返回
网站安全分析与加固

网站安全分析与加固

ID:5511747

大小:3.82 MB

页数:0页

时间:2017-12-16

网站安全分析与加固_第页
预览图正在加载中,预计需要20秒,请耐心等待
资源描述:

《网站安全分析与加固》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组信息安全分析与加固购物网站安全分析与加固报告58密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组信息安全分析与加固目录第一章分析概述21.1概述21.2风险分析对象41.3风险分析方法4第二章威胁分析42.1风险分析总论42.2购物站点安全分析52.2.1ipc$入侵2.2.1上传漏洞52.2.2日志分析72.2.3管理帐号分析82.2.4数据库连接帐号分析92.2.5服务器权限设置分析92.2.6SQL服务器16第三章安全加固203.

2、1上传漏洞加固203.2ASP木马防御加固203.3数据库帐号203.4杀毒软件213.5IIS设置加固223.6管理员权限设置243.7本地安全策略服务设置253.8终端连接加固313.9SQL数据库服务器加固32第四章安全建议324.1安全建议324.2总论3358密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组信息安全分析与加固第一章分析概述1.1概述通过对购物网站采用渗透测试和远程安全分析并对其分析出来的安全漏洞进行加固,本次分析过程中所采用的技术和工具。通过本次对购物网站的安全漏洞以及威胁点进行分析

3、对购物网进行加固,消除威胁源并对购物网以后的发展过程中将会遇到的安全问题提出预测性的方案。本次所采用的安全分析方法逻辑描述分析图为:其意义为:1)信息资产具有价值,并会受到威胁的潜在影响;2)漏洞将信息资产暴露给威胁,威胁利用漏洞对资产造成影响;58密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组信息安全分析与加固3)威胁与漏洞的增加导致安全风险的增加;4)安全风险的存在对组织的信息安全提出要求;5)安全措施应满足安全需求;6)组织通过实施安全措施防范威胁,以降低安全风险。1.2风险分析对象本次安全分析加固范

4、围如下;IPOSDBWEB应用渗透测试WindowsIIS数据库系统渗透WindowsSqlServier系统渗透测试1.3风险分析方法本次信息安全分析分为人工系统分析、渗透测试等几个方面,在网络安全漏洞评估中我们使用了专业的网络安全漏洞评估工具。通过使用专业安全漏洞评估工具进行自动扫描和后期的人工整理分析,渗透测试采用人工配合工具进行检测,小组编写的安全工具进行测试。最终形成网络安全分析与加固报告。58密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组信息安全分析与加固第一章威胁分析2.1风险分析总论在本次安

5、全分析中我们按照对内、对外两个方面来进行分析汇总。在对网站进行分析时候发现其站点存在多处漏洞,最引人注目的:在购物资料的图像上传,没有过滤好,造成黑客可以任意上传木马文件,包括服务器中没做任何权限设置。总体来说该网站完全暴露在INTERNET外,不需要很高明的黑客技术就可以进入该站点,风险等级级别为高,红色警报。2.2购物站点安全分析2.2.1ipc$入侵1.通过软件进行扫描网络中的地址主机同时扫描器端口139和44558密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组信息安全分析与加固2.进行ipc$空链接

6、58密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组信息安全分析与加固3.成功连接主机同时可以控制该主机58密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组信息安全分析与加固4进行防范删除ipc$连接netshareadmin$/deletenetsharec$/deletenetshared$/delete58密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组信息安全分析与加固5端口过滤掉139,44558密级:内部版本文档编号:SEC2008-JG002编

7、写:信息安全评估项目组信息安全分析与加固6设置管理员密码58密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组信息安全分析与加固2.3.1扫描网站sql注入漏洞在接到对购物网站检测后,安全检测人员直接手工的对该站点进行检测,结果发现购物资料上传图像处过滤不严,从而直接上传一个脚本木马,控制全站,通过提权得到服务器管理权限。如图:1.使用sql注入扫描工具扫描漏洞58密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组信息安全分析与加固2.扫描网站的sql数据库表段58密级:内部版本文档编号

8、:SEC2008-JG002编写:信息安全评估项目组信息安全分析与加固3.检测数据库字段58密级:内部版本文档编号:SEC2008-JG002编写:信息安全评估项目组信息安全分析与加固4.检测器字段内容58密级:内部版本

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。