渗透测试
某医疗系统验收渗透测试项目
渗透测试,根据权威的审计标准,对系统进行渗透测试,帮助客户发现系统中潜在的安全风险。
项目背景
该客户自2002年涉足医疗产业,是国内医疗服务行业较早的社会资本办医企业之一,在十余年的发展历程中一直积极探索民营资本办医的特色道路,始终专注于为社会大众提供优质的医疗服务。 目前,该客户已在全国运营或筹建了14家医疗机构,包括4家综合医院、10家专科医院,合计开放床位1800余张。
方案实施
安全团队承接了该项目后,针对系统是一个医疗产品采购平台,涉及较多的资金交易,分析其系统架构,流程环节处等,定制了如下的实施方案:
对系统进行全面的渗透测试,覆盖更多的测试点。
角色复杂,不同角色之间的权限不同,需要排查水平权限与垂直权限的问题。
有交易功能,需要对交易过程中资金的安全性做测试。
针对发现的漏洞,提供修复方案,并进行整改后的系统回审。
项目成果
经过几周的努力,系统的检测和加固方案顺利完成,得到客户方的赞誉。其中发现并修复了多个严重的安全漏洞:
本地文件包含——可以得到服务器的账号密码从而控制服务器,也可以在服务器上挂木马,感染访问的用户,获取机密信息。
目录遍历——能读取任意数据,可以得到class代码及相关机密信息。
跨权限操作——系统中的角色权限可以通过攻击性手段得到提升,危害系统操作安全。
跨站请求伪造——攻击者可以利用该漏洞对系统进行恶意操作。