網路攻防與技術應用 - 期中報告

# 網路攻防與技術應用 - 期中報告 ## 弱點掃描報告 - 以公司的LineBOT主機、LineBOT Webhook URL為受測目標 ## 一、摘要 ### 1.1 基本資訊 #### 經該程式開發與維護者同意，對受測目標進行弱點掃描 | 評測時間 | 2022年04月22日 | | -------- | -------- | | 對象 | 公司LineBOT主機(內部IP：192.168.1.25)、LineBOT Webhook URL(https://78c4-59-125-65-242.jp.ngrok.io)=(http://192.168.1.25:1880/) | |說明|平均每月會更換一次LineBOT Webhook URL| #### LineBOT Webhook URL ![](https://i.imgur.com/xJbesSG.jpg) #### 登入後為以下畫面 ![](https://i.imgur.com/2aJOQ51.jpg) #### nslookup查詢網址的ip地址以及ip地址所對應的域名 ![](https://i.imgur.com/cPiWmmv.jpg) ### 1.2 測試方法 #### 甲方會提供標靶的資訊，讓乙方盡可能將精力放在找出受測系統的弱點(漏洞)上,使用各種主流測評工具Nessus、OpenVAS、OWASP ZAP，進行系統、網頁的弱點掃描 ## 二、系統弱點掃描 ### 2.1 Nessus Advanced Scan 結果 #### Nessus漏洞評分系統（CVSS v3.0） ![](https://i.imgur.com/PhXGvym.jpg) #### Nessus掃描結果 ![](https://i.imgur.com/Itw1kuE.jpg) ### * #### 51192 - SSL Certificate Cannot Be Trusted(中風險) > #### 【問題連結】[SSL 證書不可信](https://www.tenable.com/plugins/nessus/51192) > #### 【問題說明】無法信任此服務的 SSL 證書。 > #### 【CVSS v3.0】 6.5 > #### 【主機端口】 tcp/10000/www > #### 【解決方案】為此服務購買或生成適當的 SSL 證書。 * #### 57582 - SSL Self-Signed Certificate(中風險) > #### 【問題連結】[SSL 自簽名證書](https://www.tenable.com/plugins/nessus/57582) > #### 【問題說明】此服務的 SSL 證書鏈以無法識別的自簽名證書結尾。 > #### 【CVSS v3.0】 6.4* > #### 【主機端口】 tcp/10000/www > #### 【解決方案】為此服務購買或生成適當的 SSL 證書。 ### 2.2 OpenVAS 掃描結果 ![](https://i.imgur.com/rJg8yJ5.jpg) * #### MQTT Broker Does Not Require Authentication(中風險) > #### 【問題連結】[MQTT Broker Does Not Require Authentication](https://www.heise.de/security/meldung/MQTT-Protokoll-IoT-Kommunikation-von-Reaktoren-und-Gefaengnissen-oeffentlich-einsehbar-3629650.html) > #### 【問題說明】MQTT 未啟用身分認證 > #### 【安全級別】6.4 (Medium) > #### 【主機端口】1883/tcp > #### 【解決方案】Enable authentication. ![](https://i.imgur.com/hmpwTiL.jpg) ![](https://i.imgur.com/BV73MKS.jpg) * #### SSL/TLS: Renegotiation DoS Vulnerability (CVE-2011-1473, CVE-2011-5094)(中風險) > #### 【問題連結】[SSL/TLS：重新協商 DoS 漏洞 (CVE-2011-1473, CVE-2011-5094)](https://github.com/coturn/coturn/issues/892) > #### 【問題說明】存在該缺陷是因為遠程 SSL/TLS 服務沒有正確限制 SSL 和 TLS 協議中客戶端發起的重新協商。 > #### 【安全級別】5.0 (Medium) > #### 【主機端口】10000/tcp > #### 【解決方案】一個通用的解決方案是從受影響的 SSL/TLS 服務中完全刪除/禁用重新協商功能。 ### 2.3 執行解決方案 #### 2.3.1 啟用防火牆，關閉10000 port，只開啟需要的port #### 查看防火牆狀態 ![](https://i.imgur.com/NAA13EN.jpg) #### 新增防火牆規則 ![](https://i.imgur.com/xHe327i.jpg) #### 刪除防火牆規則：先查看規則對應編號，再執行刪除 ![](https://i.imgur.com/xc6PD4D.jpg) #### 查看防火牆規則 ![](https://i.imgur.com/gUJeFnY.jpg) #### 啟用防火牆 ![](https://i.imgur.com/Zo8jdOF.jpg) #### 2.3.2 MQTT啟用身分認證 ![](https://i.imgur.com/bIvLtBZ.jpg) ### 2.4 Nessus再次掃描，已排除漏洞 ![](https://i.imgur.com/ynr4Hku.jpg) ### 2.5 OpenVAS再次掃描，已排除漏洞 ![](https://i.imgur.com/WaZklFK.jpg) ## 三、網頁弱點掃描 ### 3.1 OWASP ZAP掃描結果 ![](https://i.imgur.com/6O8XMRY.jpg) ![](https://i.imgur.com/taLDx0a.jpg) * #### Application Error Disclosure(中風險) > #### 【問題連結】[應用程序錯誤披露](https://www.zaproxy.org/docs/alerts/90022/) > #### 【問題說明】此頁面包含一條 ==錯誤/警告消息，可能會洩露敏感信息== ，例如產生未處理異常的文件的位置。此信息可用於對 Web 應用程序發起進一步的攻擊。如果在文檔頁面中發現錯誤消息，則該警報可能是誤報。 > #### 【解決方案】考慮實施一種機制，為客戶端（瀏覽器）提供唯一的錯誤引用/標識符，同時在服務器端記錄詳細信息而不將它們暴露給用戶。 * #### CSP: Wildcard Directive(中風險) > #### 【問題連結】[CSP通配符指令](https://www.zaproxy.org/docs/alerts/10055/) > #### 【問題說明】內容安全策略 ==(CSP) 是一個附加的安全層，有助於檢測和緩解某些類型的攻擊。== 包括（但不限於）跨站點腳本 (XSS) 和數據注入攻擊。這些攻擊用於從數據盜竊到站點破壞或惡意軟件分發的所有事情。CSP 提供了一組標準 HTTP 標頭，允許網站所有者聲明允許瀏覽器在該頁面上加載的已批准內容源——涵蓋的類型包括 JavaScript、CSS、HTML 框架、字體、圖像和可嵌入對象，例如 Java 小程序、 ActiveX、音頻和視頻文件。 > #### 【解決方案】確保您的 Web 服務器、應用程序服務器、負載均衡器等已正確配置以==設置 Content-Security-Policy 標頭。== * #### Content Security Policy (CSP) Header Not Set(中風險) > #### 【問題連結】[未設置內容安全策略 (CSP) 標頭](https://www.zaproxy.org/docs/alerts/10038/) > #### 【問題說明】同上一個問題 > #### 【解決方案】同上一個問題 * #### Missing Anti-clickjacking Header(中風險) > #### 【問題連結】[缺少反點擊劫持標頭](https://www.zaproxy.org/docs/alerts/10020-1/) > #### 【問題說明】響應不包括帶有“frame-ancestors”指令的 Content-Security-Policy 或 X-Frame-Options 以防止“ClickJacking”攻擊。 > #### 【解決方案】現代 Web 瀏覽器支持 ==Content-Security-Policy== 和 ==X-Frame-Options HTTP== 標頭。確保在您的站點/應用程序返回的所有網頁上==設置其中之一==。如果您希望頁面僅由服務器上的頁面構成（例如，它是 FRAMESET 的一部分），那麼您將需要使用 SAMEORIGIN，否則如果您從不希望頁面被構建，您應該使用 DENY。或者考慮實施內容安全策略的“框架祖先”指令。 > https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options * #### Vulnerable JS Library(中風險) > #### 【問題連結】[易受攻擊的 JS 庫](https://www.acunetix.com/vulnerabilities/web/vulnerable-javascript-libraries/) > #### 【問題說明】您正在使用一個或多個易受攻擊的 JavaScript 庫。報告了此版本庫的一個或多個漏洞。有關受影響的庫和報告的漏洞的更多信息，請參閱攻擊詳細信息和 Web 參考。 > #### 【解決方案】==升級到最新版本==。 * #### Absence of Anti-CSRF Tokens(中風險) > #### 【問題連結】[缺少反CSRF令牌](https://scanrepeat.com/web-security-knowledge-base/absence-of-anti-csrf-tokens) > #### 【問題說明】缺少 Anti-CSRF 令牌可能會導致==跨站點請求偽造攻擊==，這可能導致作為另一個登錄用戶執行特定的應用程序操作，例如通過更改他們的電子郵件和密碼或靜默添加新的管理員用戶帳戶來竊取他們的帳戶。 > #### 攻擊者可能會復制您的 Web 應用程序表單之一，例如電子郵件/密碼更改表單。該網頁將包含一個表單，該表單具有與原始應用程序完全相同的字段集，但已提供輸入值，並且提交按鈕被替換為導致自動提交的 Javascript 代碼。當頁面被訪問時，表單將立即提交，頁面內容被替換為有效內容或重定向到您的原始應用程序。 > #### 您的某個已登錄的應用程序用戶可能會被誘騙導航到此類惡意頁面，例如通過單擊網絡釣魚電子郵件中的鏈接，並且預填充的表單內容將提交給您的應用程序，就像您提交的一樣。 > #### 【解決方案】可以通過在應用程序中的任何表單提交中==添加臨時有效的令牌==來解決此問題，例如作為==隱藏字段==： > #### `<input type="hidden" name="csrf" value="Fijd93djskDsdis9wijdSD938jISdj93jdISdj9s" />` * #### Cross-Domain Misconfiguration(中風險) > #### 【問題連結】[跨域配置错误](https://www.zaproxy.org/docs/alerts/10098/) > #### 【問題說明】由於 Web 服務器上的跨域資源共享 (CORS) 配置錯誤，可能會加載 Web 瀏覽器數據 > #### 【解決方案】==確保敏感數據不會以未經身份驗證的方式獲得==（例如使用 IP 地址白名單）。==將“Access-Control-Allow-Origin”HTTP 標頭配置為更具限制性的一組域==，或==完全刪除所有 CORS 標頭==，以允許 Web 瀏覽器以更嚴格的方式實施同源策略 (SOP)。 * #### Server Leaks Information via "X-Powered-By" HTTP Response Header Field(s)(低風險) > #### 【問題連結】[服務器通過“X-Powered-By”HTTP 響應標頭字段洩露信息](https://www.zaproxy.org/docs/alerts/10037/) > #### 【問題說明】Web/應用程序服務器通過一個或多個“X-Powered-By”HTTP 響應標頭洩漏信息。訪問此類信息可能有助於攻擊者識別您的 Web 應用程序所依賴的其他框架/組件以及此類組件可能存在的漏洞。 > #### 【解決方案】確保您的 Web 服務器、應用程序服務器、負載平衡器等配置為==禁止顯示“X-Powered-By”標頭==。 * #### Timestamp Disclosure - Unix(低風險) > #### 【問題連結】[時間戳披露](https://www.zaproxy.org/docs/alerts/10096/) > #### 【問題說明】應用程序/Web 服務器披露了時間戳 > #### 【解決方案】==手動確認時間戳數據不敏感，並且無法聚合數據以揭示可利用的模式==。 * #### X-Content-Type-Options Header Missing(低風險) > #### 【問題連結】[X-Content-Type-Options 標頭丟失](https://www.zaproxy.org/docs/alerts/10021/) > #### 【問題說明】==Anti-MIME-Sniffing 標頭 X-Content-Type-Options 未設置為“nosniff”==。這允許舊版本的 Internet Explorer 和 Chrome 對響應正文執行 MIME 嗅探，可能導致==響應正文被解釋並顯示為聲明的內容類型以外的內容類型==。 > #### 【解決方案】確保應用程序/Web 服務器適當地設置 Content-Type 標頭，並==將所有網頁的 X-Content-Type-Options 標頭設置為“nosniff”==。如果可能，請確保最終用戶使用完全不執行 MIME 嗅探的標準兼容的現代 Web 瀏覽器，或者可以由 Web 應用程序/Web ==服務器指示不執行 MIME 嗅探==。 * #### Information Disclosure - Suspicious Comments(Informational) > #### 【問題連結】[信息披露 - 可疑Comments](https://www.zaproxy.org/docs/alerts/10027/) > #### 【問題說明】該響應似乎包含可能幫助攻擊者的可疑Comments。注意：在腳本塊或文件中進行的匹配不僅針對Comments，還針對整個內容。 > #### 【解決方案】==刪除所有返回信息的Comments== * #### Re-examine Cache-control Directives(Informational) > #### 【問題連結】[重新檢查緩存控制指令](https://www.zaproxy.org/docs/alerts/10015/) > #### 【問題說明】緩存控制標頭未正確設置或丟失，允許瀏覽器和代理緩存內容。對於 css、js 或圖像文件等靜態資產，這可能是有意的，但是，應審查資源以確保不會緩存任何敏感內容。 > #### 【解決方案】對於安全內容，請確保==緩存控制 HTTP 標頭設置為“無緩存、無存儲、必須重新驗證”==。==如果應緩存資產，請考慮將指令設置為“public、max-age、immutable”==。