• 对所有中间件进行降权处理,避免使用管理员等高权限账号启动。
• 建议使用安全产品,waf、主机安全、态势感知等。
• 对于用户登录后涉及用户唯一信息的请求,每次都要验证检查所有权,敏感信息页面
加随机数的参数,防止浏览器缓存内容。
• 对于 Oracle 数据库服务的应用系统,建议及时更新到最新版本,安装最新补丁,详情可见
Oracle 官方安全公告 https://www.oracle.com/security-alerts/
• 对于存在 Struts2 中间件的应用系统,管理员需及时关注 apache 官方的安全公告
https://cwiki.apache.org/confluence/display/WW/Security+Bulletins
• 对于存在 Harbor 服务的应用系统,管理员需及时关注官方的安全公告
https://github.com/goharbor/harbor/security/advisories
• 对于存在 jira 服务的应用系统,管理员需及时关注 atlassian 官方的安全公告
https://jira.atlassian.com/browse/JRASERVER-69858?filter=13085
• 对于存在 Weblogic
中间件的应用系统,建议及时更新到最新版本,安装最新补丁,详情可见 oracle
官方安全公告 https://www.oracle.com/security-alerts/
• 对于存在 shiro 中间件的应用系统,管理员需及时关注 apache 官方的安全公告
https://issues.apache.org/jira/projects/SHIRO/issues
• 对于存在 Solr 中间件的应用系统,管理员需及时关注 apache 官方的安全公告
https://issues.apache.org/jira/projects/SOLR/issues
• 对于存在 jenkins 服务的应用系统,管理员需及时关注官方的安全公告
https://jenkins.io/security/advisories/
• 对于存在 tomcat 中间件的应用系统,管理员需及时关注 apache 官方的安全公告
http://tomcat.apache.org/security.html
• 对于存在致远服务的应用系统,管理员需及时关注官方的安全公告
http://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%
85%A8%E8%A1%A5%E4%B8%81&id=1
• 对于存在 JBOSS 中间件的应用系统,管理员需及时关注 JBOSS
官方的安全公告及时下载更新 http://jbossas.jboss.org/downloads/
主机
• 合理配置安全组,避免不必要的端口及服务对外开放。
• 建议定期进行渗透测试、主机 & WEB 漏洞扫描。
• 对于 Windows 主机的漏洞防护,管理员需及时关注微软官方的安全公告
https://portal.msrc.microsoft.com/zh-cn/security-guidance
• 对于 UNIX 主机的漏洞防护,管理员需关注相应发行版本官方安全公告
– RedHat 系统官方安全公告 : https://access.redhat.com/errata/#/
– CentOS 系统官方安全公告 : https://lists.centos.org/pipermail/centos-
announce/
– SUSE 系统官方安全公告 : https://www.suse.com/support/update/
– Ubuntu 系统官方安全公告 : https://ubuntu.com/security/notices
– Debian 系统官方安全公告 : https://www.debian.org/security/
– arch 系统官方安全公告 : https://security.archlinux.org/
– fedora 系统官方安全公告 :
https://lists.fedoraproject.org/archives/list/package-
announce@lists.fedoraproject.org/
– gentoo 系统官方安全公告 : https://security.gentoo.org/glsa/
– freebsd 系统官方安全公告 : http://vuxml.freebsd.org/freebsd/
– slackware 系统官方安全公告 : http://www.slackware.com/security/
– opensuse 系统官方安全公告 : https://lists.opensuse.org/opensuse-security-
announce/
APP
• https://source.android.com/security/bulletin
认证
弱口令/空口令
web 后台系统弱口令
漏洞评级建议: 高危
漏洞类型: 认证缺陷
• 详情
渗透测试过程中,发现目标 web 后台管理存在弱口令组合。
• 造成的危害
攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数
据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。
• 修复建议
– 用户层面
1. 不要使用常见的弱口令作为密码
2. 不要多个系统或者社交账号使用同一套密码
3. 定期修改密码
4. 建议使用包含随机值的或者随机生成的字符串作为系统密码
– 系统层面
1. 用户首次登录后强制用户修改默认密码
2. 修改密码、添加账号等涉及密码策略处强制用户使用强密码策略(大小
写字母+数字+特殊字符+8位以上)
3. 服务端对登录处增加图形验证码并保证使用一次即销毁
4. 服务端对登录接口进行限制,单个 IP
单位时间内请求超过阈值,封禁30分钟
5. 服务端对登录接口进行限制,单个用户密码单位时间内错误次数超过阈
值,封禁20分钟
ftp 弱口令
