网站安全渗透测试服务 OA办公系统越权漏洞检测与修复

简介: 渗透测试服务,是甲方授权乙方安全公司对自身的网站,以及APP,办公系统进行的全面人工安全渗透,对漏洞的检测与测试,包括SQL注入漏洞,XSS存储漏洞,反射漏洞,逻辑漏洞,越权漏洞,我们SINE安全公司在进行渗透测试前,是需要甲方公司的授权才能进行,没有授权的渗透以及网站漏洞测试在法律上来讲是违法的,非法渗透带来的一切责任与后果,要自行承担,需要渗透测试服务的一定要找正规的安全公司来做,以防上当。前段时间我们SINE安全公司,收到甲方公司的渗透测试ORDER,对公司使用的OA办公系统进行全面的安全检测,与漏洞测试,针对前期我们做的一些准备,与测试内容,我们来详细跟大家分享一下渗透测试的过程。

渗透测试服务,是甲方授权乙方安全公司对自身的网站,以及APP,办公系统进行的全面人工安全渗透,对漏洞的检测与测试,包括SQL注入漏洞,XSS存储漏洞,反射漏洞,逻辑漏洞,越权漏洞,我们SINE安全公司在进行渗透测试前,是需要甲方公司的授权才能进行,没有授权的渗透以及网站漏洞测试在法律上来讲是违法的,非法渗透带来的一切责任与后果,要自行承担,需要渗透测试服务的一定要找正规的安全公司来做,以防上当。前段时间我们SINE安全公司,收到甲方公司的渗透测试ORDER,对公司使用的OA办公系统进行全面的安全检测,与漏洞测试,针对前期我们做的一些准备,与测试内容,我们来详细跟大家分享一下渗透测试的过程。


很多中小型企业都有自身的OA办公系统,为了员工办公,审批流程,工作简化,OA系统在整个公司里起到了重要的扭曲作用,大大的减少了公司运营成本,沟通时间成本,促进员工更高效的工作,在使用的过程中也带来了很多安全的隐患,在对OA办公系统进行渗透测试服务的时候,我们要从以下几个方面进行安全测试:


6a600c338744ebf85faf9190fae4f42f6159a761.jpeg


在渗透测试之前我们第一要明白,了解在客户的公司内部网络中,都有使用那些办公系统,是使用的第三方公司开发的办公系统,还是自己工程师单独研发的,如果是自行开发的,那漏洞会很容易的测试出来,第三方公司开发的相对来说漏洞没有那么多,需要时间与精力去进行详细的测试,才能发现漏洞。公司里使用的邮件系统一般来说使用QQ企业邮箱,gmial邮箱,163邮箱,微软的exchange邮箱使用的最多。


cf1b9d16fdfaaf51a10d5c81aba1bbebf11f7a18.jpeg


OA办公系统,用友,致远OA系统都存在远程代码执行漏洞,客户目前使用的致远OA,目前大多数的企业都在使用的一套OA系统,我们来看下这个漏洞:通过远程代码执行可以直接调用CMD命令,对当前的网站服务器进行查看,执行管理员权限的命令,危害较高,可以直接获取服务器的管理权限,并对OA系统的数据进行查询,修改,资料可能会导致泄露。


0dd7912397dda144c91cf5789f42ffa70ef486d9.jpeg


该公司的企业OA办公系统主要是以网站为主,人才系统,权限系统,以及部门管理后台,业务流程管理,CRM,业绩考核,订单系统,售后系统,都以网站为基础构建,网站也对外开放,任何员工以及在任何地方,出差,手机上都可以随时的办公,在方便的同时,安全也面临着严重的考验,我们SINE安全技术对整个办公系统渗透测试发现,存在太多的漏洞,像XSS存储漏洞,越权漏洞,在流程管理,方案提交功能上我们发现一处重要的越权漏洞,代码如下:


bd315c6034a85edff24602696fa12626df5475a8.jpeg


可以直接越权对方案进行控制,同意以及撤销方案,查看其他人提交的方案,都是越权进行操作,在正常的操作下是不允许的。还有一个未授权访问的漏洞,可以看到很多管理员权限下的内容如下图:


c995d143ad4bd1139c4b2bea7c5a8b0a49fb055a.jpeg


甲方公司使用的VPN是思科的,对VPN账号密码进行暴力破解的时候,有些账号存在弱口令,被直接猜解到,建议甲方公司加强密码的保护,使其密码的强度在10位以上,数字加字母加大小写组合,以上就是对客户OA系统进行的渗透测试,大体就是以上几个方面进行的安全渗透,包括OA系统,以及邮件系统。如果您对自身网站以及系统的安全不放心的话,建议找专业的安全公司来做渗透测试服务,国内SINE安全,深信服,绿盟都是比较有名的安全公司,检查网站是否存在漏洞,以及安全隐患,别等业务发展起来,规模大的时候再考虑做渗透测试,那将来出现漏洞,带来的损失也是无法估量的,网站在上线前要提前做渗透测试服务,提前找到漏洞,修复漏洞,促使网站平台安全稳定的运行。

相关文章
|
5月前
|
测试技术 API
使用 Postman 工具高效管理和测试 SAP ABAP OData 服务的试读版
使用 Postman 工具高效管理和测试 SAP ABAP OData 服务的试读版
54 1
|
6天前
|
SQL 安全 关系型数据库
接上篇文章,在测试宝塔 WAF 的未授权访问漏洞时无意间还发现了一个 SQL 注入漏洞
接上篇文章,在测试宝塔 WAF 的未授权访问漏洞时无意间还发现了一个 SQL 注入漏洞,品相还不错,可执行任意 SQL 语句。 总之,吃了一惊,一个防 SQL 注入的工具居然也有 SQL 注入漏洞。 请看这段代码
319 0
|
2月前
|
Oracle 关系型数据库 大数据
助力工业物联网,工业大数据之服务域:Shell调度测试【三十三】
助力工业物联网,工业大数据之服务域:Shell调度测试【三十三】
17 1
|
2月前
|
SQL 前端开发 Java
Hasor【环境搭建 01】SpringBoot集成Dataway接口配置服务(依赖+配置+数据库数据源初始化+注解添加+demo验证测试)
Hasor【环境搭建 01】SpringBoot集成Dataway接口配置服务(依赖+配置+数据库数据源初始化+注解添加+demo验证测试)
33 0
|
2月前
|
存储 网络协议 数据库
Windows服务器——部署WSUS服务与综合测试
Windows服务器——部署WSUS服务与综合测试
146 0
|
2月前
|
缓存 Java 关系型数据库
Spring Boot实现RESTful接口架构实战(包括REST的讲解、定义、REST服务测试)
Spring Boot实现RESTful接口架构实战(包括REST的讲解、定义、REST服务测试)
37 0
|
2月前
|
监控 Cloud Native 测试技术
PTS 3.0:可观测加持的下一代性能测试服务
PTS 3.0:可观测加持的下一代性能测试服务
97139 3
|
2月前
|
SQL 安全 网络安全
【Web渗透测试】—Web漏洞
【Web渗透测试】—Web漏洞
|
2月前
|
监控 安全 算法
漏洞测试与防护:监控局域网络的软件实用指南(Swift)
在当今数字时代,使用监控局域网络的软件维护网络安全至关重要。为了保护局域网络免受潜在威胁,漏洞测试和防护措施是必不可少的。本文将介绍一种基于Swift编程语言的软件实用指南,帮助您监控局域网络并加强安全性。
200 0
|
3月前
|
安全 Shell Windows
#windowsxpsp3系统MS08-067漏洞测试
#windowsxpsp3系统MS08-067漏洞测试
21 0