网站安全分析与加固

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

信息安全分析与加固1密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组购物网站安全分析与加固报告信息安全分析与加固2密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组目录第一章分析概述...................................................................................................................31.1概述....................................................................................................................................31.2风险分析对象.....................................................................................................................41.3风险分析方法.....................................................................................................................4第二章威胁分析...................................................................................................................52.1风险分析总论....................................................................................................................52.2购物站点安全分析............................................................................................................52.2.1ipc$入侵2.2.1上传漏洞...............................................................................................................112.2.2日志分析................................................................................................................312.2.3管理帐号分析........................................................................................................322.2.4数据库连接帐号分析............................................................................................332.2.5服务器权限设置分析............................................................................................332.2.6SQL服务器...........................................................................................................40第三章安全加固.................................................................................................................443.1上传漏洞加固..................................................................................................................443.2ASP木马防御加固...........................................................................................................443.3数据库帐号......................................................................................................................443.4杀毒软件...........................................................................................................................453.5IIS设置加固.....................................................................................................................463.6管理员权限设置..............................................................................................................483.7本地安全策略服务设置................................................................................................493.8终端连接加固..................................................................................................................553.9SQL数据库服务器加固..................................................................................................56第四章安全建议.................................................................................................................574.1安全建议..........................................................................................................................574.2总论..................................................................................................................................57信息安全分析与加固3密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组第一章分析概述1.1概述通过对购物网站采用渗透测试和远程安全分析并对其分析出来的安全漏洞进行加固,本次分析过程中所采用的技术和工具。通过本次对购物网站的安全漏洞以及威胁点进行分析对购物网进行加固,消除威胁源并对购物网以后的发展过程中将会遇到的安全问题提出预测性的方案。本次所采用的安全分析方法逻辑描述分析图为:其意义为:1)信息资产具有价值,并会受到威胁的潜在影响;2)漏洞将信息资产暴露给威胁,威胁利用漏洞对资产造成影响;信息安全分析与加固4密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组3)威胁与漏洞的增加导致安全风险的增加;4)安全风险的存在对组织的信息安全提出要求;5)安全措施应满足安全需求;6)组织通过实施安全措施防范威胁,以降低安全风险。1.2风险分析对象本次安全分析加固范围如下;1.3风险分析方法本次信息安全分析分为人工系统分析、渗透测试等几个方面,在网络安全漏洞评估中我们使用了专业的网络安全漏洞评估工具。通过使用专业安全漏洞评估工具进行自动扫描和后期的人工整理分析,渗透测试采用人工配合工具进行检测,小组编写的安全工具进行测试。最终形成网络安全分析与加固报告。IPOSDBWEB应用渗透测试WindowsIIS数据库系统渗透WindowsSqlServier系统渗透测试信息安全分析与加固5密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组第二章威胁分析2.1风险分析总论在本次安全分析中我们按照对内、对外两个方面来进行分析汇总。在对网站进行分析时候发现其站点存在多处漏洞,最引人注目的:在购物资料的图像上传,没有过滤好,造成黑客可以任意上传木马文件,包括服务器中没做任何权限设置。总体来说该网站完全暴露在INTERNET外,不需要很高明的黑客技术就可以进入该站点,风险等级级别为高,红色警报。2.2购物站点安全分析2.2.1ipc$入侵1.通过软件进行扫描网络中的地址主机同时扫描器端口139和445信息安全分析与加固6密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组2.进行ipc$空链接信息安全分析与加固7密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组3.成功连接主机同时可以控制该主机信息安全分析与加固8密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组4进行防范删除ipc$连接netshareadmin$/deletenetsharec$/deletenetshared$/delete信息安全分析与加固9密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组5端口过滤掉139,445信息安全分析与加固10密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组6设置管理员密码信息安全分析与加固11密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组2.3.1扫描网站sql注入漏洞在接到对购物网站检测后,安全检测人员直接手工的对该站点进行检测,结果发现购物资料上传图像处过滤不严,从而直接上传一个脚本木马,控制全站,通过提权得到服务器管理权限。如图:1.使用sql注入扫描工具扫描漏洞信息安全分析与加固12密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组2.扫描网站的sql数据库表段信息安全分析与加固13密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组3.检测数据库字段信息安全分析与加固14密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组4.检测器字段内容信息安全分析与加固15密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组5.将加密的密码进行翻译用户520hyp信息安全分析与加固16密级:内部版本文档编号:SEC2008

1 / 58
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功