渗透测试项目总结

一、某学校迎新报到系统水平越权漏洞

        在该学校迎新报到系统资产的基础上，系统提示“新生请使用账号[身份证号]+密码[身份证后六位]”进行登录，所以可以通过该学校的招生信息网进行信息收集，获取了部分学生的身份证信息，由于身份证号中的出生年月日被打码，因此要使用python脚本对所有月份和日期情况进行枚举，再结合正常情况下的出生年份（即排除复读、上学早等情况），然后用Yakit进行抓包，并对账号密码进行爆破。最终获取到了一个学生身份证信息，修改对应的顺序号（一般学号由对应的入学年份和其他数字组成），发现可以获取到其他学生基本信息（应届和往届学生信息都能够获取），因此可以得出该学校迎新报到系统存在水平越权漏洞，通过该漏洞可以获取大量学生基本信息。

水平越权漏洞：一个用户能够访问或操作其他同级别权限用户的资源或数据。

简单来说就是：你只能动你自己的东西，但这个漏洞能让你能动别人的东西。

危害：

       它直接导致用户数据的大规模泄露。攻击者可以通过编写脚本自动遍历所有用户ID，从而拖走整个数据库的用户敏感信息，造成：

• 个人隐私泄露

• 身份证、银行卡等信息被窃取

• 用户关系被暴露

• 为后续的诈骗、勒索等犯罪活动提供数据基础

整改建议：

1、通知新生修改密码，并且是字母、数学和特殊符号组成的密码；

2、对每一次数据请求进行强制权限校验，不仅仅是客户端传来的ID。

二、某公司调查问卷系统弱口令漏洞

       在该公司调查问卷系统资产的基础上，在登录页面输入用户名为admin，密码为123456，可以登录到管理界面，同时在这个管理界面中发现还有另外一个用户，通过抓包分析，虽然密码不是明文的，但是通过对比经过哈希算法的哈希值，可以看出两个账号的密码相同，使用另一个账号进行登录，发现登录成功，可以得出该公司调查问卷系统存在弱口令漏洞。

弱口令漏洞：指系统、设备或账户使用了强度低、容易被猜测或破解的密码。

危害：

1、核心数据泄露；

2、攻击者会以这个账户为跳板，寻找系统漏洞提升权限，并利用人们习惯在不同系统使用相同密码的弱点，进行横向扩散。

整改建议：

1、使用更复杂、更安全的密码；

2、增加身份认证。

三、某医院小程序XSS漏洞

       在该医院小程序资产的基础上，点击意见反馈的上传图片，抓包上传含有<script>alert(1)</script>的图片并修改后缀为html，发现页面出现弹窗（提示“1”），表示图片上传成功，并且由此可得出该医院小程序存在XSS漏洞。

XSS漏洞：跨站脚本攻击，在网页中恶意插入并执行客户端脚本，从而在用户浏览器中执行恶意代码。

危害：

• 盗取用户Cookie：从而冒充用户登录其账户。

• 盗取敏感信息：读取页面内容，获取个人信息、银行卡号等。

• 篡改网页内容：插入虚假信息、钓鱼表单。

• 进行恶意操作：以用户身份执行各种操作，如发帖、转账、发布状态。

• 键盘记录：记录用户在网页上的所有按键。

• 挂马：引导用户下载并运行木马病毒。

整改建议：

1、白名单文件类型校验

措施：在服务器端，建立一个只允许上传的文件后缀名白名单（如：.jpg/.jpeg/.png/.gif）。坚决拒绝任何不在名单内的文件类型，尤其是.html/.htm/.js/.svg等可被浏览器执行的文件。

2、不在响应包内回显文件存储路径