網(wǎng)站安全滲透 對OA系統(tǒng)越權(quán)漏洞測試與修復(fù)
  • 更新時間:2024-12-23 10:55:31
  • 建站經(jīng)驗
  • 發(fā)布時間:2年前
  • 455

滲透測試服務(wù),是甲方授權(quán)乙方安全公司對自身的網(wǎng)站,以及APP,辦公系統(tǒng)進(jìn)行的全面人工安全滲透,對漏洞的檢測與測試,包括SQL注入漏洞,XSS存儲漏洞,反射漏洞,邏輯漏洞,越權(quán)漏洞,我們SINE安全公司在進(jìn)行滲透測試前,是需要甲方公司的授權(quán)才能進(jìn)行,沒有授權(quán)的滲透以及網(wǎng)站漏洞測試在法律上來講是違法的,非法滲透帶來的一切責(zé)任與后果,要自行承擔(dān),需要滲透測試服務(wù)的一定要找正規(guī)的安全公司來做,以防上當(dāng)。前段時間我們SINE安全公司,收到甲方公司的滲透測試ORDER,對公司使用的OA辦公系統(tǒng)進(jìn)行全面的安全檢測,與漏洞測試,針對前期我們做的一些準(zhǔn)備,與測試內(nèi)容,我們來詳細(xì)跟大家分享一下滲透測試的過程。


很多中小型企業(yè)都有自身的OA辦公系統(tǒng),為了員工辦公,審批流程,工作簡化,OA系統(tǒng)在整個公司里起到了重要的扭曲作用,大大的減少了公司運(yùn)營成本,溝通時間成本,促進(jìn)員工更高效的工作,在使用的過程中也帶來了很多安全的隱患,在對OA辦公系統(tǒng)進(jìn)行滲透測試服務(wù)的時候,我們要從以下幾個方面進(jìn)行安全測試:



在滲透測試之前我們第一要明白,了解在客戶的公司內(nèi)部網(wǎng)絡(luò)中,都有使用那些辦公系統(tǒng),是使用的第三方公司開發(fā)的辦公系統(tǒng),還是自己工程師單獨(dú)研發(fā)的,如果是自行開發(fā)的,那漏洞會很容易的測試出來,第三方公司開發(fā)的相對來說漏洞沒有那么多,需要時間與精力去進(jìn)行詳細(xì)的測試,才能發(fā)現(xiàn)漏洞。公司里使用的郵件系統(tǒng)一般來說使用QQ企業(yè)郵箱,gmial郵箱,163郵箱,微軟的exchange郵箱使用的最多。



OA辦公系統(tǒng),用友,致遠(yuǎn)OA系統(tǒng)都存在遠(yuǎn)程代碼執(zhí)行漏洞,客戶目前使用的致遠(yuǎn)OA,目前大多數(shù)的企業(yè)都在使用的一套OA系統(tǒng),我們來看下這個漏洞:通過遠(yuǎn)程代碼執(zhí)行可以直接調(diào)用CMD命令,對當(dāng)前的網(wǎng)站服務(wù)器進(jìn)行查看,執(zhí)行管理員權(quán)限的命令,危害較高,可以直接獲取服務(wù)器的管理權(quán)限,并對OA系統(tǒng)的數(shù)據(jù)進(jìn)行查詢,修改,資料可能會導(dǎo)致泄露。



該公司的企業(yè)OA辦公系統(tǒng)主要是以網(wǎng)站為主,人才系統(tǒng),權(quán)限系統(tǒng),以及部門管理后臺,業(yè)務(wù)流程管理,CRM,業(yè)績考核,訂單系統(tǒng),售后系統(tǒng),都以網(wǎng)站為基礎(chǔ)構(gòu)建,網(wǎng)站也對外開放,任何員工以及在任何地方,出差,手機(jī)上都可以隨時的辦公,在方便的同時,安全也面臨著嚴(yán)重的考驗,我們SINE安全技術(shù)對整個辦公系統(tǒng)滲透測試發(fā)現(xiàn),存在太多的漏洞,像XSS存儲漏洞,越權(quán)漏洞,在流程管理,方案提交功能上我們發(fā)現(xiàn)一處重要的越權(quán)漏洞,代碼如下:



可以直接越權(quán)對方案進(jìn)行控制,同意以及撤銷方案,查看其他人提交的方案,都是越權(quán)進(jìn)行操作,在正常的操作下是不允許的。還有一個未授權(quán)訪問的漏洞,可以看到很多管理員權(quán)限下的內(nèi)容如下圖:



甲方公司使用的VPN是思科的,對VPN賬號密碼進(jìn)行暴力破解的時候,有些賬號存在弱口令,被直接猜解到,建議甲方公司加強(qiáng)密碼的保護(hù),使其密碼的強(qiáng)度在10位以上,數(shù)字加字母加大小寫組合,以上就是對客戶OA系統(tǒng)進(jìn)行的滲透測試,大體就是以上幾個方面進(jìn)行的安全滲透,包括OA系統(tǒng),以及郵件系統(tǒng)。如果您對自身網(wǎng)站以及系統(tǒng)的安全不放心的話,建議找專業(yè)的安全公司來做滲透測試服務(wù),國內(nèi)SINE安全,深信服,綠盟都是比較有名的安全公司,檢查網(wǎng)站是否存在漏洞,以及安全隱患,別等業(yè)務(wù)發(fā)展起來,規(guī)模大的時候再考慮做滲透測試,那將來出現(xiàn)漏洞,帶來的損失也是無法估量的,網(wǎng)站在上線前要提前做滲透測試服務(wù),提前找到漏洞,修復(fù)漏洞,促使網(wǎng)站平臺安全穩(wěn)定的運(yùn)行。

我們專注高端建站,小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對接開發(fā)等。十余年開發(fā)經(jīng)驗,每一個項目承諾做到滿意為止,多一次對比,一定讓您多一份收獲!

本文章出于推來客官網(wǎng),轉(zhuǎn)載請表明原文地址:https://www.tlkjt.com/experience/7449.html
推薦文章

在線客服

掃碼聯(lián)系客服

3985758

回到頂部