白帽駭客資安網-網站安全的靠山,提供漏洞修補,網站被駭入侵,網站資訊安全服務

OA辦公室系統,入侵滲透測試服務與檢驗修復分享

OA辦公室系統,入侵滲透測試服務與檢驗修復分享

          滲透測試服務,是甲方授權乙方安全公司對自身的網站,以及APP,辦公系統進行的全

面人工安全滲透,對漏洞的檢測與測試,包括SQL注入漏洞,XSS存儲漏洞,反射漏洞,邏輯

漏洞,越權漏洞,我們esafe安全公司在進行滲透測試前,是需要甲方公司的授權才能進行,

沒有授權的滲透以及網站漏洞測試在法律上來講是違法的,非法滲透帶來的一切責任與後果,

要自行承擔,需要滲透測試服務的一定要找正規的安全公司來做,以防上當。前段時間我們

esafe安全公司,收到甲方公司的滲透測試ORDER,對公司使用的OA辦公系統進行全面的安全

檢測,與漏洞測試,針對前期我們做的一些準備,與測試內容,我們來詳細跟大家分享一下

滲透測試的過程。
 
 
很多中小型企業都有自身的OA辦公系統,為了員工辦公,審批流程,工作簡化,OA系統在整

個公司裡起到了重要的扭曲作用,大大的減少了公司運營成本,溝通時間成本,促進員工更高

效的工作,在使用的過程中也帶來了很多安全的隱患,在對OA辦公系統進行滲透測試服務的

時候,我們要從以下幾個方面進行安全測試:




 
在滲透測試之前我們第一要明白,瞭解在客戶的公司內部網路中,都有使用那些辦公系統,是

使用的協力廠商公司開發的辦公系統,還是自己工程師單獨研發的,如果是自行開發的,那漏洞

會很容易的測試出來,協力廠商公司開發的相對來說漏洞沒有那麼多,需要時間與精力去進行詳

細的測試,才能發現漏洞。公司裡使用的郵件系統一般來說使用QQ企業郵箱,gmial郵箱,16

3郵箱,微軟的exchange郵箱使用的最多。




 
OA辦公系統,用友,致遠OA系統都存在遠端代碼執行漏洞,客戶目前使用的致遠OA,目前大多

數的企業都在使用的一套OA系統,我們來看下這個漏洞:通過遠端代碼執行可以直接調用CMD

命令,對當前的網站伺服器進行查看,執行管理員許可權的命令,危害較高,可以直接獲取伺服器

的管理許可權,並對OA系統的資料進行查詢,修改,資料可能會導致洩露。


 
該公司的企業OA辦公系統主要是以網站為主,人才系統,許可權系統,以及部門管理後臺,業務流

程管理,CRM,業績考核,訂單系統,售後系統,都以網站為基礎構建,網站也對外開放,任何

員工以及在任何地方,出差,手機上都可以隨時的辦公,在方便的同時,安全也面臨著嚴重的考

驗,我們esafe安全技術對整個辦公系統滲透測試發現,存在太多的漏洞,像XSS存儲漏洞,越權

漏洞,在流程管理,方案提交功能上我們發現一處重要的越權漏洞,代碼如下:
 


 
可以直接越權對方案進行控制,同意以及撤銷方案,查看其他人提交的方案,都是越權進行操作

,在正常的操作下是不允許的。還有一個未授權訪問的漏洞,可以看到很多管理員許可權下的內容

如下圖:


 

 
甲方公司使用的VPN是思科的,對VPN帳號密碼進行暴力破解的時候,有些帳號存在弱口令,被

直接猜解到,建議甲方公司加強式密碼的保護,使其密碼的強度在10位元以上,數位加字母加大小寫

組合,以上就是對客戶OA系統進行的滲透測試,大體就是以上幾個方面進行的安全滲透,包括

OA系統,以及郵件系統。如果您對自身網站以及系統的安全不放心的話,建議找專業的安全公司

來做滲透測試服務,國內esafe安全,深信服,綠盟都是比較有名的安全公司,檢查網站是否存在

漏洞,以及安全隱患,別等業務發展起來,規模大的時候再考慮做滲透測試,那將來出現漏洞,

帶來的損失也是無法估量的,網站在上線前要提前做滲透測試服務,提前找到漏洞,修復漏洞,

促使網站平臺安全穩定的運行。
 
 

分享: