欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

网站安全渗透 对OA系统越权漏洞测试与修复

程序员文章站 2023-01-05 18:58:35
渗透测试服务,是甲方授权乙方安全公司对自身的网站,以及APP,办公系统进行的全面人工安全渗透,对漏洞的检测与测试,包括SQL注入漏洞,XSS存储漏洞,反射漏洞,逻辑漏洞,越权漏洞,我们SINE安全公司在进行渗透测试前...

渗透测试服务,是甲方授权乙方安全公司对自身的网站,以及app,办公系统进行的全面人工安全渗透,对漏洞的检测与测试,包括sql注入漏洞,xss存储漏洞,反射漏洞,逻辑漏洞,越权漏洞,我们sine安全公司在进行渗透测试前,是需要甲方公司的授权才能进行,没有授权的渗透以及网站漏洞测试在法律上来讲是违法的,非法渗透带来的一切责任与后果,要自行承担,需要渗透测试服务的一定要找正规的安全公司来做,以防上当。前段时间我们sine安全公司,收到甲方公司的渗透测试order,对公司使用的oa办公系统进行全面的安全检测,与漏洞测试,针对前期我们做的一些准备,与测试内容,我们来详细跟大家分享一下渗透测试的过程。

很多中小型企业都有自身的oa办公系统,为了员工办公,审批流程,工作简化,oa系统在整个公司里起到了重要的扭曲作用,大大的减少了公司运营成本,沟通时间成本,促进员工更高效的工作,在使用的过程中也带来了很多安全的隐患,在对oa办公系统进行渗透测试服务的时候,我们要从以下几个方面进行安全测试:

网站安全渗透 对OA系统越权漏洞测试与修复

在渗透测试之前我们第一要明白,了解在客户的公司内部网络中,都有使用那些办公系统,是使用的第三方公司开发的办公系统,还是自己工程师单独研发的,如果是自行开发的,那漏洞会很容易的测试出来,第三方公司开发的相对来说漏洞没有那么多,需要时间与精力去进行详细的测试,才能发现漏洞。公司里使用的邮件系统一般来说使用qq企业邮箱,gmial邮箱,163邮箱,微软的exchange邮箱使用的最多。

网站安全渗透 对OA系统越权漏洞测试与修复

oa办公系统,用友,致远oa系统都存在远程代码执行漏洞,客户目前使用的致远oa,目前大多数的企业都在使用的一套oa系统,我们来看下这个漏洞:通过远程代码执行可以直接调用cmd命令,对当前的网站服务器进行查看,执行管理员权限的命令,危害较高,可以直接获取服务器的管理权限,并对oa系统的数据进行查询,修改,资料可能会导致泄露。

网站安全渗透 对OA系统越权漏洞测试与修复

该公司的企业oa办公系统主要是以网站为主,人才系统,权限系统,以及部门管理后台,业务流程管理,crm,业绩考核,订单系统,售后系统,都以网站为基础构建,网站也对外开放,任何员工以及在任何地方,出差,手机上都可以随时的办公,在方便的同时,安全也面临着严重的考验,我们sine安全技术对整个办公系统渗透测试发现,存在太多的漏洞,像xss存储漏洞,越权漏洞,在流程管理,方案提交功能上我们发现一处重要的越权漏洞,代码如下:

网站安全渗透 对OA系统越权漏洞测试与修复

可以直接越权对方案进行控制,同意以及撤销方案,查看其他人提交的方案,都是越权进行操作,在正常的操作下是不允许的。还有一个未授权访问的漏洞,可以看到很多管理员权限下的内容如下图:

网站安全渗透 对OA系统越权漏洞测试与修复

甲方公司使用的vpn是思科的,对vpn账号密码进行暴力破解的时候,有些账号存在弱口令,被直接猜解到,建议甲方公司加强密码的保护,使其密码的强度在10位以上,数字加字母加大小写组合,以上就是对客户oa系统进行的渗透测试,大体就是以上几个方面进行的安全渗透,包括oa系统,以及邮件系统。如果您对自身网站以及系统的安全不放心的话,建议找专业的安全公司来做渗透测试服务,国内sine安全,深信服,绿盟都是比较有名的安全公司,检查网站是否存在漏洞,以及安全隐患,别等业务发展起来,规模大的时候再考虑做渗透测试,那将来出现漏洞,带来的损失也是无法估量的,网站在上线前要提前做渗透测试服务,提前找到漏洞,修复漏洞,促使网站平台安全稳定的运行。