XXXX有限公司
企业尽调报告模板
企业尽调报告模板一、公司基本情况。
1. 公司名称,XXXX有限公司。
2. 注册资本,XXXX万元人民币。
3. 注册地址,XXXX省XXXX市XXXX区XXXX街道XXXX号。
4. 法定代表人,XXX。
5. 成立时间,XXXX年XX月XX日。
6. 公司性质,国有/私营/外资。
7. 公司规模,XX人/XX部门/XX工厂。
二、公司经营情况。
公司主营业务,主要从事XXXX行业的XXXX业务,主要产品/服务包括XXXX。
公司在行业内的市场地位如何,是否存在明显的竞争优势?公司经营状况,过去三年的营业收入、净利润、资产负债情况如何?是否存在亏损或者财务风险?公司发展前景,未来三年的发展规划、市场拓展策略、技术创新能力如何?是否存在行业发展的不确定因素?三、公司治理结构。
公司股权结构,公司的股东构成、控股股东情况、是否存在股权纠纷或者股东关系不稳定的情况?公司管理团队,公司的高管团队是否稳定、管理层是否具备丰富的行业经验和管理能力?是否存在高管人员的流动或者换届风险?公司治理结构,公司是否建立了健全的内部控制制度和公司治理结构?是否存在违规违法行为或者经营风险?四、公司运营风险。
市场风险,公司是否存在市场份额下降、市场需求下降等市场风险?是否存在行业政策调整或者市场竞争加剧的风险?经营风险,公司是否存在生产经营风险、供应链风险、资金链风险等?是否存在关键客户流失或者关键供应商变更的风险?财务风险,公司的财务状况是否稳健?是否存在资金链断裂、资金周转困难等财务风险?五、公司合规情况。
公司是否存在违法违规行为?是否存在环境污染、安全事故、劳动纠纷等社会责任风险?公司是否存在知识产权纠纷、合同纠纷、诉讼风险等法律风险?六、尽调结论与建议。
根据以上对公司的尽调情况,我们认为公司的发展前景良好,市场地位稳固,但同时也存在一定的经营风险和合规风险。
建议公司加强内部控制,规范经营行为,健全公司治理结构,以应对未来可能出现的风险挑战。
XXXX公司运营能力情况汇报
XXXX有限公司运营能力情况汇报XXXX有限公司成立于2018年,由世界500强企业——XXXX集团的核心企业XXXX集团和XXXX工程集团强强联合成立,公司是拥有市政公用工程总承包一级资质和水利水电工程总承包二级资质的生态环境综合服务商。
以改善区域环境和提供资源整治方案及全流程实施服务为主要目标,承担各级污水治理及水环境综合整治、固废处理与循环利用、土壤污染治理与修复、城市综合生态结构、园林景观、绿色综合设施等生态XX工程的投资、施工和运营业务,为各级政府拓展城市发展空间、实施环境治理与改善提供更多可能性。
在运营方面,主营生活垃圾焚烧类设施运营、一般工业垃圾处理设施运营;垃圾渗滤液处理运营、园林景观及河域治理运营、绿色工地运营以及城镇农村污水运营等水处理方面的运营;具体情况如下:一、专业运营能力现状(一)运营管理团队XXXX公司已成立运营管理部门,配备专业技术管理团队,独立负责各项目的运营;在公司运营管理团队配备主管运营副总一名、运营部长及副部长各一名、运营安全主管一名、工艺技术支持由设计技术团队担任,根据项目情况兼任。
各项目常规配置运营项目经理一名以及运行技术人员、机修及化验人员若干;具体根据运营项目情况配置。
运营项目经理已进行相应储备。
为此公司在运营团队上已健全,具备承担各运营项目的能力。
(二)人才XX公司现有员工XX人,从学历情况来看,研究生及以上X人,本科XX人,专科X人,专科及以下X人,本科以上普及率XX%,重点岗位及技术岗位基本都是本科学历。
从持证情况来看,有XX人持有一建类证书。
从职称情况来看,高级工程师X人,中级工程师X人,助理工程师X人。
XX公司现有运营类专业技术人员X人,XX公司制定了运营技术人员和操作人员的招聘、岗位培训、考核和评价等制度及文件,以此保障运营技术人员的专业、教育和培训经历、能力以及经验等能满足运营工作的各项要求,确保运营人员具备正常运行、维护设施的能力,能够按照管理文件和操作规程的要求解决和处理运行过程中发生的常见问题,熟悉异常情况的处理程序和应急措施。
xxxxxx有限公司简介
xxxxxx有限公司简介我公司创建于xxxx年xx月,注册资金xxxxx万元人民币,公司坐落于xxx县xxxxx路,是一家集xxx、xx、xx、xx及xxx服务等于一体的综合性xxx公司。
公司以规范xxxx为己任,以诚信、共赢、合作、发展为经营理念,以“知你所需,达你所求”为核心价值观,坚持为合作单位提供最xxxx资源和最优质的服务。
(统一社会信用代码:xxxxxxx)。
公司以高质量、高效率、高信誉的工作,为合作单位提供优质服务,使合作单位形成xxxx理规范、xxxx关系和谐稳定的管理机制。
为企业在xxx保障管理业务上排忧解难、消除障碍,促进xxx单位的经济发展。
我公司有一支团结、高效、信仰坚定、从业丰富的决策团队;有一支执行能力强、富于凝聚力的市场团队;有一支勤恳敬业、责任心强的后勤保障团队,有完善的财务制度,扎实的基础是我们服务好贵公司的有力保障。
选择这样一家专业优质的xxxxx公司,企业就可以从繁杂琐碎的xxxx事务中解脱出来,节省人事管理成本和降低潜在的法律风险,更专注于选人用人、绩效考核等人事管理的核心职能;所以我们有信心有能力和经验做好本次投标的项目工作。
我公司目前已储备了各类专业领域的大批优秀人才,截止xxx年xxx月xx日,我公司储备优秀人才已高达xxx人,完全能满足各岗位用工需求公司凭借专业的实力、优秀团队、可靠的品质、在社会上获得良好的口碑,自公司成立以来已服务众多单位,于xxx年xxx月份至今,跟xxxx公司合作,为公司输送专业纺织人员xxxx人,公司员工的工作得到领导的认可;xxxx年xxx月份,跟xxxx医院合作,负责外围保洁项目,共计派遣专业保洁人员xx人,保洁的专业程度得到县医院的认可和肯定;xxxx年xxx月份至今,跟xxx合作,负责劳务派遣与职业介绍,共计派遣劳务人员xx人,满足了公司劳务用工需求,建立了长期合作关系;xxx年xxx月至今,跟xxxx公司合作,截止目前,我公司已为xxxx输送各岗位专业人才达xxx人,能满足生产车间各工种需求,为xxxx的腾飞做好保驾护航;xx年xx月份至今,公司注重信誉和优质服务,赢得了企业信任,业务逐年扩大,现公司业务辐射全县及昆明、昆山、厦门、龙岩、佛山、安徽、江苏、浙江等地区;为沿海密集型电子产品生产劳务用工需求开辟了新通道,对带动社会各类人员就业率提升,使之规模化、集约化、工资待遇更有保障化,为全省丰富的人力资源提供更广阔的发展平台,推动西部大开发,建设xx“人力资源服务经济强省”,促进我省、州、县经济发展、人力资源服务发展、具有十分重要现实意义。
xx有限公司公文
xx有限公司公文一、企业背景xx有限公司是一家于XXXX年成立的XXXX行业公司,总部位于XXXX市,致力于XXXX业务的发展。
公司秉承着XXXX的经营理念,不断创新、追求卓越,已经成为行业内的领先企业,并获得了诸多荣誉。
二、公文内容为了更好地推进公司的发展,提高沟通效率和信息准确度,特制定以下公文:公文一:关于部门年度总结及工作计划的通知各部门:随着XXXX年度的结束,为了总结工作,规划明年的工作重点,现将要求各部门提交年度总结及工作计划。
具体要求如下:1. 全面总结部门在XXXX年度的工作业绩、亮点和存在的问题;2. 提出明确的工作计划和目标,包括但不限于人员安排、项目推进计划等;3. 针对存在问题,提出改进措施和解决方案,并给出明确的时间节点;4. 年度总结及工作计划请于XXXX年XX月XX日前提交至公司行政办公室。
请各部门严格按照要求完成,并做好相关备料。
公文二:关于人事调动的通知各部门经理:鉴于公司业务的发展需求,经公司领导班子研究决定,决定进行人事调动。
具体安排如下:1. 张三同志从XX部门调任至YY部门,担任ZZ职务;2. 李四同志从WW部门调任至XX部门,担任YY职务;3. ... (以此类推,具体调动安排根据实际情况而定)请各部门经理按照调动安排及时与相关人员进行沟通,并确保工作交接的顺利进行。
公文三:关于年终奖发放的通知各位员工:为了表彰公司全体员工在过去一年中的辛勤工作和突出表现,公司决定发放年终奖金。
具体安排如下:1. 年终奖发放标准:按照员工在公司工作期间的绩效考评结果进行评定;2. 奖金发放时间:预计将于XXXX年XX月XX日统一发放至各位员工的工资账户中;3. 奖金发放方式:通过银行转账形式进行发放,请各位员工确保工资账户信息的准确性;4. 年终奖发放事宜如有疑问,请及时与人力资源部联系。
最后,再次感谢各位员工的辛勤付出,希望在新的一年里继续携手共进,共同为公司的发展贡献力量。
XXXXXX公司简介
XXXXXXX有限公司
简介
XXXX有限公司成立于XXXX年,注册资金XXX元,法人代表XXX。
公司位于XXX产业园区,毗邻XX公路,交通十分便利。
公司现有员工XXXX余人,其中各级职称人员XX名,总资产达XXXX元人民币,是XXXX行业中规模最大的XX企业。
2010年-2012年,公司累计上缴税金XXXX亿元,是XX利税大户。
公司成立以来,先后荣获XXXXXX等荣誉称号。
公司以“科学、严谨、和谐”为企业理念,以“奋拓进取,以人为本,实事求是,艰苦创业”为企业精神,建立了企业文化,使其深入到企业的各个层面,始终贯彻如一。
作为经营XXXX的企业,始终坚持诚信和让利于客户,遵循诚信理念,坚守诚信原则,在赢得资金、技术人才的同时,坚持守法建设、守法生产、守法经营,使企业在短短的XXXX年时间内迅速壮大,从初期的固定资产XXXX 元发展到现在拥有XXXX元的规模.
随着国家产业政策的调整和环保工作力度的不断加大,公司响应国家节能减排政策的新要求,积极淘汰落后产能并进行多次大规模技术改造,发展和延伸XXX产品,并投资XXX元新建XXX,现已形成XXXX为一体的循环经济发展模式,在创造显著经济效益的同时,大力推行节能减排的措施,取得了明显的社会效益和环境效益,为节能减排工作做出了积极贡献,为XXX行业树立了榜样。
面对新的发展机遇和各种挑战,XXXX有限公司坚持以科学发展观为指导,实施多业并举的多元化发展战略,走延长产业链条,拓展综合利用,提升企业品味的道路,逐步实现企业现代化,集团化,国际化。
在日益严峻的环保形势下,不断更新,广纳众长,为绿色产业大发展打下良好的基础,为促进区域经济发展,建设XXXXXX做出新的更大的贡献。
企业简介 素材
企业简介素材全文共四篇示例,供读者参考第一篇示例:企业简介素材一、公司背景1. 公司名称:XXXX有限公司2. 公司成立时间:2005年3. 公司注册资金:1000万元4. 公司地址:XX省XX市XX区XX街道XX号5. 公司规模:员工100人6. 公司主要业务:XXXX二、公司历程1. 公司成立于2005年,最初是一家小型企业,主要从事XXXX业务。
2. 随着市场需求的不断增加,公司逐渐扩大业务范围,开展了XXX服务。
3. 在行业竞争中,公司不断追求创新与发展,引进了先进的技术和设备。
4. 经过多年的努力,公司已在行业内树立了良好的口碑,赢得了客户的信赖。
三、公司理念1. 以客户为中心,提供优质的服务和产品。
2. 强调团队合作,倡导共同成长。
3. 秉承诚信经营,遵守法律法规,负责任地履行社会责任。
4. 不断创新,追求卓越,与时俱进,引领行业发展。
四、公司业务范围1. 主营业务:XXXX2. 服务范围:XXXX3. 产品线:XXXX五、公司团队1. 公司拥有一支技术精湛、专业素质高的团队,包括研发、生产、销售等多个领域的专业人才。
2. 公司注重员工培训与激励,为员工提供广阔的职业发展空间。
六、公司荣誉1. 公司多次获得政府和行业协会颁发的荣誉称号。
2. 公司产品获得国家质检认证,质量口碑一直居行业领先水平。
七、公司愿景1. 公司将秉承“创新、务实、合作、共赢”的价值观,持续发展壮大。
2. 公司将以高品质的产品和服务,为客户创造更大的价值。
3. 公司将不断追求卓越,勇攀行业高峰,成为行业的领军企业。
第二篇示例:企业简介,作为企业展示给外部人士的窗口,承载着企业文化、价值观、发展方向等重要信息,具有极高的参考价值。
好的企业简介可以让潜在客户、投资人、合作伙伴更好地了解企业,建立良好的合作关系。
以下是一些关于企业简介素材的内容,希望对您有所帮助。
1. 公司背景信息公司的背景信息包括公司名称、注册地址、成立时间、法人代表等基本信息。
写给xxxxxx有限公司的一封信
敬重的XXXX公司:您好!我叫X X,现为XXXX公司大家庭的一员,正处于入职培训阶段。
首先,非常感谢您的“收留”,也很荣幸能够走进这个伟大、包容、美好的大家庭。
我2018年从西安文理学院机械设计制造及其自动化专业毕业,到现在已两年有余。
步入社会的这些时日,迷惘过,充满希望而又失望过;奋进过,挣扎过也消沉过;甜过、笑过,苦过、哭过;感动过,抱怨过;泥泞里跌倒又爬起来过,走上轨道出现交叉选择错过。
两年时间说长不长、说短不短,两年经历说多不多、说少不少。
生活如一本厚重的哲学书籍,包罗万象,用深刻的语言、鲜活的案例,在跌爬滚打中教导你做人。
社会像一位严苛的老师,在鞭策中促你成长。
两年来的经历结束于与您的这场命中邂逅。
在XX集团面试中第一次听到您的名字——XXXX公司,地处XX市XX县。
我是XXXX 人,得知此地理位置,亲切温暖之感顿涌心头。
选择您,有幸也被您选择,心里变得安定且有方向感。
结缘续缘缘深似海。
一方面,我需要您这样的企业。
“一切为了XX发展,一切为了员工幸福”的企业价值让漂泊的我有了强烈的归属感。
“真心、爱心、诚心、恒心、决心”的“五心”文化更是唤起我内心深处的共鸣。
您重视人才,培养人才,像母亲一样无微不至的关怀着我们。
从专车接人到公司领导抽出宝贵时间参加入职大学生见面会,从XXX酒店热情款待、接风洗尘到为期半月左右的培训安排,您满怀爱意的向我们伸出了怀抱,邀我们一起加入到“XXXXXXXXX”的宏伟征程中。
从“心”出发,用“心”做事,我期待着、期盼着拥入您的怀抱,一起将XX 故事写于人听。
另一方面,努力成为一个您需要的人。
世界上没有不劳而获的成就,也没有一劳永逸的享受,得到您如此的恩惠与赏识,为企业的发展投身奉献、倾尽全力便成为理所应当的一种责任、一份义务。
首先,转变意识形态、转换身份角色,不再散漫、变得专注,为拥有XXXX公司员工这层身份负责。
其次,爱岗敬业、艰苦奋斗。
无论处在哪个岗位,放低姿态、吃苦耐劳、兢兢业业地做好本职工作。
XXXX公司股权架构模板
XXXX公司股权架构模板武汉XXXX有限公司股权架构模板一、公司历史背景XXXX有限公司成立于XXXX年,总部位于武汉市XXXX区。
公司主要从事XXXX行业的研发、生产和销售。
经过多年的发展,公司已经成为行业内的领军企业之一。
二、公司股权结构公司股权架构包括股东和股份的分布情况,股份的类型以及各个股东的权益比例等。
以下是XXXX有限公司的股权架构模板:1. 股东信息(1) 主要股东- 股东一:姓名/公司名称,持股比例%- 股东二:姓名/公司名称,持股比例%- 股东三:姓名/公司名称,持股比例%(2) 其他股东- 股东四:姓名/公司名称,持股比例%- 股东五:姓名/公司名称,持股比例%- ...2. 股份类型公司股份分为普通股和优先股两种类型:- 普通股:普通股持有人享有表决权和分红权,具有股东参与公司治理和分享利润的权益。
- 优先股:优先股持有人在分红和清算中享有优先权,但通常不享有表决权。
优先股的权益可以根据协议约定来确定。
3. 股东权益比例根据公司章程和协议约定,XXX有限公司股东权益比例如下: - 股东一:持股比例%- 股东二:持股比例%- 股东三:持股比例%- 股东四:持股比例%- 股东五:持股比例%- ...4. 股东权益转让公司股东的股权转让需遵循相关法律法规和协议约定。
转让股权时,应填写相应的股权转让协议,明确转让方、受让方、转让股权比例、转让价格等关键信息。
5. 股东权益保护公司应建立健全的股东权益保护制度,确保每个股东的合法权益受到保护。
股东在公司经营决策、利润分配等方面应享有平等的权利和优先权。
6. 公司治理公司应建立科学的治理结构和决策机制,确保公司股权制度的有效运作。
关键决策应通过股东会议、董事会等合规程序进行决策,并及时向股东通报相关事项。
7. 股权变动公告公司应及时向股东公布股权转让、增减持、股东变更等重要信息,并遵循法律法规的规定,保护股东的知情权和参与权。
三、总结以上是XXXX有限公司的股权架构模板,它是公司股权管理的基本框架。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXXX有限公司网站系统渗透测试报告目录一、概述 31.1 渗透测试范围 31.2 渗透测试主要内容 3二、脆弱性分析方法 42.1工具自动分析4三、渗透测试过程描述 53.1脆弱性分析综述 53.2脆弱性分析统计 53.3网站结构分析63.4目录遍历探测63.5隐藏文件探测83.6备份文件探测83.7 CGI漏洞扫描93.8用户名和密码猜解93.9 验证登陆漏洞 103.10 跨站脚本漏洞挖掘123.10 SQL注射漏洞挖掘133.11数据库挖掘分析18四、分析结果总结19一、概述按照XXXX渗透测试授权书时间要求,我们从2008年某月某日至2008年某月某日期间,对XXXX官方网站系统和:8080进行了全面细致的脆弱性扫描,同时结合XX公司安全专家的手工分析,两者汇总得到了该分析报告。
1.1 渗透测试范围此次渗透测试的主要对象包括:XXXX官方网站(保卡激活业务)、SSL VPN业务、互联网代理业务。
注:由于SSL VPN和互联网代理业务通过远程互联网无法建立连接,所有本报告中描述的测试过程和测试漏洞都是针对XXXX官方网站系统。
1.2 渗透测试主要内容在本次渗透测试过程中,XX公司通过对对XXXX网站结构分析,目录遍历探测,隐藏文件探测,备份文件探测,CGI漏洞扫描,用户和密码猜解,跨站脚本分析,SQL注射漏洞挖掘,数据库挖掘分析等几个方面进行测试,得出了XXXX网站系统存在的安全风险点,针对这些风险点,我门将提供XXXX安全加固建议。
二、脆弱性分析方法2.1工具自动分析2.1.1工具自动分析机制由于WEB程序语言遵循CGI接口规范,因此WEB漏洞主要体现在程序对输入的处理上面。
而WEB应用扫描软件则是根据这个特点,通过发送精心构造的请求,并且对服务器返回的响应来判断服务器是否存在指定的WEB漏洞。
基于这个原因,WEB应用扫描软件应该可以发现包括XSS、SQL Injection和缓冲区溢出在内的大部分常见的WEB漏洞。
2.1.2工具自动分析过程WEB应用扫描软件首先对目标站点进行分析,获取目标应用系统的组织结构,然后找出可能存在问题的程序,并且获取这些程序允许的参数输入,然后根据知识库中的内容,精心构造一些特殊的请求,然后发送给服务器,并且最终服务器会把请求交给该程序处理,通过分析服务器返回的响应,我们就可以判断出目标应用系统存在什么漏洞,漏洞位于什么程序,是哪个参数出现了问题。
同时,对于无法准确判断结果的程序,我们的WEB应用扫描软件提供了交互式漏洞挖掘工具,可以准确判断目标应用系统是否存在安全漏洞。
2.1.3本次分析工具介绍本次分析使用的自动分析工具为国际上的著名应用安全产品Sanctum公司(以色列)的AppScan V4.0(/)评估系统,可以对各种已知及未知、应用程序特有及普遍存在的漏洞进行评估,并能够分析并且学习每一个Web应用独特的个性,通过组合变化各种攻击特征,测试并验证目标系统的脆弱性。
三、渗透测试过程描述3.1工具扫描脆弱性分析综述XX公司本次对XXXX官方网站系统和:8080进行了细致的扫描工作,没有发现明显的安全漏洞。
3.2工具扫描脆弱性分析统计根据漏洞类别进行统计,如下所示:漏洞类别高中低风险值网站结构分析---0目录遍历探测---0隐藏文件探测---0备份文件探测---0CGI漏洞扫描---0用户和密码猜解---0跨站脚本分析---0SQL注射漏洞挖掘(含数据库挖掘分析)---0风险总值0注:通过工具分析没有发现XXXX网站系统的存在的安全漏洞。
3.3网站结构人工分析通过对网站进行智能搜索扫描和结构分析,发现XXXX网站使用两种web服务、两种脚本语言和两种数据库,分别是iis6+asp+Access和apache tomcat+jsp+oracle,分别跑在80和8080两个端口上,另外通过扫描可以看出网站使用的windows 2003的操作系统,由于近期并有针对windows 2003和iis6以及apache可以利用的安全漏洞,所以从端口上看在系统层上是没有有利用价值的漏洞,因此,我们只能从asp和jsp脚本上对网站进行渗透测试,并最终发现了脚本存在的漏洞,并利用这些漏洞进入XXXX网站后台系统。
3.4目录遍历人工探测通过遍历每个存在的目录,智能搜索并探测除公开网页中包含的所有目录以外,是否存在非授权不能访问却被访问的目录。
这些目录很有可能就是网站管理员后台程序所在目录或者是数据库所在目录。
如果这些目录没有做好权限设置,那么极有可能导致网站后台失陷于此。
3.4.1 apache tomcat存在漏洞通过XX公司安全人员对apache tomcat手工测试发现,XXXX网站由于配置原因存在目录过滤不严,可浏览任意web目录漏洞如下:1. :8080/XXXXXX/Library/2. :8080/XXXXXX/doc/database/3. :8080/manager/4. :8080/XXXXXX/5. :8080/tphealth/yw/6. :8080/tphealth/include/7. :8080/card/yw/其中:8080/XXXXXX/doc/database/目录下有oracle数据库配置文件见下图:图一:数据库配置文件图3.4.2可能的安全危害这是Web服务器常见的Apache设置错误,恶意用户可以读取任意可读文件。
3.4.3解决方案建议在目录下放置Apache默认访问页面,或者修改Apache配置文件,禁止目录遍历。
3.5隐藏文件人工探测通过隐藏文件的智能探测,除了已有的所有公开页面以外,智能搜索并探测在这些目录下是否存在隐藏文件。
这些文件很有可能就是网站的一些配置文件,或者是网站管理员忘记删除的程序说明书,或者是网站后台登陆的重要文件。
这些文件极有可能导致网站重要数据的泄漏,最终导致整个网站权限的沦陷。
3.5.1探测结果没有发现隐藏文件。
3.6备份文件人工探测通过备份文件的智能探测,除了已有的所有公开页面以外,智能搜索并探测在这些目录下是否存在备份文件。
这些文件很有可能就是网站的一些重要文件的备份信息,或者是网站管理员忘记删除的网站数据库备份。
这些文件是最有可能导致网站重要数据的泄漏的风险点,直接威胁着整个网站的整体安全。
3.6.1探测结果在本次扫描分析中,发现了0个备份文件。
3.6.2可能的安全危害无。
3.6.3解决方案建议及时删除备份文件。
3.7 CGI漏洞扫描这种类型的漏洞通常是导致服务端脚本文件源代码的暴露,或者是程序的任意执行等等。
同时,由于这类已知的CGI漏洞利用技术都是很成熟了的,所以对网站的安全也有较大的威胁。
3.7.1扫描结果通过对WEB服务器进行已知的CGI漏洞扫描,并未发现CGI漏洞。
3.7.2可能的安全危害无。
3.7.3解决方案建议及时安装WEB服务器的安全补丁。
3.8用户名和密码猜解通常,网站是不提供内部用户注册的,但是由于内部用户的粗心大意留下了简单密码的帐户,导致外部人员可以使用内部功能。
于此同时,内部功能上的风险也暴露给了外部人员。
3.8.1分析结果通过对网站中存在的FORM表单进行用户名和简单密码猜解,没有发现存在存在问题。
3.8.2可能的安全危害导致外部用户可以登陆管理员后台,使用高权限功能,并造成内部功能缺陷的暴露。
3.8.3解决方案建议使用强壮的帐号密码。
3.9 验证登陆漏洞经过测试我们发现用户保单查询页面,在保单查询登陆认证方法二中,输入`or 1=1--可以绕过登陆验证,可以任意查询客户信息,详见下图:3.9.1可能的安全危害能够未授权得到XXXX所有被保客户信息。
容易信息泄漏和对客户商业机密产生影响。
3.9.2解决方案建议建议增加对提交脚本的长度和特殊字符过滤,同时对文件目录的权限进行配置。
3.10 跨站脚本漏洞人工挖掘跨站类型的漏洞通常是出现在用户和服务器进行信息交互的接口处,这种漏洞使用户访问服务器的时候执行恶意代码,可以直接导致用户数据的泄漏,最终不但有损网站的信誉度,同时还威胁到服务器的安全性。
3.10.1漏洞挖掘结果通过对该类型漏洞的挖掘,共发现1个跨站脚本漏洞。
漏洞详细情况描述如下:通过对jsp脚本的漏洞测试,我们发现其中有一处有XSS漏洞,这样我们可以构造出一个内容,为hello弹出对话框进行测试:8080/666%0a%0a<script>alert("HELLO");</script>666.jsp,如果我们构造的不是弹出对话框而是一个带有木马的网页,这样就可以发给管理员诱使管理员访问植入木马,具体详见见下图:1. 该漏洞存在于如下页面::8080/666%0a%0a<script>alert("HELLO");</script>666.jsp2. 该漏洞利用工作原理介绍:当用户注册的时候,添加XSS跨站脚本代码,当管理员或其它用户查看该用户信息的时候,就会导致数据的泄漏等等。
3.9.2可能的安全危害泄漏敏感数据。
3.9.3解决方案建议在程序中检查参数的输入,进行关键字的过滤。
3.10 SQL注射漏洞人工挖掘SQL注射类型的漏洞通常是出现在用户和服务器进行信息交互的接口处,这种漏洞使得服务器的后台数据库很有可能直接暴露出来,造成机密信息的泄漏。
如果其中包含管理员的帐号信息,其危害也就不言而喻了。
更重要的是站在网站用户的角度来说,这种问题的出现严重影响到了网站在客户心中的信誉度。
3.10.1漏洞挖掘结果通过对该类型漏洞的挖掘,共发现2个SQL注射类型的漏洞。
漏洞一详细情况描述如下:1. 漏洞存在的页面如下:/print/9_TpProCheck.jsp?CASENO=zero2. 该漏洞利用工作原理介绍:在i参数提交的时候,构造相关的SQL语句,改变数据库查询流程,达到获取数据库敏感资料。
通过对分站jsp脚本的测试,我们发现系统和主站jsp 使用的是一个oracle数据库,通过对其脚本测试我们发现一个注入点,该注入点可以得到数据库的信息;;另外,由于本次测试时间有限,如果测试时间足够的话,根据我们对这个漏洞的利用,我们就可以暴库,获得jsp脚本后台管理员密码,从而进入后台更改后台设置,甚至上传webshell。
3.10.2 eweb编辑器漏洞挖掘(最严重漏洞)因为时间关系,XX公司安全人员没有选择利用jsp脚本对oracle进行暴库,所以我们把主要测试重心选择asp脚本,经过对asp脚本的测试发现,asp脚本目录下有eweb网站编辑器。
我们下载了一个eweb脚本编辑器对其代码进行分析,发现eweb脚本存在注入,通过这个漏洞我们添加一个名为antiwebeditor管理员,并登陆进入后台,具体可以参见我们的截图:通过对eweb编辑器的研究发现,可以通过其样式管理,把FLASH类型里的swf改成.asa 文件保存,就可以通过样式管理上传后缀名为.asa的脚本木马了,见下图:但是我们在上传的过程中eweb脚本出现了问题,脚本有错误不能上传文件,通过我们跟eweb客服了解,该问题是因为服务器上装了kaspersky杀毒软件,kaspersky对eweb低版本的脚本程序进行查杀导致木马文件不能上传,但该漏洞问题是存在的,通过修改木马文件后缀,可以避开kaspersky测查杀程序,并最终上传webshell成功。