安全检查中常见问题.doc

《安全检查中常见问题.doc》由会员分享，可在线阅读，更多相关《安全检查中常见问题.doc（11页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流安全检查中常见问题.精品文档.目 录一、服务器环境1二、WEB应用层检测11、SQL注入漏洞、跨站脚本12、源代码漏洞33、列目录34、JSP文件上传35、拒绝服务，错误页面转向46、补充说明4三、操作系统41、身份鉴别42、自主访问控制53、安全审计64、剩余信息保护65、资源控制7四、ORACLE数据库检测8五、SQL数据库检测9一、服务器环境系统软件：Windows Server2003数据库管理系统：ORACLE 9i JDK版本：JDK1.42应用服务器：TOMCAT5.0 以及Apache2二、WEB应用层检测 1、SQL注入漏洞

2、、跨站脚本对于网站中所有接收参数的动态页面，都要进行过滤，过滤的方法如下：public class SecurityTool / / 用于检测前台传过来的参数是否有安全隐患/ 目前主要检测sql注入/ 如果有发现特殊字符则删除/ / 前台传入的参数/ 安全的参数public static String CheckRequest(String param)if(param=null|param.equals()return param;/检查sql注入的特殊字符if(param.indexOf(;)-1)param=param.replaceAll(,);if(param.indexOf()-1

3、)param=param.replaceAll(,);if(param.indexOf(exec)-1)param=param.replaceAll(exec,);if(param.indexOf(and)-1)param=param.replaceAll(and,);if(param.indexOf(or)-1)param=param.replaceAll(or,);if(param.indexOf(:)-1)param=param.replaceAll(:,);if(param.indexOf(=)-1)param=param.replaceAll(=,);if(param.indexOf

4、( )-1)param=param.replaceAll( ,);if(param.indexOf(-1)param=param.replaceAll()-1)param=param.replaceAll(,);if(param.indexOf(cmd)-1)param=param.replaceAll(cmd,);if(param.indexOf(.)-1)param=param.replaceAll(.,);if(param.indexOf(/)-1)param=param.replaceAll(/,);return param;2、源代码漏洞在网站中任何一个有.jsp的连接，只要把其中一

5、个字母改成大写就会出现源代码漏洞问题，与在IE里面查看源码不同，这个源代码漏洞会把所有写在前台的JAVA语句都显示出来。在tomcat5.0confweb.xml文件中。默认有对小写jsp的过滤。如 jsp org.apache.jasper.servlet.JspServlet fork false xpoweredBy false 3 及 jsp *.jsp 因为JAVA对大小写是区分的，所以还需对JSP, JSp, Jsp, jSP, jsP, jSp ,JsP进行过滤，具体内容请查看web.xml附件。这个问题修改后将不会出现代码漏洞，但会有404的错误，对于这个问题请看第5点。3、列

6、目录修改tomcat5.0confweb.xml文件，listings把默认值true改为false。测试中，如果没有效果，请先清除缓存。 listings true 4、JSP文件上传在网站互动栏目中，如果有上传附件的功能，需要过滤.jsp，.js,.exe等类型的文件，或者根据客户需求只接收某些类型的文件。5、拒绝服务，错误页面转向在webappWEB-INFweb.xml中补充对404,500错误页面转身 404 /error.jsp 500 /error.jspWebapp目录下添加error.jsp，内容为6、补充说明tomcat5.0confCatalinalocalhost下的a

7、dmin.xml, manager.xml, balancer.xml如果没有使用，可以先把这些文件备份出来。某些版本的tomcat5.0webapps下面有admin,manager的文件或文件夹，如果没有使用，需要将这些文件备份出来或直接删除。三、操作系统说明：对于操作系统安全方面设置，一般等ORACLE安装好后再做设置。否则有可能会影响ORACLE的安装。1、身份鉴别项目编号A）安全建议a. 启用密码必须符合复杂性要求b. 限制密码长度最小值为8c. 密码最短使用期限为2天以下具体设置方法仅供参考：点击“开始”“管理工具”“本地安全策略”在安全策略帐户策略密码策略双击“密码必须符合复杂性

8、要求”选择“已启用”点“确定”双击“密码长度最小值”输入“8” 点“确定”双击“密码最短使用期限” 输入“2” 点“确定”项目编号B）安全建议1 配置鉴别失败处理的功能来防止黑客的枚举攻击a. 复位帐户锁定计数器设置为30分钟b. 帐户锁定时间设置为30分钟c. 帐户锁定阈值策略设置为5次2 设置网络登录连接超时与自动退出以下具体设置方法仅供参考：1 配置监察失败处理的功能点击“开始”“管理工具”“本地安全策略”在安全策略帐户策略帐户锁定策略双击“复位帐户锁定计数器” 输入“10” 点“确定”双击“帐户锁定时间” 输入“30” 点“确定”双击“帐户锁定阈值” 输入“5” 点“确定”2 网络连接

9、超时退出设置点击“开始”“管理工具”“服务器张端配置”点击“终端服务配置”点击“连接”右击右边的“RDP-tcp” 选择“属性”选择“会话”选择卡钩选“替代用户设置（0）” 设置各项活动时间点“确定”项目编号C）安全建议测试时，使用administrator用户名登录系统，同时输入错误的口令证实验证鉴别失败处理功能有效2、自主访问控制项目编号A）安全建议禁用Guest帐户项目编号B）安全建议关闭所有磁盘和文件夹共享，在网络中如果没有使用的必要，应该将默认的共享关闭掉，如果必要，应该对打共享的磁盘或者文件夹进行严格的ACL（访问控制列表）设置。尤其注意对Everyone组和Users组的访问控件

10、。以下具体设置方法仅供参考：1 点击“开始”“设置”“控制面板”“管理工具”“计算机管理”2 依次展开“系统工具”“共享文件夹”，点击“共享”3 右击右边的共享列表选择“停止共享”点击“是”4 重复1-3删除所有的默认共享3、安全审计项目编号A）安全建议操作系统应该开启系统内重要的安全相关事件的审核策略，用来监视操作系统的运行。以下具体设置方法仅供参考：1. 点击“开始”“设置”“控件面板”“管理工具”“本地安全策略”2. 展开“本地策略”点击“审核策略”3. 双击“审核策略更改”钩先“成功、失败”点击“确定”4. 双击“审核对象访问”钩先“成功、失败”点击“确定”5. 双击“审核帐户登录事件

11、”钩先“失败”点击“确定”6. 双击“审核目录服务访问”钩先“成功、失败”点击“确定”7. 双击“审核特权使用”钩先“成功、失败”点击“确定”8. 双击“审核系统事件”钩先“成功、失败”点击“确定”9. 双击“审核帐户管理”钩先“成功、失败”点击“确定”10. 双击“审核登录事件”钩先“失败”点击“确定”项目编号B）安全建议定义审计跟踪极限阈值以下具体设置方法仅供参考：1. 点击“开始”“设置”“控件面板”“管理工具”“计算机管理”2. 依次展开“系统工具”“性能日志和警报” 右击“警报”3. 选择“新建警报设置” 输入警报名称点击“确定”4. 在“常规”选项卡中点“添加”弹出“添加计数器”对

12、话框5. 选择相应的“性能对象”和“计数器”点击“添加”点击“关闭”6. 回到“常规”选项卡设置“将触发警报，如果值是：”7. 点击“操作”选项卡选择触发警报时要做的动作8. 点击“确定”4、剩余信息保护项目编号A）安全建议设置关机时候清空虚拟内存页面，用来确保存储空间的完全释放，保护敏感信息不被泄露以下设置仅供参考：1 点击“开始”“设置”“控制面板”“管理工具”“本地安全策略”2 依次点击“安全设置”“本地策略”“安全选项”3 双击“关机：清除虚拟内存的页面文件” 选择“已启用”点击“确定”5、资源控制项目编号A）安全建议操作系统应该对单个用户对系统资源的使用进行限制，避免单个用户占用过多

13、的系统资源，保证主要服务运行的所需资源。对window2003的系统资源的使用可以进行以下限制：1 对硬盘的限制2 对CPU、内存的限制Window2003本身无法做到对CPU、内存的使用限制，需要通过安装WSRM（windows系统资源管理器）来实现以下具体设置方法仅供参考：1 磁盘文件格式先转换为NTFS（convert盘符 fs:/ntfs）2 右击盘符，选择“属性”3 点击“配额”选项卡4 勾选“启用配额管理”勾选“拒绝将磁盘空间给超过配额限制的用户”5 点击“配额项”弹出“本地磁盘的配额项” 点击菜单上的“配额”按钮选“新建配额项”在弹出的“选择用户”对话框中输入想要限制的用户的用户

14、名如“administrator” 点击“确定”6 关闭“本次磁盘的配额项”的对话框点“应用”点“确定”对CPU和内存的限制，需要安装WSRM(windows系统资源管理器)项目编号B）安全建议对某些曾经对服务器造成威胁的网络地址防范或者终端接入方式。以下具体设置方法仅供参考：1. 点击“开始”“设置”“控制面板”“管理工具”“本地安全策略”2. 右击“IP安全策略，在本地计算机” 选择“创建IP安全策略”弹出“IP安全策略向导”3. 点击“下一步”输入“IP安全策略的名称” 勾去“激活默认响应规则” 点击“下一步”勾去“编辑属性”点击“完成”4. 双击刚才新建的IP策略弹出属性对话框在“规则

15、”选项卡中勾去“使用添加向导”点击“添加”5. 在弹出的“IP筛选器列表”中点击“添加”在弹出的对话框中输入IP筛选器的名称勾去“使用添加向导”点击“添加”6. 在弹出的“IP筛选器”属性的“地址”选项卡中“源地址”中选择“一个选定的IP地址”输入想要阻止的IP地址，“目的地址”选择“我的IP地址” 勾去“镜像”点击“协议”选项卡选择“任意”点击“确定”7. 点击“确定”8. 在“新规则属性”对话框中的“IP筛选器列表”中选择刚才新建的规则9. 点击“筛选器操作”选项卡勾去“使用添加向导”点击“添加”10. 在弹出对话框中选择“安全措施”选项卡点击“阻止”点击“应用”点击“确定”11. 在“筛

16、选器操作”选项卡中选择刚才新建的筛选器操作点击“应用”点击“关闭”回到属性对话框中点击“确定”12. 然后指派刚才新建的IP安全策略即可以上是使用IPSEC来阻止某IP的某协议对本机的访问四、ORACLE数据库检测控制点访问控制安全建议Open的帐户：修改默认口令帐户（DBSNMP，SCOTT，SYSTEM）1 及时更改每个帐户的口令并确保足够强壮：或禁用帐户：登录Oracle Enterprise Management Console数据库安全性用户锁定2 明确Open的帐户的用途和权限控制点密码策略安全建议系统使用的概要文件Profile。FAILED_LOGIN_ATTEMPTS(最大错

17、误登录次数)：UnlimitedPASSWORD_GRACE_TIME(口令失效后锁定时间)：UnlimitedPASSWORD_LIFE_TIME(口令有效时间)：UnlimitedPASSWORD_LOCK_TIME(登录超过时有效次数锁定时间)：UnlimitedPASSWORD_REUSE_MAX（口令历史保留次数）：UnlimitedPASSWORD_RESUSE_TIME（口令历史记录保留时间）：UnlimitedPASSWORD_VERIFY_FUNCTION（口令复杂度审计函数）：Unlimited概要文件Profile管理数据以及数据库存口令和口令验证。通过修改概要文件设置密

18、码安全策略：登录Oracle Enterprise Management Console数据库安全性概要文件口令：控制点系统资源设置安全建议系统使用的概要文件Profile。IDLE_TIME（空闲时间）：UnlimitedCONNECT_TIME(连接时间):UnlimitedSESSIONS_PDR_USER(并发会话数)：Unlimited概要文件Profile管理数据库存系统资源以及数据库存口令和口令验证。限制对资源的访问可以确保系统和用户资源不被过渡消耗、非法使用通过悠远概要文件设置密码安全策略：登录Oracle Enterprise Management Console数据库安全性

19、概要文件一般信息五、SQL数据库检测控制点系统安全安全建议1 限制非sa用户XP_cmdshell，（如果不使用可关闭）。2 禁用不需要的注册表存取程序，XP_regaddmultistring 、XP_regdeletekey、XP_regdeletevalue、XP_regenumvalues、XP_regremovemultistring3 移除会造成威胁的系统存储过程，Xp_enumgroups、Xp_logincofig、Xp_grantlogin、Xp_fileexist、Xp_dirtree、Xp_revokelogin、Sp_addlogin、Sp_addsrvrolememb

20、er、Sp_password4 移去不必要的OLE自动存储过程，Sp_OACreate、Sp_OADestory、Sp_OAGetErrorInfo、Sp_OAGetProperty、Sp_OAmethod、Sp_OASetProperty、Sp_OAStop控制点安全审计安全建议1 将登录审核级别设置为“失败”或者“全部”2 开启C2级审计模式3 设定警报机制控制点访问控制安全建议1 采用Windows身份验证模式2 Master和Tempdb中，应存在guest帐户，但角色应只限于public；在其他数据库存中没有必要存在guest控制点残余信息保护安全建议1 删除示例数据库，Northwind、Pub2 删除文件Sqlstp.log和sqlsp.log，Setup.iss只有administrators才能访问控制点口令策略安全建议1 口令最少6位。数字和字符都包含；口令策略应在有关的安全策略文档中明确描述。2 SA需设置强壮的密码来加强其安全性