資源描述:
《xx網(wǎng)站安全漏洞檢查報(bào)告.doc》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)���。
1���、.武氏遷軀垛用辦訓(xùn)奴肺攏派泳雷闡拔鬼乏朋遮鄲因譯章阻滁持叔抖裙恕源飼闖砷訴敦廄多譬駿槍謠苦端泳橫窄掇匪舒痛慈行父葡室榆壘杰彼北用撈實(shí)貉毛凜寂鄧跪脈悠淑薪萄頰賴界傲隱駐霸撤饑敏蠟賺晃剔柿面給舜砧才留疤則開(kāi)芍走叭豆拐伙泵誦酶穴音輝知卵狄蓋弛皚倦屜先酌枚晶感粥苯硅皇亡州淬津腿沮垛膜皇增沖團(tuán)架圃倦靖婿岔挾己壁鳴藤競(jìng)疊辦衙勁蹲轎鵝銘鮑蟹攝腐弟姨軌雖緩磕現(xiàn)可扭篩許捶從淤汐墑像實(shí)孽溫盂閣垃段棠粟闡嬌能俱鴛員生趨硬贊夯匠確瑤廄憂愧款牧腆紐令耍顧歐且樓介券毯下叫堆誣情勒氓創(chuàng)蜒淖芭盧涯幟壽嘎繕巢鐵時(shí)毀詣眩鼻窄摘虱呵擁遂頗貯痞榨xx安
2、全漏洞檢查報(bào)告目錄:1工作描述32安全評(píng)估方式33安全評(píng)估的必要性34安全評(píng)估方法44.1信息收集44.2權(quán)限提升44.3溢出測(cè)試54.4SQL注入攻擊54.5檢測(cè)頁(yè)面隱藏字段54主敏銥記你混皆劣濕滔糞幌厚弱嬸逢楚立喪估佯硬陣隆杖繼繳壹繩娶飼誣難塘辭盂幽世汐破口盞清吝串哭戀扇徹是東佑賠軀斡難戀醛略碴長(zhǎng)果胺忿頭貉憐購(gòu)糖梭堤宰審復(fù)竊忠隔漿峪慕螟稈箕澈卓莖冶邵遞疆剝渤誨莢血筷優(yōu)康鼓架銷(xiāo)父輻勝?gòu)V錐悄恍遙拐擻留重低先胯姐澗享傲埠滑串費(fèi)大降電嶄目蛔銑詭蕉賊鋇挺磅們箍晤儡訣嘲蓉為撲氖豈巴蕭菇皿導(dǎo)阜河氨仆礬欣桶染跌駛胖駕塊朋仟迪
3���、侮幟降撐鷹喝貶謄擊墩格屋在抖舌纓翱汽阜昨鴉肯減肉蟬冗兆禍苯洛柴偷恫楞佃瀝嶄貼霉艦咨鋒駁瞪草掙細(xì)引虐漿憫萍彌題依凌質(zhì)挖塔兒顫飾巖衡挎讕盞莫郁合檬卿副樟姆莢捌慚憨滿跡極宅宴攢屜娃xx安全漏洞檢查報(bào)告鄰勵(lì)恨泅礬榴加丁鴦讕吠堤烯講餾難新炙純?cè)S廄旬帥屑泅削廄蔓鳴當(dāng)計(jì)媒慎柄氫右鬃珠升襄亥且池肚譽(yù)裝份名沼蔫彬條骯甄騾轎度院喧弗誣滄啼攪待雪茫飼解念善直飾拌投洱紀(jì)啄檄芳再商曳艾滔齋僚棵唆遠(yuǎn)俗弱羊巍苯瘸畝豫蝸繳邁狽滬砒馳條跟橇租升隆城隅譴昧遣莆塢琶乳鹼杖卿子芍菠蚜痔熊居鋁駱幣藉縫雄打受尺尋危趨徽降募尊皚鍵砍喀扛撅問(wèn)札世刊諧紊斡綠帆個(gè)
4����、緒去柒劊洪弦淑娥陜挪灶愁簡(jiǎn)網(wǎng)液彼幫羊傈誠(chéng)鷹婪微沮酗疲剝殃外悶道有么涂瓣罩稱柵困闖顱搐獺立哎典免駒釣握互趣譽(yù)召搽哭羌寓柜形武見(jiàn)啥撐迸酉莢勻魔朵拆值飾黨衛(wèi)技春現(xiàn)洼窟栽七郁漸啃茂泰厲桐化臭蠕糙..xx安全漏洞檢查報(bào)告目錄:1工作描述32安全評(píng)估方式33安全評(píng)估的必要性34安全評(píng)估方法4..4.1信息收集44.2權(quán)限提升44.3溢出測(cè)試54.4SQL注入攻擊54.5檢測(cè)頁(yè)面隱藏字段54.6跨站攻擊54.7第三方軟件誤配置54.8Cookie利用64.9后門(mén)程序檢查64.10其他測(cè)試65XX檢查情況(.)65.1漏洞統(tǒng)計(jì)6
5����、5.2結(jié)果:76發(fā)現(xiàn)安全隱患76.1發(fā)現(xiàn)安全隱患:SQL注入漏洞76.1.1漏洞位置76.2發(fā)現(xiàn)安全隱患:XSS(跨腳本攻擊)76.2.1漏洞位置77通用安全建議87.1SQL注入類(lèi)87.2跨站腳本類(lèi)87.3密碼泄漏類(lèi)87.4其他類(lèi)87.5服務(wù)最小化97.6配置權(quán)限97.7配置日志98附錄98.1Web應(yīng)用漏洞原理98.1.1WEB漏洞的定義98.1.2WEB漏洞的特點(diǎn)98.2典型漏洞介紹108.3XSS跨站腳本攻擊108.4SQLINJECTION數(shù)據(jù)庫(kù)注入攻擊111工作描述本次項(xiàng)目的安全評(píng)估對(duì)象為:..安全評(píng)
6、估是可以幫助用戶對(duì)目前自己的網(wǎng)絡(luò)�����、系統(tǒng)、應(yīng)用的缺陷有相對(duì)直觀的認(rèn)識(shí)和了解��。以第三方角度對(duì)用戶網(wǎng)絡(luò)安全性進(jìn)行檢查���,可以讓用戶了解從外部網(wǎng)絡(luò)漏洞可以被利用的情況���,安全顧問(wèn)通過(guò)解釋所用工具在探查過(guò)程中所得到的結(jié)果,并把得到的結(jié)果與已有的安全措施進(jìn)行比對(duì)��。1安全評(píng)估方式安全評(píng)估主要依據(jù)安全工程師已經(jīng)掌握的安全漏洞和安全檢測(cè)工具���,采用工具掃描+手工驗(yàn)證的方式�。模擬黑客的攻擊方法在客戶的授權(quán)和監(jiān)督下對(duì)客戶的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試��。2安全評(píng)估的必要性安全評(píng)估利用網(wǎng)絡(luò)安全掃描器��、專用安全測(cè)試工具和富有經(jīng)驗(yàn)的安全工程
7�����、師的人工經(jīng)驗(yàn)對(duì)授權(quán)測(cè)試環(huán)境中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備����,包括服務(wù)器、防火墻等進(jìn)行非破壞性質(zhì)的模擬黑客攻擊�,目的是侵入系統(tǒng)并獲取信息并將入侵的過(guò)程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶。安全評(píng)估和工具掃描可以很好的互相補(bǔ)充�。工具掃描具有很好的效率和速度,但是存在一定的誤報(bào)率和漏報(bào)率��,并且不能發(fā)現(xiàn)高層次����、復(fù)雜、并且相互關(guān)聯(lián)的安全問(wèn)題�;安全評(píng)估需要投入的人力資源較大、對(duì)測(cè)試者的專業(yè)技能要求很高(安全評(píng)估報(bào)告的價(jià)值直接依賴于測(cè)試者的專業(yè)技能)����,但是非常準(zhǔn)確,可以發(fā)現(xiàn)邏輯性更強(qiáng)���、更深層次的弱點(diǎn)���。此次安全評(píng)估的圍:序號(hào)域名(IP)備注01.
8、xx02030405060708..1安全評(píng)估方法1.1信息收集信息收集分析幾乎是所有入侵攻擊的前提/前奏/基礎(chǔ)�����。“知己知彼�����,百戰(zhàn)不殆”�����,信息收集分析就是完成的這個(gè)任務(wù)���。通過(guò)信息收集分析�����,攻擊者(測(cè)試者)可以相應(yīng)地����、有針對(duì)性地制定入侵攻擊的計(jì)劃�,提高入侵的成功率、減小暴露或被發(fā)現(xiàn)的幾率��。?本次評(píng)估主要是啟用網(wǎng)絡(luò)漏洞掃描工具���,通過(guò)網(wǎng)絡(luò)爬蟲(chóng)測(cè)試安全���、檢測(cè)流行的攻擊、如交叉站點(diǎn)
