Web应用安全配置基线
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录
第1章概述 (5)
1.1目的 (5)
1.2适用范围 (5)
1.3适用版本 (5)
1.4实施 (5)
1.5例外条款 (5)
第2章身份与访问控制 (6)
2.1账户锁定策略 (6)
2.2登录用图片验证码 (6)
2.3口令传输 (6)
2.4保存登录功能 (7)
2.5纵向访问控制 (7)
2.6横向访问控制 (7)
2.7敏感资源的访问 (8)
第3章会话管理 (9)
3.1会话超时 (9)
3.2会话终止 (9)
3.3会话标识 (9)
3.4会话标识复用 (10)
第4章代码质量 (11)
4.1防范跨站脚本攻击 (11)
4.2防范SQL注入攻击 (11)
4.3防止路径遍历攻击 (11)
4.4防止命令注入攻击 (12)
4.5防止其他常见的注入攻击 (12)
4.6防止下载敏感资源文件 (13)
4.7防止上传后门脚本 (13)
4.8保证多线程安全 (13)
4.9保证释放资源 (14)
第5章内容管理 (15)
5.1加密存储敏感信息 (15)
5.2避免泄露敏感技术细节 (15)
第6章防钓鱼与防垃圾邮件 (16)
6.1防钓鱼 (16)
6.2防垃圾邮件 (16)
第7章密码算法 (17)
7.1安全算法 (17)
7.2密钥管理 (17)
第8章评审与修订 (18)
第1章概述
1.1目的
本文档旨在指导系统管理人员进行Web应用安全基线检查。
1.2适用范围
本配置标准的使用者包括:服务器系统管理员、应用程序管理员、网络安全管理员。
1.3适用版本
基于B/S架构的Web应用
1.4实施
1.5例外条款
第2章身份与访问控制2.1账户锁定策略
2.2登录用图片验证码
2.3口令传输
2.4保存登录功能
2.5纵向访问控制
2.6横向访问控制
2.7敏感资源的访问
第3章会话管理3.1会话超时
3.2会话终止
3.3会话标识
3.4会话标识复用
第4章代码质量4.1防范跨站脚本攻击
4.2防范SQL注入攻击
4.3防止路径遍历攻击
4.4防止命令注入攻击
4.5防止其他常见的注入攻击
4.6防止下载敏感资源文件
4.7防止上传后门脚本
4.8保证多线程安全
4.9保证释放资源
第5章内容管理
5.1加密存储敏感信息
5.2避免泄露敏感技术细节
第6章防钓鱼与防垃圾邮件6.1防钓鱼
6.2防垃圾邮件
第7章密码算法7.1安全算法
7.2密钥管理
第8章评审与修订
XXXX农商银行 信息系统安全配置基线规范 1范围 本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。 管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标
最受欢迎的十大WEB应用安全评估系统 在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名,但是很可惜,绝大多数都是国外人搞的,界面是英文,操作也不方便,那游侠就在这里综合下,列举下国内WEB安全评估人员常用的一些工具。当然,毫无疑问的,几乎都是商业软件,并且为了描述更准确,游侠尽量摘取其官方网站的说明: 1.IBM Rational AppScan IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具,曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化Web 应用的安全漏洞评估工作,能扫描和检测所有常见的Web 应用安全漏洞,例如SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)及缓冲溢出(buffer overflow)等方面安全漏洞的扫描。 游侠标注:AppScan不但可以对WEB进行安全评估,更重要的是导出的报表相当实用,也是国外产品中唯一可以导出中文报告的产品,并且可以生成各种法规遵从报告,如ISO 27001、OWASP 2007等。 2.HP WebInspect
目前,许多复杂的Web 应用程序全都基于新兴的Web 2.0 技术,HP WebInspect 可以对这些应用程序执行Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的Web 应用程序安全扫描结果。 它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术,例如同步扫描和审核(simultaneous crawl and audit, SCA)及并发应用程序扫描,您可以快速而准确地自动执行Web 应用程序安全测试和Web 服务安全测试。 主要功能: ·利用创新的评估技术检查Web 服务及Web 应用程序的安全 ·自动执行Web 应用程序安全测试和评估 ·在整个生命周期中执行应用程序安全测试和协作 ·通过最先进的用户界面轻松运行交互式扫描 ·满足法律和规章符合性要求 ·利用高级工具(HP Security Toolkit)执行渗透测试 ·配置以支持任何Web 应用程序环境 游侠标注:毫无疑问的,WebInspect的扫描速度相当让人满意。 3.Acunetix Web Vulnerability Scanner
Win2003 & 2008操作系统安全配置要求 2.1. 帐户口令安全 帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。 帐户锁定:应删除或锁定过期帐户、无用帐户。 用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化:应根据实际需要为各个帐户分配最小权限。 默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。 口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。 口令最长使用期限:应设置口令的最长使用期限小于90天。 口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。 口令锁定策略:应配置当用户连续认证失败次数为 5次,锁定该帐户30分钟。 2.2. 服务及授权安全 服务开启最小化:应关闭不必要的服务。 SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。 系统时间同步:应确保系统时间与NTP服务器同步。 DNS服务指向:应配置系统DNS指向企业内部DNS服务器。 2.3. 补丁安全 系统版本:应确保操作系统版本更新至最新。 补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4. 日志审计 日志审核策略设置:应合理配置系统日志审核策略。 日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。 日志存储路径:应更改日志默认存放路径。 日志定期备份:应定期对系统日志进行备份。 2.5. 系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。 2.6. 防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。 2.7. 关闭自动播放功能:应关闭 Windows 自动播放功能。 2.8. 共享文件夹 删除本地默认共享:应关闭 Windows本地默认共享。 共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。 2.9. 登录通信安全 禁止远程访问注册表:应禁止远程访问注册表路径和子路径。 登录超时时间设置:应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录:应禁用匿名访问命名管道和共享。
精品文档 1 Web安全测试技术方案 1.1 测试的目标更好的发现当前系统存在的可能的安全隐患,避免发生危害性的安全事件更好的为今 后系统建设提供指导和有价值的意见及建议 1.2 测试的范围 本期测试服务范围包含如下各个系统: Web系统: 1.3 测试的内容 1.3.1 WEB^ 用 针对网站及WEB系统的安全测试,我们将进行以下方面的测试: Web 服务器安全漏洞 Web 服务器错误配置 SQL 注入 XSS (跨站脚本) CRLF 注入 目录遍历 文件包含 输入验证 认证 逻辑错误 Google Hacking 密码保护区域猜测字典攻击特定的错误页面检测脆弱权限的目录危险的HTTP 方法(如:PUT、DELETE) 1.4 测试的流程 方案制定部分: 精品文档 获取到客户的书面授权许可后,才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流,并得到客户的认同。 在测试实施之前,让客户对安全测试过程和风险知晓,使随后的正式测试流程都在客户的控制下。 信息收集部分:
这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具(AWVS burpsuite、Nmap等)进行收集。 测试实施部分: 在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web应用),此阶段如果成功的话,可能获得普通权限。 安全测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。此过程将循环进行,直到测试完成。最后由安全测试人员清除中间数据。 分析报告输出: 安全测试人员根据测试的过程结果编写直观的安全测试服务报告。内容包括:具体的操作步骤描述;响应分析以及最后的安全修复建议。 下图是更为详细的步骤拆分示意图: 精品文档 1.5 测试的手段 根据安全测试的实际需求,采取自动化测试与人工检测与审核相结合的方式,大大的减少了自动化测试过程中的误报问题。
华为设备安全配置基线目录
概述 目的 规范配置华为路由器、交换机设备,保证设备基本安全。 适用范围 本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。 适用版本 华为交换机、路由器。
帐号管理、认证授权安全要求 帐号管理 1.1.1用户帐号分配* 1、安全基线名称:用户帐号分配安全 2、安全基线编号:SBL-HUAWEI-02-01-01 3、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。 4、参考配置操作: [Huawei]aaa [Huawei-aaa]local-user admin password cipher admin123 [Huawei-aaa]local-user admin privilege level 15 [Huawei-aaa]local-user admin service-type ssh [Huawei-aaa]local-user user password cipher user123 [Huawei-aaa]local-user user privilege level 4 [Huawei-aaa]local-user user service-type ssh 5、安全判定条件: (1)配置文件中,存在不同的账号分配 (2)网络管理员确认用户与账号分配关系明确 6、检测操作: 使用命令dis cur命令查看: … # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!! local-user admin privilege level 15 local-user admin service-type ssh local-user user password cipher "=LP!6$^-IYNZP local-user user privilege level 4 local-user user service-type ssh # 对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。 1.1.2删除无关的帐号* 1、安全基线名称:删除无关的账号 2、安全基线编号:SBL-HUAWEI-02-01-02 3、安全基线说明:应删除与设备运行、维护等工作无关的账号。 4、参考配置操作:
××Web应用安全解决方案 一、应用安全需求 1.针对Web的攻击 现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。 网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球网络用户已近20 亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度。 然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web 应用的攻击上,他们针对Web网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。 另外,据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们之中有98%的公司都装有防火墙。早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的Web端口都必须处于开放状态。” 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。
Web应用安全配置基线 https://www.doczj.com/doc/c23928105.html, 2009年 1月
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 第2章身份与访问控制 (6) 2.1账户锁定策略 (6) 2.2登录用图片验证码 (6) 2.3口令传输 (6) 2.4保存登录功能 (7) 2.5纵向访问控制 (7) 2.6横向访问控制 (7) 2.7敏感资源的访问 (8) 第3章会话管理 (9) 3.1会话超时 (9) 3.2会话终止 (9) 3.3会话标识 (9) 3.4会话标识复用 (10) 第4章代码质量 (11) 4.1防范跨站脚本攻击 (11) 4.2防范SQL注入攻击 (11) 4.3防止路径遍历攻击 (11) 4.4防止命令注入攻击 (12) 4.5防止其他常见的注入攻击 (12) 4.6防止下载敏感资源文件 (13) 4.7防止上传后门脚本 (13) 4.8保证多线程安全 (13) 4.9保证释放资源 (14) 第5章内容管理 (15) 5.1加密存储敏感信息 (15) 5.2避免泄露敏感技术细节 (15) 第6章防钓鱼与防垃圾邮件 (16) 6.1防钓鱼 (16) 6.2防垃圾邮件 (16) 第7章密码算法 (17) 7.1安全算法 (17) 7.2密钥管理 (17)
第1章概述 1.1 目的 本文档规定了所有IT基础设施范围内所有Web应用应当遵循的安全标准,本文档旨在指导系统管理人员进行Web应用安全基线检查。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用程序管理员、网络安全管理员。 本配置标准适用的范围包括:支持所有业务正常运营的Web应用系统。 1.3 适用版本 基于B/S架构的Web应用 1.4 实施 本标准的解释权和修改权属于https://www.doczj.com/doc/c23928105.html,,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
中国海洋大学OCEAN UNIVERSITY OF CHINA 课程论文 论文题目:web应用安全发展的挑战和趋势 授课教师:曲海鹏 学生姓名:甘言海 学生学号:020********* 专业班级:计算机信息保密2010级 2013年12月28日
web应用安全发展的挑战和趋势 由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。然而现实确是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web应用本身的安全,给黑客以可乘之机。 当今世界,Internet已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上,都在不断的完善和提高,然而在非常重要的安全性上,却没有得到足够的重视。 Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过因特网和企业的Web应用交互,由Web应用和企业后台的数据库及其他动态内容通信。尽管不同的企业会有不同的Web 环境搭建方式,一个典型的Web 应用通常是标准的三层架构模型。在这种最常见的模型中,客户端是第一层;使用动态Web 内容技术的部分属于中间层;数据库是第三层。用户通过Web 浏览器发送请求给中间层,由中间层将用户的请求转换为对后台数据的查询或是更新,并将最终的结果在浏览器上展示给用户。 当讨论起Web应用安全,我们经常会听到这样的回答:“我们使用了防火墙”、“我们使用了网络脆弱扫描工具”、“我们使用了SSL 技术”、“我们每个季度都会进行渗透测试”……所以,“我们的应用是安全的”。现实真是如此吗? 在企业Web 应用的各个层面,都会使用不同的技术来确保安全性。为了保护客户端机器的安全,用户会安装防病毒软件;为了保证用户数据传输到企业Web 服务器的传输安全,通信层通常会使用SSL技术加密数据;企业会使用防火墙和IDS/IPS来保证仅允许特定的访问,不必要暴露的端口和非法的访问,在这里都会被阻止;即使有防火墙,企业依然会使用身份认证机制授权用户访问Web 应用。 但是,即便有防病毒保护、防火墙和IDS/IPS,企业仍然不得不允许一部分的通讯经过防火墙,毕竟Web 应用的目的是为用户提供服务,保护措施可以关闭不必要暴露的端口,但是Web 应用必须的80 和443 端口,是一定要开放的。可以顺利通过的这部分通讯,可能是善意的,也可能是恶意的,很难辨别。这里需要注意的是,Web 应用是由软件构成的,那么,它一定会包含缺陷,这些缺陷就可以被恶意的用户利用,他们通过执行各种恶意的操作,或者偷窃、或者操控、或者破坏Web 应用中的重要信息。网络脆弱性扫描工具,由于它仅仅用来分析网络层面的漏洞,不了解应用本身,所以不能彻底提高Web应用安全性;防火墙可以阻止对重要端口的访问,但是80 和443 端口始终要开放,我们无法判断这两个端口中通讯数据是善意的访问还是恶意的攻击;SSL 可以加密数据,但是它仅仅保护了在传输过程中数据的安全性,并没有保护Web应用本身;每个季度的渗透测试,无法满足处于不断变更之中的应用。 只要访问可以顺利通过企业的防火墙,Web应用就毫无保留的呈现在用户
WEB应用防护 1. WEB应用防护(WAF)工作原理 现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web 应用的攻击上,他们针对Web网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用层面上。 即便很多客户在WEB服务器前端部署了防火墙和IDS/IPS产品,但仍然不得不允许一部分的通讯经过防火墙,毕竟Web 应用的目的是为用户提供服务,保护措施可以关闭不必要暴露的端口,但是Web应用必须的80和443端口,是一定要开放的。端口可以顺利通过的这部分通讯,这些数据通讯可能是善意的,也可能是恶意的,很难辨别。而恶意的用户则可以利用这两个端口执行各种恶意的操作,或者偷窃、或者操控、或者破坏Web 应用中的重要信息。 Web应用系统有着其固有的开发特点:经常更改、设计和代码编写不彻底、没有经过严格的测试等,这些特点导致Web应用出现了很多的漏洞。另外,管理员对Web服务器的配置不当也会造成很多漏洞。 目前常用的针对Web服务器和Web应用漏洞的攻击已经多达几百种,常见的攻击手段包括:注入式攻击、跨站脚本攻击、上传假冒文件、不安全本地存储、非法执行脚本和系统命令、源代码泄漏、URL访问限制失效等。攻击目的包括:非法篡改网页、非法篡改数据库、非法执行命令、跨站提交信息、网站资源盗链、窃取脚本源程序、窃取系统信息、窃取用户信息等。 如上图所示:WAF主要提供对WEB应用层数据的解析,对不同的编码方式做强制的多重转换还原成攻击明文,把变形后的字符组合后再进行分析,成而达到较好地抵御来自WEB 层的组合攻击。其主要的算法为基于上下文的语义分析。 通过WAF的部署可以从事前、事中、事后三个方面实现对WEB系统的全方位保护。 (1)事前 WAF提供Web应用漏洞扫描功能,检测Web应用程序是否存在SQL注入、跨站脚本漏洞。 (2)事中 WAF能对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。 (3)事后 针对当前的安全热点问题如:网页篡改及网页挂马等级攻击,WAF能提供诊断功能,降低安全风险,维护网站的公信度。 2. WAF策略规划 * 网页篡改在线防护 按照网页篡改事件发生的时序,WAF提供事中防护以及事后补偿的在线防护解决方案。事中,实时过滤HTTP请求中混杂的网页篡改攻击流量(如SQL注入、XSS等)。事后,自动监控网站所有需保护页面的完整性,检测到网页被篡改,第一时间对管理员进行短信告警,对外仍显示篡改前的正常页面,用户可正常访问网站。
web安全渗透测试培训安全测试总结 跨站点脚本攻击(Xss) Burpsuite探测反射型xss问题请求的值没有做处理就在响应中返回 越权访问定义:不同权限账户之间的功能及数据存在越权访问。 测试方法: 1.抓取A用户功能链接,然后登录B用户对此链接进行访问。 2.抓取用户A的uesrid,用用户B登录时替换为用户A的userid。 3.抓取用户A的cookie,用用户B登录时替换用户A的cookie。 文上传漏洞定义:没有对上传文扩展名进行限制或者限制可以被绕过。 测试方法:找到系统中可以上传文的地方,抓取功能链接,修改文扩展名,看响应包的状态。 关键会话重放攻击定义:可以抓取包固定账号破解密码、固定密码破解账号和重放提交投票数据包。 测试方法:
使用抓包工具抓取系统登录请求,获得用户和密码参数,使用用户或密码字典替代登录请求会话中对应的用户或密码参数,暴力破解。 中间weblogic命令执行漏洞定义:weblogic反序列化漏洞,可以执行系统命令。 测试方法: 使用CVE-20XX-2628漏洞检测工具,对目标主机进行检测。在url.txt中填入目标主机的“ip:port”,这里填入 192.168.2.103:7001。在windows主机打开命令行运行CVE-20XX-2628-MultiThreading.py开始检测。 敏感信息泄露定义:系统暴露系统内部信息,包括网站绝对路径泄露、SQL语句泄露、中间泄露、程序异常回显。 测试方法: 1.使用抓包工具对系统中的参数进行篡改,加入特殊符号“’、--、&;”,查看返回数据包。 2.查看系统前端js代码。 SQL语句泄露中间版本泄露程序异常回显程序异常回显后台泄露漏洞中间后台泄露定义:weblogic后台地址过于简单,攻击者很容易猜测和破解到后台地址。 测试方法: 1.不允许使用默认地址 2.不允许只修改控制台访问地址的端口号
华为设备安全配置基线
目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 第2章帐号管理、认证授权安全要求 (5) 2.1帐号管理 (5) 2.1.1用户帐号分配* (5) 2.1.2删除无关的帐号* (6) 2.2口令 (7) 2.2.1静态口令以密文形式存放 (7) 2.2.2帐号、口令和授权................................ 错误!未定义书签。 2.2.3密码复杂度 (8) 2.3授权 (9) 2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (9) 第3章日志安全要求 (11) 3.1日志安全 (11) 3.1.1启用信息中心 (11) 3.1.2开启NTP服务保证记录的时间的准确性 (12) 3.1.3远程日志功能* (13) 第4章IP协议安全要求 (15) 4.1IP协议 (15) 4.1.1VRRP认证 (15) 4.1.2系统远程服务只允许特定地址访问 (15) 4.2功能配置 (17) 4.2.1SNMP的Community默认通行字口令强度 (17) 4.2.2只与特定主机进行SNMP协议交互 (18) 4.2.3配置SNMPV2或以上版本 (19) 4.2.4关闭未使用的SNMP协议及未使用write权限 (20) 第5章IP协议安全要求 (22)
5.1其他安全配置 (22) 5.1.1关闭未使用的接口 (22) 5.1.2修改设备缺省BANNER语 (23) 5.1.3配置定时账户自动登出 (23) 5.1.4配置console口密码保护功能 (24) 5.1.5端口与实际应用相符 (25)
目录 一. 项目背景及必要性 (2) 1.1 项目背景 (2) 二. 中国铁建Web应用安全风险分析 (5) 2.1 应用层安全风险分析 (5) 2.1.1 身份认证漏洞 (5) 2.1.2 www服务漏洞 (5) 2.1.3 Web网站应用漏洞 (6) 2.2 管理层安全风险分析 (6) 三. 中国铁建Web网站安全防护方案 (8) 3.1 产品介绍 (9) 3.1.1 WebGuard网页防篡改保护系统解决方案 (9) 3.1.2 WebGuard-WAF综合应用安全网关 (13) 21 3.2 系统部署.................................................................................................................................. 3.2.1 详细部署 (21) 3.2.2 部署后的效果 (22) 23 四. 系统报价...........................................................................................................................................
一. 项目背景及必要性 1.1 项目背景 近年来,信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化, 随着信息时代的到来,信息化发展也为移动工作带来了新的挑战和机遇。 近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络 安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。在企业网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代 价的教训,企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。 国内相关行业网站的安全问题有其历史原因:在旧网络时期,一方面因为意识与资金方 面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理” 的倾向,政府网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间 放一个防火墙就万事大吉,有些政府甚至什么也不放,直接面对互联网,这就给病毒、黑客 提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安 全隐患发生任何一次对整个网络都将是致命性的。 随着网络规模的急剧膨胀,网络用户的快速增长,网站在各行业的信息化建设中已经在 扮演至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业、金融证券、政府 及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫 问题;因此,解决网络安全问题刻不容缓。 当前企业、金融证券和政府业务系统大都居于B/S架构,使用Web应用来运行核心业务,
【最新整理,下载后即可编辑】 目录 一. 项目背景及必要性 (3) 1.1 项目背景 (3) 二. 中国铁建Web应用安全风险分析 (6) 2.1 应用层安全风险分析 (6) 2.1.1 身份认证漏洞 (6) 2.1.2 www服务漏洞 (6) 2.1.3 Web网站应用漏洞 (6) 2.2 管理层安全风险分析 (7) 三. 中国铁建Web网站安全防护方案 (8) 3.1 产品介绍 (9) 3.1.1 WebGuard网页防篡改保护系统解决方案 (9) 3.1.2 WebGuard-WAF综合应用安全网关 (12) 3.2 系统部署 (18) 3.2.1 详细部署 (18) 3.2.2 部署后的效果 (19) 四. 系统报价 (20)
一. 项目背景及必要性 1.1 项目背景 近年来,信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化,随着信息时代的到来,信息化发展也为移动工作带来了新的挑战和机遇。 近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。在企业网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代价的教训,企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。 国内相关行业网站的安全问题有其历史原因:在旧网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,政府网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些政府甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,
WebSphere Web服务器安全配置基线
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 1.4实施 (4) 1.5例外条款 (4) 第2章帐号管理、认证授权 (4) 2.1帐号 (4) 2.1.1应用程序角色 (4) 2.1.2控制台帐号安全 (5) 2.1.3口令管理 (5) 2.1.4密码复杂度 (6) 2.2认证授权 (7) 2.2.1控制台安全 (7) 2.2.2全局安全性与Java2安全 (7) 第3章日志配置操作 (9) 3.1日志配置 (9) 3.1.1日志与记录 (9) 第4章备份容错 (10) 4.1备份容错 (10) 第5章设备其他配置操作 (11) 5.1安全管理 (11) 5.1.1控制台超时设置 (11) 5.1.2示例程序删除 (11) 5.1.3错误页面处理 (12) 5.1.4文件访问限制 (12) 5.1.5目录列出访问限制 (12) 5.1.6控制目录权限 (13) 5.1.7补丁管理* (13) 第6章评审与修订 (15)
第1章概述 1.1 目的 本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 1.3 适用版本 6.x版本的WebSphere Web服务器。 1.4 实施 1.5 例外条款 第2章帐号管理、认证授权 2.1 帐号 应用程序角色
安全基线项目 项目简介: 安全基准项目主要帮助客户降低由于安全控制不足而引起的安全风险。安全基准项目在NIST、CIS、OVAL等相关技术的基础上,形成了一系列以最佳安全实践为标准的配置安全基准。 二. 安全基线的定义 2.1 安全基线的概念 安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题 的先决条件。 2.2 安全基线的框架 在充分考虑行业的现状和行业最佳实践,并参考了运营商下发的各类安全政策文件,继承和吸收了国家等级保护、风险评估的经验成果等基础上,构建出基于业务系统的基线安全模型 如图2.1所示:
图 2.1 基线安全模型 基线安全模型以业务系统为核心,分为业务层、功能架构层、系统实现层三层架构: 1. 第一层是业务层,这个层面中主要是根据不同业务系统的特性,定义不同安 全防护的要求,是一个比较宏观的要求。 2. 第二层是功能架构层,将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块,这些模块针对业务层定义的安全防护 要求细化为此层不同模块应该具备的要求。 3. 第三层是系统实现层,将第二层模块根据业务系统的特性进一步分解,如将操作系统可分解为Windows、Solaris等系统模块,网络设备分解为华为路由器、Cisco路由器等系统模块……这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求,称为Windows安全基线、华为路由器安全基线等。 下面以运营商的WAP系统为例对模型的应用进行说明:
Web应用安全解决方案
××Web应用安全解决方案 一、应用安全需求 1.针对Web的攻击 现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。 网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球网络用户已近20 亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度。
然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web 应用的攻击上,他们针对Web网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。 另外,据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公
司带来的经济损失超过1.41亿美元,但事实上他们之中有98%的公司都装有防火墙。早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的Web端口都必须处于开放状态。” 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。 2.Web安全防范 在Web应用的各个层面,都会使用不同的
提纲: 一、不能盲目相信用户输入 二、五种常见的https://www.doczj.com/doc/c23928105.html,安全缺陷 2.1 篡改参数 2.2 篡改参数之二 2.3 信息泄漏 2.4 SQL注入式攻击 2.5 跨站脚本执行 三、使用自动安全测试工具 正文: 保证应用程序的安全应当从编写第一行代码的时候开始做起,原因很简单,随着应用规模的发展,修补安全漏洞所需的代价也随之快速增长。根据IBM的系统科学协会(Systems Sciences Institute)的研究,如果等到软件部署之后再来修补缺陷,其代价相当于开发期间检测和消除缺陷的15倍。 为了用最小的代价保障应用程序的安全,在代码本身的安全性、抗御攻击的能力等方面,开发者应当担负更多的责任。然而,要从开发的最初阶段保障程序的安全性,必须具有相应的技能和工具,而真正掌握这些技能和工具的开发者并不是很多。虽然学写安全的代码是一个复杂的过程,最好在大学、内部培训会、行业会议上完成,但只要掌握了下面五种常见的https://www.doczj.com/doc/c23928105.html,应用安全缺陷以及推荐的修正方案,就能够领先一步,将不可或缺的安全因素融入到应用的出生之时。 一、不能盲目相信用户输入 在Web 应用开发中,开发者最大的失误往往是无条件地信任用户输入,假定用户(即使是恶意用户)总是受到浏览器的限制,总是通过浏览器和服务器交互,从而打开了攻击Web应用的大门。实际上,黑客们攻击和操作Web网站的工具很多,根本不必局限于浏览器,从最低级的字符模式的原始界面(例如telnet),到CGI脚本扫描器、Web代理、Web应用扫描器,恶意用户可能采用的攻击模式和手段很多。 因此,只有严密地验证用户输入的合法性,才能有效地抵抗黑客的攻击。应用程序可以用多种方法(甚至是验证范围重叠的方法)执行验证,例如,在认可用户输入之前执行验证,确保用户输入只包含合法的字符,而且所有输入域的内容长度都没有超过范围(以防范可能出现的缓冲区溢出攻击),在此基础上再执行其他验证,确保用户输入的数据不仅合法,而且合理。必要时不仅可以采取强制性的长度限制策略,而且还可以对输入内容按照明确定义的特征集执行验证。下面几点建议将帮助你正确验证用户输入数据: ⑴始终对所有的用户输入执行验证,且验证必须在一个可靠的平台上进行,应当在应用的多个层上进行。
Linux系统安全配置基线 目录 第1章概述................................................... 错误!未指定书签。 1.1目的 .................................................... 错误!未指定书签。 1.2适用范围 ................................................ 错误!未指定书签。 1.3适用版本 ................................................ 错误!未指定书签。第2章安装前准备工作 ......................................... 错误!未指定书签。 2.1需准备的光盘 ............................................ 错误!未指定书签。第3章操作系统的基本安装 ..................................... 错误!未指定书签。 3.1基本安装 ................................................ 错误!未指定书签。第4章账号管理、认证授权 ..................................... 错误!未指定书签。 4.1账号 .................................................... 错误!未指定书签。 4.1.1用户口令设置........................................ 错误!未指定书签。 4.1.2检查是否存在除root之外UID为0的用户 ............... 错误!未指定书签。 4.1.3检查多余账户........................................ 错误!未指定书签。 4.1.4分配账户............................................ 错误!未指定书签。 4.1.5账号锁定............................................ 错误!未指定书签。 4.1.6检查账户权限........................................ 错误!未指定书签。 4.2认证 .................................................... 错误!未指定书签。 4.2.1远程连接的安全性配置 ................................ 错误!未指定书签。 4.2.2限制ssh连接的IP配置 ............................... 错误!未指定书签。 4.2.3用户的umask安全配置 ................................ 错误!未指定书签。 4.2.4查找未授权的SUID/SGID文件 .......................... 错误!未指定书签。 4.2.5检查任何人都有写权限的目录 .......................... 错误!未指定书签。 4.2.6查找任何人都有写权限的文件 .......................... 错误!未指定书签。 4.2.7检查没有属主的文件 .................................. 错误!未指定书签。 4.2.8检查异常隐含文件 .................................... 错误!未指定书签。第5章日志审计............................................... 错误!未指定书签。 5.1日志 .................................................... 错误!未指定书签。 5.1.1syslog登录事件记录.................................... 错误!未指定书签。 5.2审计 .................................................... 错误!未指定书签。 5.2.1Syslog.conf的配置审核................................. 错误!未指定书签。 5.2.2日志增强............................................ 错误!未指定书签。 5.2.3syslog系统事件审计.................................... 错误!未指定书签。第6章其他配置操作 ........................................... 错误!未指定书签。 6.1系统状态 ................................................ 错误!未指定书签。 6.1.1系统超时注销........................................ 错误!未指定书签。 6.2L INUX服务................................................ 错误!未指定书签。