(1) [网站程序检测]网络安全检测思路与技巧
软考网权威发布网络安全检测思路与技巧,更多网络安全检测思路与技巧相关信息请访问计算机软件水平考试网。
对于主机的安全检测,我们通常直接采用nmap或者类似软件进行扫描,然后针对主机操作系统及其开放端口判断主机的安全程度,这当然是一种方法,但这种方法往往失之粗糙,我仔细考虑了一下,觉得按下面的流程进行判别是比较完整的。
1、通过DNS查询得到目标的网络拓扑基本情况,比如有几台主机,各自起的服务是什么等等。这是必要的步骤因为我们检测应该针对网络,而不是单一主机。
2、用nmap进行端口扫描,判断操作系统,结合自己的一些经验,必要的时候抓banner,判断出目标主机的操作系统类型。
3、用nessus进行普通漏洞的扫描,得到一个大致的报告。对报告进行分析。nessus的报告有些地方并不准确,而且有漏扫或误报的情况,比如严重的unicode漏洞机器明明有,它却会扫不到,对这种情况我们必须有人工的判断。
4、cgi漏洞也必须有专门的扫描器进行,可以结合whisker或者twwwscan或者xscan,自己判断需要增加哪些危险cgi的检测。
上面只是最简单的,任何一个初学电脑的人可能都能够较好完成的工作流程,但是如果在上面的各种扫描方式得到的信息无法分析出目标操作系统的情况甚至系统类型的时候,应该怎么办呢?这种事情现在经常遇到,因为大多数防火墙或者入侵检测系统现在都具备了动态地将tcp/ip协议栈——如TTL、TOS、DF、滑动窗口大小等修改或者屏蔽,使扫描工具无法得出正确结果的功能。互联网上也有许多免费工具可以达到这一效果。
因此下面要谈到其它检查方式
1、在有防火墙的情况下:建议可以使用如hping、firewalk之类的工具,更加灵活地探测目标主机的情况,根据数据包的返回做更进一步的判断。这需要操作者掌握TCP/IP基本知识,并能灵活运用判断。
2、对主页程序的检测,虽然我们只能在外面做些基本的输入验证检测。但按照现在常见的web错误,我们可以从下面几个方面着手分析:
a、特殊字符的过滤: &;`‘\" *?~^()[]{}$\n\r 这些字符由于在不同的系统或运行环境中会具有特殊意义,如变量定义/赋值/取值、非显示字符、运行外部程序等,而被列为危险字符但在许多编程语言、开发软件工具、数据库甚至操作系统中遗漏其中某些特殊字符的情况时常出现,从而导致出现带有普遍性的安全问题。当有需要web用户输入的时候,根据不同的数据库系统、编程语言提交带不同参数变量的url,很可能造成服务器端资料泄露甚至可执行系统命令。
b、WEB服务器的错误编码或解码可能会导致服务器信息的泄露、可执行命令、源代码泄露等错误。比较典型的应该是unicode漏洞以及各种iis服务器、apache服务器的源代码泄露漏洞。
c、利用程序错误的边界判断而造成的缓冲区溢出进行攻击。最近的一个典型案例应该是eeye.com发现的.printer溢出漏洞。这是web server本身的问题;但网站应用程序的编写者也可能犯下同样的错误,就是对户输入不加验证。但这方面的错误比较不容易试出来。
通过这样一个过程,应该说在远程扫描,没有本地帐号或者权限的情况下,能够搜集到尽量多的信息了。当然,主机面临的并非是远程风险,还需要具体分析。
1
(2) [网站程序检测]IIS6目录检查安全漏洞的解决
软考网权威发布IIS6目录检查安全漏洞的解决,更多IIS6目录检查安全漏洞的解决相关信息请访问计算机软件水平考试网。
一 、 Windows 2003 Enterprise Edition IIS6 目录检查漏洞的描述
1、Windows 2003 Enterprise Edition是微软目前主流的服务器操作系统。 Windows 2003 IIS6 存在着文件解析路径的漏洞,当文件夹名为类似hack.ASP的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的任何类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为.jpg或.gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。 2、 扩展名为.jpg/.gif的木马检查方法: 在资源管理器中使用详细资料方式,按类别查看。点“查看”菜单--“选择详细信息”--勾选上“尺寸”,确定。此时,正常的图片文件会显示出图片的尺寸大小,如果没有显示,则99%可以肯定是木马文件。用记事本程序打开即可100%确定. 3、 漏洞影响的范围: 安装了IIS6的服务器(windows2003),漏洞特征网站的管理权限被盗、导致网站被黑。因为微软尚未发布这个漏洞的补丁,所以几乎所有网站都会存在这个漏洞。
二、如何解决IIS6安全漏洞?
A 方案 :打补丁 本来安装补丁是一种比较保险的方法,可是漏洞已发现一段时间了,微软一直没有发布相关的补丁。 B方案:网站程序员解决 对于那些允许注册帐号的网站来说,在网站程序编写的时候,程序员通常为了管理方便,便以注册的用户名为名称来建立一个文件夹,用以保存该用户的数据。例如一些图片、文字等等信息。黑客们就是利用了这一特点,特意通过网站注册一个以.或者.cer的后续名作注册名,然后通过如把含有木马的ASP文件的.asp后缀改成.jpg等方法,把文件上传到服务器,由于IIS6漏洞,jpg文件可以通过IIS6来运行,木马也随着运行,达到了攻击网站的目的,这种情况,可以由程序员对注册用户名称进行限制,排除一些带有*.asp *.asa等字符为名的注册名。加强网站自身的安全和防范措施。另外,要阻止用户对文件夹进行重命名操作。 这种方法在一定程度上可以防范一些攻击行为,但是这种方法实现起来非常麻烦,网站的开发人员在程序安全性方面必须掌握相当好的技术,并且必须要对整个网站涉及文件管理方面的程序进行检查,一个网站少则几十,多则上千个文件,要查完相当费时,并且难免会漏掉其中一两个。 另外,目前有很多现成的网站系统只要下载后上传到空间就可以用,开发这些现有网站系统的程序员技术水平参差不齐,难免其中一些系统会存在这种漏洞,还有相当一部分系统的源码是加密过的,很多站长想改也改不动,面对漏洞无乎无能为力。 C方案:服务器配置解决 网站管理员可以通过修改服务器的配置来实现对这个漏洞的预防。如何对服务器进行配置呢?很多网站都允许用户上传一定数量的图片、Flash等,很多时候网站开发人员为了日后管理方便,对上传的文件都统一放到指定的一个文件夹里面,管理员只要对该文件夹的执行权限设置成“无”,这样一定程度可以对漏洞进行预防。 D方案: 服务商解决 服务器商对服务器进行统一的整体性过滤,通过编写组件来限制这种行为。但是能做到这种技术服务的主机供应服务商不多。
最全面的最新的“熊猫烧香”病毒解决方案?
执行了exe、.com、.pif、.src、.html、.asp文件后,自动添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。
近期,“熊猫烧香”病毒无疑成了互联网最热门的关键字了,网上也能找到很多个有关熊猫烧香病毒的解决办法。这些方法都显得不尽完美,再加上熊猫的变种很多,有效性就更加大打折扣了。为此,记者通过对国内几家杀毒软件公司的采访,整理出了一套相对完整的解决方案供大家参考。对于已经感染“熊猫烧香”病毒的用户,可以采用以下几种方式对该病毒进行查杀。
★金山
金山毒霸2007对“熊猫烧香”已经具备免疫能力,金山毒霸反病毒专家建议及时安装正版金山毒霸并升级到最新版本进行查杀。在服务期内的毒霸用户,将会通过金山毒霸的主动实时升级功能,自动升
2
(3) [网站程序检测]为JavaWeb应用程序增加入侵检测功能
计算机等级网权威发布为JavaWeb应用程序增加入侵检测功能,更多为JavaWeb应用程序增加入侵检测功能相关信息请访问计算机等级考试网。
一、简介 在Java Web应用程中,特别是网站开发中,我们有时候需要为应用程序增加一个入侵检测程序来防止恶意刷新的功能,防止非法用户不断的往Web应用中重复发送数据。当然,入侵检测可以用很多方法实现,包括软件、硬件防火墙,入侵检测的策略也很多。在这里我们主要介绍的是Java Web应用程序中通过软件的方式实现简单的入侵检测及防御。 该方法的实现原理很简单,就是用户访问Web系统时记录每个用户的信息,然后进行对照,并根据设定的策略(比如:1秒钟刷新页面10次)判断用户是否属于恶意刷新。 我们的入侵检测程序应该放到所有Java Web程序的执行前,也即若发现用户是恶意刷新就不再继续执行Java Web中的其它部分内容,否则就会失去了意义。这就需要以插件的方式把入侵检测的程序置入Java Web应用中,使得每次用户访问Java Web,都先要到这个入侵检测程序中报一次到,符合规则才能放行。 Java Web应用大致分为两种,一种纯JSP(+Java Bean)方式,一种是基于框架(如Struts、EasyJWeb等)的。第一种方式的Java Web可以通过Java Servlet中的Filter接口实现,也即实现一个Filter接口,在其doFilter方法中插入入侵检测程序,然后再web.xml中作简单的配置即可。在基于框架的Web应用中,由于所有应用都有一个入口,因此可以把入侵检测的程序直接插入框架入口引擎中,使框架本身支持入侵检测功能。当然,也可以通过实现Filter接口来实现。 在EasyJWeb框架中,已经置入了简单入侵检测的程序,因此,这里我们以EasyJWeb框架为例,介绍具体的实现方法及源码,完整的代码可以在EasyJWeb源码中找到。 在基于EasyJWeb的Java Web应用中,默认情况下你只要连续刷新页面次数过多,即会弹出如下的错误: EasyJWeb框架友情提示!:-): 您对页面的刷新太快,请等待60秒后再刷新页面! 二、用户访问信息记录UserConnect.java类 这个类是一个简单的Java Bean,主要代表用户的信息,包括用户名、IP、第一次访问时间、最后登录时间、登录次数、用户状态等。全部 代码如下: package com.easyjf.web; import java.util.Date; /** * * Title:用户验证信息 * Description:记录用户登录信息,判断用户登录情况 public class UserConnect { private String userName; private String ip; private Date firstFailureTime; private Date lastLoginTime; private int failureTimes;//用户登录失败次数 private int status=0;//用户状态0表示正常,-1表示锁定 public int getFailureTimes() { return failureTimes; } public void setFailureTimes(int failureTimes) { this.failureTimes = failureTimes; } public Date getFirstFailureTime() { return firstFailureTime; } public void setFirstFailureTime(Date firstFailureTime) { this.firstFailureTime = firstFailureTime; } public String getIp() { return ip; } public void setIp(String ip) { this.ip = ip; } public Date getLastLoginTime() { return lastLoginTime; } public void setLastLoginTime(Date lastLoginTime) { this.lastLogi
3
http://m.zhuodaoren.com/shenghuo811158/
推荐访问:网站安全检测
