渗透测试服务 OA办公系统越权漏洞检测与修复



            渗透测试服务,是甲方授权乙方安全公司对自身的网站,以及APP,办公系统进行的全

面人工安全渗透,对漏洞的检测与测试,包括SQL注入漏洞,XSS存储漏洞
,反射漏洞,逻辑

漏洞,越权漏洞,我们SINE安全公司在进行渗透测试前,是需要
甲方公司的授权才能进行,

没有授权的渗透以及网站漏洞测试在法律上来讲是违法
的,非法渗透带来的一切责任与后果,

要自行承担,需要渗透测试服务的一定要找
正规的安全公司来做,以防上当。前段时间我们

SINE安全公司,收到甲方公司的渗
透测试ORDER,对公司使用的OA办公系统进行全面的安全

检测,与漏洞测试,针对前
期我们做的一些准备,与测试内容,我们来详细跟大家分享一下

渗透测试的过程。
 
 
很多中小型企业都有自身的OA办公系统,为了员工办公,审批流程,工作简化,OA系统在整

个公司里起到了重要的扭曲作用,大大的减少了公司运营成本,沟通时间
成本,促进员工更高

效的工作,在使用的过程中也带来了很多安全的隐患,在对OA
办公系统进行渗透测试服务的

时候,我们要从以下几个方面进行安全测试:

 
在渗透测试之前我们第一要明白,了解在客户的公司内部网络中,都有使用那些办公系统,是

使用的第三方公司开发的办公系统,还是自己工程师单独研发的,如果
是自行开发的,那漏洞

会很容易的测试出来,第三方公司开发的相对来说漏洞没有
那么多,需要时间与精力去进行详

细的测试,才能发现漏洞。公司里使用的邮件系
统一般来说使用QQ企业邮箱,gmial邮箱,16

3邮箱,微软的exchange邮箱使用的最
多。

 
OA办公系统,用友,致远OA系统都存在远程代码执行漏洞,客户目前使用的致远OA,目前大多

数的企业都在使用的一套OA系统,我们来看下这个漏洞:
通过远程代码执行可以直接调用CMD

命令,对当前的网站服务器进行查看,执行管
理员权限的命令,危害较高,可以直接获取服务器

的管理权限,并对OA系统的数据
进行查询,修改,资料可能会导致泄露。

 
该公司的企业OA办公系统主要是以网站为主,人才系统,权限系统,以及部门管理后台,业务流

程管理,CRM,业绩考核,订单系统,售后系统,都以网站为基础构
建,网站也对外开放,任何

员工以及在任何地方,出差,手机上都可以随时的办公
,在方便的同时,安全也面临着严重的考

验,我们SINE安全技术对整个办公系统渗
透测试发现,存在太多的漏洞,像XSS存储漏洞,越权

漏洞,在流程管理,方案提
交功能上我们发现一处重要的越权漏洞,代码如下:
 


 
可以直接越权对方案进行控制,同意以及撤销方案,查看其他人提交的方案,都是越权进行操作

,在正常的操作下是不允许的。还有一个未授权访问的漏洞,可以看
到很多管理员权限下的内容

如下图:
 
 
甲方公司使用的VPN是思科的,对VPN账号密码进行暴力破解的时候,有些账号存在弱口令,被

直接猜解到,建议甲方公司加强密码的保护,使其密码的强度在10位以
上,数字加字母加大小写

组合,以上就是对客户OA系统进行的渗透测试,大体就是
以上几个方面进行的安全渗透,包括

OA系统,以及邮件系统。如果您对自身网站以
及系统的安全不放心的话,建议找专业的安全公司

来做渗透测试服务,国内SINE安
全,深信服,绿盟都是比较有名的安全公司,检查网站是否存在

漏洞,以及安全隐
患,别等业务发展起来,规模大的时候再考虑做渗透测试,那将来出现漏洞,

带来
的损失也是无法估量的,网站在上线前要提前做渗透测试服务,提前找到漏洞,修复漏洞,

促使网站平台安全稳定的运行。
分享: