|
|
|
UGOS 12月迭代版本安全测试报告 |
|
版本号 |
A01 |
文件编号 |
XXXXXXXX |
|
文档密级 |
C级商密 |
编制部门 |
系统安全组 |
|
编制人 |
梁奕文(测试人员) |
日期 |
2023年12月27日 |
|
审核人 |
日期 |
年月日 |
|
|
批准人 |
日期 |
年月日 |
修订记录
|
序号 |
版本 |
修订内容简述 |
修订日期 |
修订人 |
审核人 |
批准人 |
|
1 |
A01 |
创建 |
龙攀、何智斌、梁奕文(测试人员) |
|||
|
|
|
|
|
|
|
|
目 录
1 测试对象及测试环境 1
1.1 测试对象概述 1
1.2 测试环境 1
2 测试概况 1
2.1 测试目的和范围 1
2.2 测试内容 1
2.3 测试结果 1
2.4 总结和建议 1
3 测试过程 2
3.1 测试扫描 2
3.2 安全基线测试 2
3.3 安全需求测试 2
3.4 历史问题测试 2
3.5 第三方组件/开源组件测试 2
3.6 Fuzz测试 2
3.7 渗透测试 2
4 历史遗留问题 5
5 附录 5
1 测试对象及测试环境
1.1 测试对象概述
本次测试针对UGOS12月迭代版本的安全性进行测试。
1.2 测试环境
硬件产品型号涵盖了DH2100+(ARM)、DX4600(X86);测试方式主要包括手动渗透测试和代码审计。
2 测试概况
2.1 测试目的和范围
本次测试针对UGOS12月迭代版本的安全性进行测试;
安全测试对象包括UGOS的Server端、Cloud端;
硬件产品型号涵盖了DH2100+(ARM)、DX4600(X86);
测试方式包括手动渗透测试和代码审计。
2.2 测试内容
1 版本新增的安全需求:ftp日志上报整改,暴露面收缩,登录公钥更新策略
2 命令注入排查
3 Sql注入排查
4 目录穿越和权限控制
5 文件整理模块渗透
2.3 测试结果
测试共发现漏洞53个,其中,已关闭45个,已解决4个,激活4个。
2.4 总结和建议
本次版本提测发现的安全问题还是挺多的,而且大多数都是由历史代码产生的漏洞,新增需求并未产生新的漏洞(主要是后端落地安全需求),因此可见对于历史代码的安全质量很差,新增需求并未过多涉及业务,安全质量不好评估。
基于本次发现的问题,以下是对于UGOS的整改建议:
1 统一做命令执行的排查,搜索system(),popen(),run_cmd等函数,凡是有做字符串命令拼接执行的,都应该使用自定义函数system_cmd_format_arg()对参数进行处理(注意参数不能再使用单引号包着)。
2 统一做sql语句执行排查,搜索nas_db_exec()等sql语句执行函数,凡是有做字符串sql语句拼接的,都应该把sql语句中的%s替换为%q,同时使用dbSqlSprintf()函数做参数替换,或者在执行sql语句前进行预编译。
3 统一对接口中的有使用传入路径进行操作进行穿越和权限整改,在进入主逻辑前检查绝对路径权限和判断目录是否属于该用户。
4 统一对接口入口处进行空指针调用排查,即外部传入参数调用前是否判断指针是否为空。
3 测试过程
3.1 测试扫描
无
3.2 安全基线测试
无
3.3 安全需求测试
|
序号 |
需求 |
状态 |
|
1 |
解决日志采用ftp上报至云端 |
没问题 |
|
2 |
暴露面收缩 |
收缩不彻底,http://zentao.ugreengroup.com:8081/bug-view-27753.html |
|
3 |
解决客户端每次登录成功都返回同样的公钥 |
没问题 |
3.4 历史问题测试
无
3.5 第三方组件/开源组件测试
无
3.6 Fuzz测试
无
3.7 渗透测试
|
序号 |
漏洞详情 |
状态 |
|
1 |
【UGOS系统】【高危】任务添加接口/v1/task/add存在越权删除文件漏洞 |
已关闭 |
|
2 |
【UGOS系统】【中危】/v1/ai/album/background接口存在空指针调用导致服务崩溃 |
已关闭 |
|
3 |
【UGOS系统】【高危】分享文件上报接口/v1/link/file/report存在sql注入漏洞 |
已解决 |
|
4 |
【UGOS系统】【高危】分享文件预下载接口/v1/link/download_pre_multi存在sql注入漏洞 |
已解决 |
|
5 |
【UGOS系统】【高危】文件上传成功接口/v1/file/multipart/complete存在sql注入漏洞 |
已解决 |
|
6 |
【UGOS系统】【高危】文件上传创建新文件接口/v1/file/multipart/create存在sql注入漏洞 |
已解决 |
|
7 |
【UGOS系统】【高危】指定文件扫描服务接口/v1/remove_duplicate_files/start_scan存在目录穿越扫描漏洞 |
已关闭 |
|
8 |
【UGOS系统】【高危】删除指定重复的文件接口/v1/remove_duplicate_files/delete存在越权删除文件漏洞 |
已关闭 |
|
9 |
【UGOS系统】【严重】删除指定重复的文件接口/v1/remove_duplicate_files/delete存在命令注入漏洞 |
已关闭 |
|
10 |
【UGOS系统】【高危】docker容器目录任意挂载可导致越权读取/修改任意文件 |
已关闭 |
|
11 |
【UGOS系统】【严重】获取samba共享目录接口/v2/samba/getShareDirs存在命令注入漏洞 |
已关闭 |
|
12 |
【UGOS系统】【严重】获取samba共享目录接口/v1/samba/getShareDirs存在命令注入漏洞 |
已关闭 |
|
13 |
【UGOS系统】【严重】swap存储查询接口/v2/storage/swapquery存在命令注入漏洞 |
已关闭 |
|
14 |
【UGOS系统】【严重】swap存储删除接口/v2/storage/swapdelete存在命令注入漏洞 |
已关闭 |
|
15 |
【UGOS系统】【严重】swap存储新增接口/v2/storage/swapcreate存在命令注入漏洞 |
已关闭 |
|
16 |
【UGOS系统】【严重】获取存储修复接口/v2/storage/repairquery存在命令注入漏洞 |
已关闭 |
|
17 |
【UGOS系统】【严重】存储修复接口/v2/storage/repair存在命令注入漏洞 |
已关闭 |
|
18 |
【UGOS系统】【严重】存储网络新增接口/v5/storage/network/create存在命令注入漏洞 |
已关闭 |
|
19 |
【UGOS系统】【严重】存储网络新增接口/v4/storage/network/create存在命令注入漏洞 |
已关闭 |
|
20 |
【UGOS系统】【严重】存储网络新增接口/v3/storage/network/create存在命令注入漏洞 |
已关闭 |
|
21 |
【UGOS系统】【严重】开启存储ihm接口/v2/storage/disk/ihm/start存在命令注入漏洞 |
已关闭 |
|
22 |
【UGOS系统】【严重】获取存储ihm信息接口/v2/storage/disk/ihm/info存在命令注入漏洞 |
已关闭 |
|
23 |
【UGOS系统】【严重】暂停智能存储接口/v2/storage/disk/smart/stop存在命令注入漏洞 |
已关闭 |
|
24 |
【UGOS系统】【严重】开启智能存储接口/v2/storage/disk/smart/start存在命令注入漏洞 |
已关闭 |
|
25 |
【UGOS系统】【严重】获取存储智能信息接口/v2/storage/disk/smart/info存在命令注入漏洞 |
已关闭 |
|
26 |
【UGOS系统】【严重】存储网络连接接口/v2/storage/network/connect存在命令注入漏洞 |
已关闭 |
|
27 |
【UGOS系统】【严重】存储网络断开连接接口/v2/storage/network/disconnect存在命令注入漏洞 |
已关闭 |
|
28 |
【UGOS系统】【严重】存储网络移除接口/v2/storage/network/remove存在命令注入漏洞 |
已关闭 |
|
29 |
【UGOS系统】【严重】存储网络新增接口/v2/storage/network/create存在命令注入漏洞 |
已关闭 |
|
30 |
【UGOS系统】【严重】存储缓存 calcsz接口/v2/storage/cache/calcsz存在命令注入漏洞 |
已关闭 |
|
31 |
【UGOS系统】【严重】缓存销毁接口/v2/storage/cache/destory存在命令注入漏洞 |
已关闭 |
|
32 |
【UGOS系统】【严重】缓存创建接口/v2/storage/cache/create存在命令注入漏洞 |
已关闭 |
|
33 |
【UGOS系统】【严重】预期存储容量接口/v2/storage/create/calcsz存在命令注入漏洞 |
已关闭 |
|
34 |
【UGOS系统】【严重】存储磁盘销毁接口/v2/storage/destory存在命令注入漏洞 |
已关闭 |
|
35 |
【UGOS系统】【严重】存储磁盘raid删除接口/v2/storage/raid/remove存在命令注入漏洞 |
已关闭 |
|
36 |
【UGOS系统】【严重】存储磁盘raid添加接口/v2/storage/raid/add存在命令注入漏洞 |
已关闭 |
|
37 |
【UGOS系统】【严重】新增存储空间接口/v2/storage/create存在命令注入漏洞 |
已关闭 |
|
38 |
【UGOS系统】【严重】修改存储空间名称接口/v2/storage/setLabel存在命令注入漏洞 |
已关闭 |
|
39 |
【UGOS系统】【严重】p2p通道切换接口/ugos/p2p/v1/tunnel/switch存在命令注入漏洞 |
已关闭 |
|
40 |
【UGOS系统】【严重】修改设备名称接口/v1/user/admin/setDeviceName存在命令注入漏洞 |
已关闭 |
|
41 |
【UGOS系统】【严重】docker新建ttyd接口/v1/docker/ttyd/start存在命令注入漏洞 |
已关闭 |
|
42 |
【UGOS系统】【严重】桌面壁纸删除接口/ugos/wallpaper/v1/bg/del存在命令注入漏洞 |
已关闭 |
|
43 |
【UGOS系统】【严重】文件添加接口/v1/file/add存在命令注入漏洞 |
已关闭 |
|
44 |
【UGOS系统】【严重】SSH配置中存在多处高风险配置,建议按业务需要评估后进行必要的加固 |
激活 |
|
45 |
【UGOS系统】【高危】几乎所有服务均用root账号,还存在一个任意用户拉起的avahi-daemon进程,这个进程属于网络风险相对较高的组件 |
激活 |
|
46 |
【UGOS系统】【严重】所有可执行文件没有增加安全编译选项,可反编译出函数名等信息。导致黑客很容易通过逆向发现安全漏洞。另外其他安全编译选项需排查。 |
激活 |
|
47 |
【UGOS系统】【严重】离线用户设置接口/v1/user/offline/account/set存在命令注入漏洞 |
已关闭 |
|
48 |
【UGOS系统】【高危】OS未做基本的安全加固,很多so文件的权限都是777。建议所有文件的权限进行排查,配置合理权限 |
激活 |
|
49 |
【UGOS系统】【严重】系统-修改设备名接口/setting/v1/sys/device_name/set存在命令注入漏洞 |
已关闭 |
|
50 |
【UGOS系统】【严重】回收站还原接口/v1/recycle/recovery存在命令注入漏洞 |
已关闭 |
|
51 |
【UGOS系统】【严重】ai文件删除接口/v1/ai/file/delete存在命令注入漏洞 |
已关闭 |
|
52 |
【UGOS系统】【高危】暴露面收缩不完整,存在安全风险 |
已关闭 |
|
53 |
【UGOS系统】【严重】文件删除接口/v1/file/delete存在命令注入漏洞 |
已关闭 |
4 历史遗留问题
|
序号 |
漏洞详情 |
状态 |
|
1 |
【Android客户端】手机号明文传输 |
激活 |