贵州省政府网站群
二〇〇九年一月六日
贵州省政府网站群安全检测服务方案
目 录
第1章. 前言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
1 1前言 51 2什么是网页漏洞和网页挂马 5
1.2.1网页漏洞. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
1.2.2网页挂马. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
1 3监测实施原则 6
1.3.1标准性原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
1.3.2项目规范化管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
第2章. 安全检测服务介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
2 1跨站脚本 82 2 SQL注入 82 3后台表单逃逸检测 82 4 XPath注入检测 82 5后台登录弱口令检测 92 6源码泄露检测 92 7常见数据库检测 92 8常见目录检测 92 9 目录浏览检测 92 10验证码检测 92 1 1 ani木马检测 92 12 Act i veX控件木马检测 102 13常见挂马方式检测 10第3章. Web安全检测原理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1
3 1第一阶段、 网站结构分析 1 13 2第二阶段、 网页漏洞分析功能 1 13 3第三阶段、结果审核输出阶段 1 13 4 SQL注入漏洞安全检测流程举例 1 1ii
贵州省政府网站群安全检测服务方案
第4章. 渗透检测方案. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
4 1渗透测试原理 134 2渗透测试的可行性 13
4.2.1渗透测试对现有信息资源的要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
4.2.2渗透测试的方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
4.2.3渗透测试前后系统的状态. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
4 3客户委托 154 4信息收集 154 5弱点利用 154 6结果输出 164 7渗透测试方法 16
4.7.1实施准备. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
4.7.1.1实施方式. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
4.7.1.2人员分工. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
4.7.1.3工作环境. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
4.7.2工具测试. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
4.7.2.1测试方式. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
4.7.2.2常用工具. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
4.7.2.3可能的影响. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18
4.7.3人工测试. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
4.7.3.1测试方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
4.7.3.2可能的影响. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
4 8渗透测试内容 19
4.8.1应用层渗透测试. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
4.8.1.1网站结构分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
4.8.1.2 目录遍历探测. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
4.8.1.3隐藏文件探测. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
4.8.1.4备份文件探测. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.8.1.5 CGI漏洞扫描. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.8.1.6用户名和密码猜解. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.8.1.7跨站脚本漏洞挖掘. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
4.8.1.8 SQL注射漏洞挖掘. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
4.8.1.9数据库挖掘分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
4.8.2系统层渗透测试. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
4.8.2.1漏洞扫描. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
4.8.2.2远程溢出. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
4.8.2.3本地权限提升. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
4.8.2.4远程密码猜解. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
第5章. 风险规避. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
5 1规避方式 25iii
贵州省政府网站群安全检测服务方案
5.1.1时间选择. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
5.1.2攻击策略集选择. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
5.1.3系统备份策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
5.1.4系统恢复策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
5.1.5过程监控. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
5.1.6其他要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
5 2应急预案 27第6章. 安全检测服务的交付件—Web安全检测报告项目背景. . . . . . . . . . . . . . . .28
第7章. 安全检测服务的用户价值. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
7 1变单纯被动防御为主动检测+被动防御 307 2降低运营成本 307 3远程服务业务隔离 30第8章. 为何选择安全检测服务. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
第9章. 费用说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32iv
贵州省政府网站群安全检测服务方案
第1章.前言
1.1 前言
据调查有75%的攻击发生在Web应用层且大多数网站都相当脆弱。大量的攻击者在利用Web漏洞入侵网站实现数据篡改、挂马获利。然而用户很难主动发现这一切。若能主动发现Web漏洞以及网页木马并采取补救措施就可以降低网站安全风险减少损失。这一切都需要从建立一个主动的网站安全检查机制入手。针对这一网站安全趋势 北京信息安全服务中心发布了专门针对网站安全的标准化服务产品——Web安全检测服务。Web漏洞、 网页木马这些令管理员头痛的问题可以通过远程方式进行详细的检测相当于为网站进行了一次全面的“体检”并提供有针对性的“治疗”措施和健康建议从而将这些安全隐患带来的损失降到最低。
1.2什么是网页漏洞和网页挂马
1.2.1 网页漏洞
日益增长的网络业务应用为脆弱的web应用提供了漏洞滋生的土壤。如银行、政府机构和在线商务企业都使用了web技术提供服务。这些机构往往自己开发整套的web应用程序(ASP、 JSP和CGI等)而这些开发者由于没有获得过专业训练导致这些自产web软件漏洞百出这些漏洞统称为网页漏洞。
网页漏洞的存在意味着网页中任何传递给浏览器的信息都可能被用户利用和操纵恶意用户可以查看、修改或者插入敏感信息包括价格、会话跟踪信息甚至是脚本执行代码。
1.2.2 网页挂马
很多朋友都碰到过这样的现象打开一个网站结果页面还没显示杀毒软件就开始报警提示检测到木马病毒。有经验的朋友会知道这是网页病毒但是自己打开的明明是正规网站没有哪家正规网站会将病毒放
5
贵州省政府网站群安全检测服务方案
在自己的网页上吧那么是什么导致了这种现象的发生呢其中最有可能的一个原因就是这个网站被挂马了。
网页木马是指黑客攻击WEB网站后在网页中嵌入的一段用于自动下载带有特定目的木马程序的恶意代码或脚本。请注意挂上去的是一段代码或脚本而非真正的“一匹”马。而黑客实施恶意代码或脚本植入的行为通常称为“挂马”。
1.3监测实施原则
1.3.1 标准性原则
符合标准的要求
依据国际信息安全标准、 国内行业规范及其他相关标准和制度。
根据ISO17799/ISO27001所建立的信息安全管理框架作为建立企业信息安全管理体系ISMS的主要依据。
根据ISO13335、 国信办《信息安全风险评估标准》作为对信息资产进行安全风险评估与风险管理的主要参考方法。
根据公安部《信息安全等级保护规范》、美国国家安全局信息安全保障架构IATF等标准作为建立信息安全架构体系的主要依据。
根据COBIT、 ITIL、 CMMI等国际上得到普遍认可的事实标准对IT流程进行风险评估与控制。
根据国家保密局、 国家档案局、 国资委及广东省的有关保密规定作为企业建立保密工作体系的依据。
1.3.2 项目规范化管理
在信息安全服务过程中 根据安全工程的项目管理方法在每个项目阶段都建立持续监控机制制定相应的文档规范对工作过程中产生的文档进行跟踪和控制
安全咨询项目框架遵从美国项目管理协会(PMI)推出的项目管理知识体系PMBOK并在实际中根据自己的行业特征形成自己的行之有效的项目管理体系所有项目的管理都必须严格遵守规定的流程 以确保项
6
贵州省政府网站群安全检测服务方案
目的成功和客户的满意度。
过程可控性本项目的管理将依据PMI项目管理、服务规范等进行管理成立高层项目管理委员会保障项目的沟通管理达到项目过程的可控性。
工具可控性咨询服务人员所使用的评估、修补与加固的工具将事先通告用户确保应在双方认可的范围之内并通过安全培训、工程联络会等方式进行工具的使用介绍。服务过程中采用的安全技术手段确定为已经经过实际应用的安全技术和产品。
整体性原则在进行安全咨询服务过程中将严格按照确定的范围和内容进行实施从广度和深度上满足用户的要求安全咨询项目包括安全涉及的各个层面避免由于遗漏造成未来的安全隐患。
最小影响原则会从项目管理和技术应用的层面将安全咨询服务的实施对系统和网络的正常运行所可能的影响降到最低程度不对网络系统的运行和业务应用的正常提供产生显著影响 同时在安全咨询服务实施前做好备份和应急措施。
保密性原则参与本项目的项目组成员都将与用户签署此项目特定的保密协议对工作过程数据和结果数据严格保密未经授权不得泄露给任何单位和个人。
7
贵州省政府网站群安全检测服务方案
第2章.安全检测服务介绍
2.1 跨站脚本
跨站脚本即XSS漏洞允许攻击者向其他用户发送恶意代码通常是Javascript格式的。浏览器不能判断该脚本是否可被信任 因此会在用户上下文中执行此脚本。恶意人员可利用跨站脚本构造诱骗页面,诱骗用户登陆进而获取登陆者的用户名称、密码等敏感信息进行非法活动。
2.2 SQL注入web应用程序接收的用户输入在没有对输入的字符进行恶意字符过滤的前提下直接用来拼接SQL语句造成了SQL注入漏洞。攻击者利用此注入漏洞通过对数据库的猜解可得到网站管理员的用户名和密码进而获取站点的上传权限得到webshell,利用权限提升控制服务器对整个外部和内部网络系统造成重大损失。
SQL注入是目前互联网中应用最普遍的一个应用层攻击。
2.3 后台表单逃逸检测
后台表单逃逸检测是针对单表的一种特殊性SQL注入检测常用于检测Web应用后台登录系统。单表逃逸是一种常见的Web应用漏洞。例如登录帐户为'or''='等。
2.4 XPath注入检测
随着简单XML API、Web服务和Rich Internet Applications (RIAs)的发展更多组织几乎在所有方面从配置文件到远程过程调用都采用XML作为数据格式。一些人已经使用XML文档代替更传统的纯文本文件或关系数据库但是与任何其他允许外部用户提交数据的应用程序或技术相似XML应用程序可能容易受到代码注入的攻击
8
贵州省政府网站群安全检测服务方案
2.5 后台登录弱口令检测
后台登录弱口令检测是针对Web应用后台登录帐户口令强壮性的检测。通过后台登录弱口令检测可以检验Web应用系统是否存在默认的帐户口令或者弱口令。例如对admin:admin888此类帐户密码的检测。
2.6源码泄露检测
源代码泄露检测是针对网站开发人员或者管理员人为疏忽所造成的严重操作失误所进行的检查。例如http://www.site.com/index. .asp.bak。
2.7 常见数据库检测
由于WEB站点使用了第三方程序或者使用了比较常见的数据库名攻击者通过尝试访问下载的数据库文件将可能导致数据库信息泄露包括网站合法用户信息和管理员信息将严重影响数据库安全。
2.8 常见目录检测
由于WEB站点使用了常见目录将可能导致攻击者进行后台管理页面及数据库路径的暴力猜解。
2.9 目录浏览检测
由于WEB服务器配置不当导致攻击者可以浏览WEB目录内所有文件。通过浏览WEB目录攻击者可以获取当前WEB路径下的敏感文件信息。
2.10验证码检测
通过检测验证码的强弱度验证网站是否使用了较弱的验证码。 网站如果使用了较弱的验证码将无法有效的保护网站安全。
2.11 ani木马检测
木马病毒TROJ_ANICMOO.AX利用Windows动画光标缺陷(Vulnerability in Windows Animated Cursor Handling)发动零时差攻击。使用者只要点选相关恶意链接就会遭受窃取密码账号等机密数据的木马攻击但也有可能因为访问了遭受植入恶意程序的网站而被暗中下毒。
9
香港服务器多少钱一个月?香港服务器租用配置价格一个月多少,现在很多中小型企业在建站时都会租用香港服务器,租用香港服务器可以使网站访问更流畅、稳定性更好,安全性会更高等等。香港服务器的租用和其他地区的服务器租用配置元素都是一样的,那么为什么香港服务器那么受欢迎呢,香港云服务器最便宜价格多少钱一个月呢?阿里云轻量应用服务器最便宜的是1核1G峰值带宽30Mbps,24元/月,288元/年。不过我们一般选...
MechanicWeb怎么样?MechanicWeb好不好?MechanicWeb成立于2008年,目前在美国洛杉矶、凤凰城、达拉斯、迈阿密、北卡、纽约、英国、卢森堡、德国、加拿大、新加坡有11个数据中心,主营全托管型虚拟主机、VPS主机、半专用服务器和独立服务器业务。MechanicWeb只做高端的托管vps,这次MechanicWeb上新Xeon W-1290P处理器套餐,基准3.7GHz最高...
提速啦的来历提速啦是 网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑提速啦的市场定位提速啦主要代理市场稳定速度的云服务器产品,避免新手购买云服务器的时候众多商家不知道如何选择,妮妮云就帮你选择好了产品,无需承担购买风险,不用担心出现被跑路 被诈骗的情况。提速啦的售后保证提速啦退款 通过于合作商的友好协商,云服务器提供3天内全额退款,超过3天不退款 物理机部分支持当天全额退款提速啦提现 充...