滲透測(cè)試服務(wù)，是甲方授權(quán)乙方安全公司對(duì)自身的網(wǎng)站，以及APP,辦公系統(tǒng)進(jìn)行的全面人工安全滲透，對(duì)漏洞的檢測(cè)與測(cè)試，包括SQL注入漏洞,XSS存儲(chǔ)漏洞，反射漏洞，邏輯漏洞，越權(quán)漏洞，我們SINE安全公司在進(jìn)行滲透測(cè)試前，是需要甲方公司的授權(quán)才能進(jìn)行，沒(méi)有授權(quán)的滲透以及網(wǎng)站漏洞測(cè)試在法律上來(lái)講是違法的，非法滲透帶來(lái)的一切責(zé)任與后果，要自行承擔(dān)，需要滲透測(cè)試服務(wù)的一定要找正規(guī)的安全公司來(lái)做，以防上當(dāng)。前段時(shí)間我們SINE安全公司，收到甲方公司的滲透測(cè)試ORDER,對(duì)公司使用的OA辦公系統(tǒng)進(jìn)行全面的安全檢測(cè)，與漏洞測(cè)試，針對(duì)前期我們做的一些準(zhǔn)備，與測(cè)試內(nèi)容，我們來(lái)詳細(xì)跟大家分享一下滲透測(cè)試的過(guò)程。

很多中小型企業(yè)都有自身的OA辦公系統(tǒng)，為了員工辦公，審批流程，工作簡(jiǎn)化，OA系統(tǒng)在整個(gè)公司里起到了重要的扭曲作用，大大的減少了公司運(yùn)營(yíng)成本，溝通時(shí)間成本，促進(jìn)員工更高效的工作，在使用的過(guò)程中也帶來(lái)了很多安全的隱患，在對(duì)OA辦公系統(tǒng)進(jìn)行滲透測(cè)試服務(wù)的時(shí)候，我們要從以下幾個(gè)方面進(jìn)行安全測(cè)試：

在滲透測(cè)試之前我們第一要明白，了解在客戶的公司內(nèi)部網(wǎng)絡(luò)中，都有使用那些辦公系統(tǒng)，是使用的第三方公司開(kāi)發(fā)的辦公系統(tǒng)，還是自己工程師單獨(dú)研發(fā)的，如果是自行開(kāi)發(fā)的，那漏洞會(huì)很容易的測(cè)試出來(lái)，第三方公司開(kāi)發(fā)的相對(duì)來(lái)說(shuō)漏洞沒(méi)有那么多，需要時(shí)間與精力去進(jìn)行詳細(xì)的測(cè)試，才能發(fā)現(xiàn)漏洞。公司里使用的郵件系統(tǒng)一般來(lái)說(shuō)使用QQ企業(yè)郵箱，gmial郵箱，163郵箱，微軟的exchange郵箱使用的最多。

OA辦公系統(tǒng)，用友，致遠(yuǎn)OA系統(tǒng)都存在遠(yuǎn)程代碼執(zhí)行漏洞，客戶目前使用的致遠(yuǎn)OA，目前大多數(shù)的企業(yè)都在使用的一套OA系統(tǒng)，我們來(lái)看下這個(gè)漏洞：通過(guò)遠(yuǎn)程代碼執(zhí)行可以直接調(diào)用CMD命令，對(duì)當(dāng)前的網(wǎng)站服務(wù)器進(jìn)行查看，執(zhí)行管理員權(quán)限的命令，危害較高，可以直接獲取服務(wù)器的管理權(quán)限，并對(duì)OA系統(tǒng)的數(shù)據(jù)進(jìn)行查詢，修改，資料可能會(huì)導(dǎo)致泄露。

該公司的企業(yè)OA辦公系統(tǒng)主要是以網(wǎng)站為主，人才系統(tǒng)，權(quán)限系統(tǒng)，以及部門(mén)管理后臺(tái)，業(yè)務(wù)流程管理，CRM，業(yè)績(jī)考核，訂單系統(tǒng)，售后系統(tǒng)，都以網(wǎng)站為基礎(chǔ)構(gòu)建，網(wǎng)站也對(duì)外開(kāi)放，任何員工以及在任何地方，出差，手機(jī)上都可以隨時(shí)的辦公，在方便的同時(shí)，安全也面臨著嚴(yán)重的考驗(yàn)，我們SINE安全技術(shù)對(duì)整個(gè)辦公系統(tǒng)滲透測(cè)試發(fā)現(xiàn)，存在太多的漏洞，像XSS存儲(chǔ)漏洞，越權(quán)漏洞，在流程管理，方案提交功能上我們發(fā)現(xiàn)一處重要的越權(quán)漏洞，代碼如下：

可以直接越權(quán)對(duì)方案進(jìn)行控制，同意以及撤銷(xiāo)方案，查看其他人提交的方案，都是越權(quán)進(jìn)行操作，在正常的操作下是不允許的。還有一個(gè)未授權(quán)訪問(wèn)的漏洞，可以看到很多管理員權(quán)限下的內(nèi)容如下圖：

甲方公司使用的VPN是思科的，對(duì)VPN賬號(hào)密碼進(jìn)行暴力破解的時(shí)候，有些賬號(hào)存在弱口令，被直接猜解到，建議甲方公司加強(qiáng)密碼的保護(hù)，使其密碼的強(qiáng)度在10位以上，數(shù)字加字母加大小寫(xiě)組合，以上就是對(duì)客戶OA系統(tǒng)進(jìn)行的滲透測(cè)試，大體就是以上幾個(gè)方面進(jìn)行的安全滲透，包括OA系統(tǒng)，以及郵件系統(tǒng)。如果您對(duì)自身網(wǎng)站以及系統(tǒng)的安全不放心的話，建議找專業(yè)的安全公司來(lái)做滲透測(cè)試服務(wù)，國(guó)內(nèi)SINE安全，深信服，綠盟都是比較有名的安全公司，檢查網(wǎng)站是否存在漏洞，以及安全隱患，別等業(yè)務(wù)發(fā)展起來(lái)，規(guī)模大的時(shí)候再考慮做滲透測(cè)試，那將來(lái)出現(xiàn)漏洞，帶來(lái)的損失也是無(wú)法估量的，網(wǎng)站在上線前要提前做滲透測(cè)試服務(wù)，提前找到漏洞，修復(fù)漏洞，促使網(wǎng)站平臺(tái)安全穩(wěn)定的運(yùn)行。