第一篇:网络安全漏洞检测和系统升级管理制度
网络安全漏洞检测和系统升级管理制度
为保证校园网的正常运行,防止各类病毒、黑客软件对我校联网主机构成的威胁,最大限度地减少此类损失,特制定本制度:
一、各接入科室计算机内应安装防病毒软件、防黑客软件及垃圾邮件消除软件,并对软件定期升级。
二、各接入科室计算机内严禁安装病毒软件、黑客软件,严禁攻击其它联网主机,严禁散布黑客软件和病毒。
三、网络中心应定期发布病毒信息,检测校园网内病毒和安全漏洞,并采取必要措施加以防治。
四、校园网内主要服务器应当安装防火墙系统,加强网络安全管理。
五、门户网站和部门网站应当建设网络安全发布系统, 以防止网络黑客对页面的非法篡改, 并使网站具备应急恢复的能力。网络安全发布系统占用系统资源百分比的均值不得超过5%, 峰值不得超过15%。
六、要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级, 以防黑客利用系统漏洞和弱点非法入侵。
七、网络与信息中心定期对网络安全和病毒检测进行检查,发现问题及时处理。
2010年4月
第二篇:网络安全漏洞检测和系统升级管理制度
病毒检测及网络安全漏洞检测制度
为保证我院局域网的正常运行,防止各类病毒、黑客及其它非法软件对互联网及联网主机构成威胁,最大限度地减少、降低损失,特制定本制度。
一、局域网各接入科室计算机内应安装防火墙软件系统及防病毒软件并定期进行升级,保证设备的正常、安全使用;
二、局域网各接入部门计算机应安装防病毒软件、防黑客软件及其它安全保护软件,并对软件定期升级;
三、严禁各接入部门计算机安装病毒软件、黑客软件,严禁攻击其它联网主机,严禁散布黑客软件、病毒和其它非法软件;
四、微机室应定期发布病毒预报信息等各种安全公告,定期检测互联网内的病毒和安全漏洞,发现问题及时处理;
五、微机室应采用合理的技术手段对网络安全运行进行有效的监控,利用各种有效的安全检测软件定期对网络安全隐患进行检测;
六、对于通过网络或各种介质传递的软件、数据、信息等必须进行有效的安全检测,以防止病毒等潜在的安全问题发生和扩散,对于新发现的病毒等要及时进行查杀。无法查杀的要备份染毒文件、上报,同时追查病毒来源;
七、微机室应定期检查防火墙、防病毒软件等网络安全设备、设施的配置,以防止网络安全设备、设施漏洞对网络及设备安全稳定运行造成影响;
八、微机室应制订有效的网络安全配置管理策略。各联网单位或
用户要及时报告新发现的网络安全漏洞;
九、严禁局域网的任何上网计算机对全网络范围内进行网络扫描、IP欺骗等非法活动,一经发现,将按情节予以中断网络连接或取消上网资格的处理。
十、严禁局域网用户对网络主机进行任何形式的非法攻击或入侵。对于有意传播病毒、非法攻击或入侵的网络用户,一经查实网络运行管理部门将暂停或取消其上网资格,情节严重的将送交公安机关处理。
第三篇:病毒检测和网络安全漏洞检测制度
病毒检测和网络安全漏洞检测制度
为保证我校校园网的正常运行,防止各类病毒、黑客软件对我校联网主机构成的威胁,最大限度的减少此类损失,特制定本制度:
1、各接入单位计算机内应安装防病毒软件、防黑客软件及垃圾邮件消除软件,并对软件定期升级。
2、各接入单休计算机内严禁安装病毒软件、黑客软件,严禁攻击其它联网主机,严禁散布黑客软件和病毒。
3、网管中心应定期发布病毒信息,检测校园网内病毒和安全漏洞,并采取必要措施加以防治。
4、校园网内主要服务器应当安装防火墙系统,加强网络安全管理。
5、网管中心定期对网络安全和病毒检测进行检查,发现问题及时处理。
第四篇:网络安全漏洞总结报告
大总结
来到这个公司实习了近两周,今天是实习的最后一天,下面我就把我这两周的收获进行一个系统的总结。
首先第一周我主要学习了一些主要安全漏洞的成因,危害以及防范手段。虽然安全漏洞有很多,但是我学习了其中几个最为常见的,下面我进行下总结。
第一周学习的安全漏洞有如下几个:
SQL注入,跨站点脚本,登陆管理,文件上传,敏感信息泄露,连接注入与URL重定向,目录列表,明文传输,文件遗留,http响应分割和不安全的http方法的启用。从SQL注入到敏感信息泄露属于常见重要漏洞;连接注入到目录列表属于中级常见漏洞;最后几个则属于低级常见漏洞。划分等级的标准是他们的危害程度。下面我分别对他们进行总结:
先来说说登陆管理,登陆管理我的理解是有两个成因,一是由于不安全的应用编码或者是不安全的配置造成的,它主要的表现形式是不限制错误登录的尝试次数,这会使应用程序暴露于蛮力攻击。另一个就是弱口令,即一些简单有规律,易被人猜出来的密码。因此,攻击者的主要攻击手段就是蛮力攻击和猜口令。防范登陆管理,从用户的角度出发,应当设置复杂的密码,不应该让密码过于规律化。从服务器管理的角度出发,应该限制尝试登陆次数或者发放验证码,这都是对蛮力攻击的有效遏制手段,当然,对于错误信息提示,也应该尽量模糊化,比如攻击者猜对了用户名,但猜错了密码,那么系统提示不应该是密码错误,而应当是用户名或者密码错误。
再来说说文件上传,它的主要是web应用在提供上传服务时对 上传者的身份或上传的文件类型控制不正确造成的。攻击者可以通过这种存在疏漏的上传,将自己编写的实现某些特定功能的jsp文件放到网站服务器的web目录中,相当于一个后门,为自己的入侵打开便利之门。对此,网站管理方应该从三方面预防,首先是要验证上传者的信息,不允许匿名上传;其次是要限制上传的格式,不能允许用户上传任意格式的文件;最后是要指定上传的位置,不能随意上传到任何目录下,比如web目录就应该拒绝访问。
接下来谈谈SQL注入,敏感信息泄露以及目录列表这一类,为什么我把他们归为一类呢?因为首先,他们都是对web应用造成了威胁,SQL注入正是一个故意犯错和猜的过程,通过错误的输入得到存在漏洞的网站反馈的错误信息报告,寻找有用的信息,再通过猜解,一步步得到表名字段名,进而通过SQL语句的使用达到控制后台数据库的目的;而敏感信息泄露也是因为没有对错误的输入进行有效的处理,导致一些重要信息暴露给攻击者;目录列表存在的现象比较少,但是危害也很大,相当于敏感信息泄露,为其他漏洞的攻击提供了便利。我现在分开总结下这三个安全性漏洞。
SQL注入是客户端提交特殊的代码,从而收集程序及服务器的信息,获取想得到的资料的过程。首先攻击者要判断注入环境,即这个网站是否有可能存在SQL注入漏洞;接着是寻找注入点,通常方法是单引号法或者1=1,1=2法;然后是猜表名和字段名;再通过工具,寻找web管理后台入口;最后进行破坏。至于攻击手段有三种,其一是由于服务器未能进行有效的过滤和转义用户输入的字符,导致攻击者篡改SQL语句,进行入侵;其二是由于对用户提供的字段没有实施类型强制,比如id=,后面应该填写整型数据,而攻击者可以在后面添加,和一系列SQL语句,违背了设计者的初衷,到达了入侵目的;最后就是盲目攻击,通过不断尝试,根据网页显示的不同内容,判断自己输入语句的正确性。对此,要防范SQL注入,我们不但要使用参数化的过滤语句,防止入侵者钻空子,还要避免反馈一些详细的错误信息。因为SQL注入就是一个故意出错和猜的过程,通过出错得到的反馈,为猜这个过程提供便利,如果我们反馈的错误信息越少,那么SQL注入就会越艰难。
敏感信息泄露就是由于对异常信息控制不当造成的。比如直接将后台服务器的SQL语句堆栈了出来,这样为其它入侵提供了相当大的便利。之所以存在这个隐患,是因为没有设置errorPage或者程序员为调试方便刻意在errorPage打印堆栈信息。对此,我们应该正确配置errorPage,并严格控制errorPage中显示的信息,避免敏感信息泄露。
目录列表是由于部署web应用的应用服务器没有正确配置造成的。存在该漏洞的网站,如果URL指定的web目录下不存在index.html,(也可能不叫index)则该目录下所有文件被自动列出。他也是为其它漏洞的攻击提供便利,对此,我们应该当修改web目录的配置。
然后来说说跨站点脚本以及链接注入与URL重定向,之所以把他们放在一起,是因为这几个安全漏洞虽然不会对网站本身造成什么危害,但是会给用户带来打击。
链接注入与URL重定向俗称网络钓鱼,但他们也有着不同的地方。URL重定向是因为http 参数保留 URL 值,这容易导致 Web 应用程序将请求重定向到指定的 URL。攻击者可以将 URL 值改成指向恶意站点,然后通过给大量用户发邮件等方式,诱导用户登录恶意站点,并窃取用户凭证或账号密码,对此,我们应该严格限制重定向的网站,将它限制在允许访问的范围内。而链接注入与URL重定向有着异曲同工之处,只是它不是在网址处做文章,而是在动态网页的输入出做文章,通常是指Web应用的重定向机制控制不合理,从而可能被攻击者利用诱导用户访问恶意网站,欺骗用户敏感信息或在用户计算机上部署木马等。举个列子,攻击者依然会制作一个诈骗网站,并将这个网站以重定向的方式记录下来输入到动态页面的输入框并且执行,这样,这个网址会在后台服务器留下记录,那么后面如果有不幸的用户看到这个网址并对此感到好奇点击了这个网址,那么他的账号就可能被窃取,他的电脑可能被安装木马病毒。对此我们要从三方面下手,一是对用户输入进行清理;二是不允许输入Javascript脚本,非法SQL语句,各种操作系统命令等;最后对用户提交的参数值中包含的<>等进行过滤或者转码。
接下来说说跨站点脚本,我觉得他和链接注入有着相似的地方,存在这个问题的网站,就是因为将外部输入不加任何处理就直接输出到了客户端而导致脚本的执行,攻击者在正常的网址后面添加自己编写的实现某种功能的脚本,将这个带有脚本的网址发给大量用户,如果用户点击了这个网址,那么虽然看到的网页和原来网页没什么不同,但脚本已经运行,将用户的重要数据发给了攻击者。因此防范该漏洞的主要方法就是对用户输入进行过滤和验证并在输出时进行转义处理。
总之,以上漏洞都是在动态网页中存在的,对于静态网页均不存在以上漏洞。而且我认为,计算机与网络后台服务器之间是一个简单而又危险的交互过程,程序员必须要为用户输入的数据进行转义和过滤,对服务器返回的数据应该进行包装(比如errorpage)将最少最有效的信息反馈给用户,中间一旦有哪个环节疏漏,很容易被攻击者利用,造成损失。
最后说说明文传输,文件遗留,http响应分割和不安全的http方法的启用这四个安全性漏洞。相比于前几个漏洞,这几个可以说是低级别漏洞,但是我们不能因为它们不如前几个漏洞重要就忽视它们,我们依然要对它们保持警惕。
先来说说明文传输和文件遗留,这两个漏洞因为提供了参考资料,所以我没有花太大功夫,通过资料,我把我的理解赘述一下。首先明文传输是由于对传输的用户口令数据进行保护不足,可能被攻击者非法窃听,因而非法获取系统的访问权限。攻击者可利用此缺陷,从网络传输的数据中窃取该系统的用户名、口令信息,使攻击者可以获取访问系统的权限,执行任意非法操作。通过‘窃听’这个词,我认为明文传输就是指用户与服务器在交互时由于保密措施不当,导致一些重要数据没有加密直接表现了出来,被攻击者窃取,造成危害,对此,采用加密方式传输是最好的防范手段。
接下来说说文件遗留,这个漏洞是由于开发者在生产环境中留下临时文件导致。公共用户可以通过简单的冲浪(即按照 Web 链接)来访问站点上的特定页面。不过,也有页面和脚本可能无法通过简单的冲浪来访问(即未链接的页面和脚本)。攻击者也许能够通过猜测名称(例如 test.php、test.asp、test.cgi、test.html 等)来访问这些页面。换句话说,文件遗留也是敏感信息泄露的一种,没有清理干净的文件如果被攻击者发现,获取里面有价值的信息,会给攻击者的下一步进攻提供便利。对此,我们不可将测试/暂时脚本遗留在服务器上,确保服务器上没有非正常操作所必备的其他脚本。最后说说后两种漏洞,因为这两个漏洞没有提供资料,我上网查询虽然最后找到了一些相关资料,但也颇费周折,下面我总结下我对后两种漏洞的见解,如果有不恰当的地方,还望指正。
http响应分割,这是一种试图通过恶意内容“毒害”代理服务器缓存,从而攻破通过代理服务器访问应用程序的其他用户的攻击技巧。例如,如果一个企业网络中的所有用户通过缓存代理服务器访问某个应用程序,那么,在代理服务器的缓存中注入恶意内容(显示给任何请求受影响页面的用户),攻击者就可以向它们实施攻击。我觉得它的危害就在于,通过代理服务器注入木马,威胁用户的网络安全。对于它的防治我觉得有如下几种方法:
不将用户控制的输入插入到应用程序返回的HTTP消息头中。如果不可避免地要在HTTP消息头中插入用户控制的数据,那么应用程序应采取以下这种双重深层防御方法防止漏洞产生。
输入确认。应用程序应根据情形,对插入的数据进行尽可能严格的确认。
输出确认。应对插入消息头的每一个数据进行过滤,检测可能的恶意字符。
通过对所有应用程序内容使用 HTTPS,应用程序即可防止攻击者利用任何残留的消息头注入漏洞“毒害”代理服务器缓存。
http方法有许多种,除标准的GET与POST方法外,HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击。这就是不安全的http方法的启用,它主要对web服务器与web安全造成危害。资料上没有说如何防范,但我个人认为,对于这一类漏洞,我们应该对一些重要而特殊的http方法进行限制,不允许低级别用户使用这类方法,并且对使用这些方法的用户进行身份验证。
第一周的学习成果基本如上,在写这些漏洞的同时我也把他们再次巩固了一遍,加深了印象。第二周我主要是对安全性漏洞的操作工具进行了学习,主要学习了操作方法以及它的不足与完善,还有如何认定检测结果,首先,工具大致的操作方法如下:
首先是新建工程,选择Regular Scan即可。
这个直接点击下一步。
接下来只要输入你想检测的地址即可。如果想扫描其它站点,可以在其他服务器和域中进行输入。之后选择下一步。
这里点击记录,出现要检测的地址后点击下一步。
这里其实可以直接点击下一步,不过有两个地方可以进行设置,一个是将该模式作为会话中状态的证明,这是用来让服务器区分登陆与未登录的,不过建议不使用,因为如果对网页进行增删改操作的类型不一样,那么这个工具会识别为自动退出再重新登录,这样无法完成操作;另一个就是左下角的完全扫描设置,这里可以进行更高级的设置,不过我们这里直接跳过也无妨。
这一步直接点击下一步。
点击完成即可。
不过这个工具虽然方便使用单也存在着不足,不足的地方有两个,一个是网络爬虫有着友好性,换句话说有些生成链接他是检测不到的,这样就导致了链接覆盖性的不全面;另一个就是有些问题这个工具是检测不出来的,比如说A给B发送一个带有恶意脚本的链接,这个东西是写进数据库了的,在A看来没什么区别,可是对于B,恶意脚本就开始进行了,检测时候,AppScan使用攻击的方式检测,那么他收到的回复必然是呈现给自己,也就是A的,对于B的呈现结果这个工具并不能检测出来,还有就是如果错误页面设置成空白页,也同样无法检测问题。这就需要我们用手工的方式来检测。
下面就来说说手工检测,这也是我今天最后学习的内容,手工检测主要分为三个内容,分别是弱口令,用户口令的明文传输以及文件上传。前两个是需要开发者提供URL或者用户名与口令,有我们来进行评估,第三个则是需要我们登陆相应的文件上传页面,来看看文件上传是否需要验证上传者的信息,是否限制上传的格式是否指定了上传的位置。做到以上三点就不存在该风险。除此之外,有些不需要检测的地址我们应该记录下来,在扫描配置中的排除选项里进行排除,左边目录栏里如果有红色叉子的网页我们也应该记录下来,对其进行手工检测(各个漏洞都要进行手工检测)。
最后的分析结果,我们应该通过模拟请求与响应,找到出现问题的语句所在,与开发者进行讨论。
最后说下如何做好安全测试,我觉得这和前期准备是分不开的,首先开发者要告诉我们要检测的范围,即是前台或者后台,还是说两者都要检测,如果是都要检测,我们应该先检测前台再检测后台,这样可以避免造成干扰。其次开发者要取消验证码和登陆错误次数限制;最后开发者要确定检测的环境是实际环境还是专用环境,如果是实际环境那开发者要做好备份,避免造成不必要的损失,如果是专用环境那开发者要确定这个环境与原环境具有一致性,避免造成检测上的偏差。
最后附上我自己在学习是查找的一些资料:
http://wenku.baidu.com/view/9fc10d6c1eb91a37f1115c86.html http协议详解
http://hi.baidu.com/popotang/blog/item/1fff0a55cda6cacab645aef8.html
tomcat下禁止不安全的http方法
http://book.51cto.com/art/200907/138980.htm http响应分割 http:// 网络安全小结 http://book.51cto.com/art/200907/139049.htm 危险的http方法 http://lalalabs.blog.163.com/blog/static/***11234135/ 跨站点请求伪造
总结:
这两周的学习我主要掌握了一些常见的安全性漏洞的原理以及防范手段,掌握了AppScan的基本使用方法,并且能够对一些环境进行检测和分析,总的来说收获还是很大的。回去我会继续学习这方面的相关知识,争取在这方面有所突破。
第五篇:网络攻击研究和检测
[摘 要] 随着计算机技术的不断发展,网络安全问题变得越来越受人关注。而了解网络攻击的方法和技术对于维护网络安全有着重要的意义。本文对网络攻击的一般步骤做一个总结和提炼,针对各个步骤提出了相关检测的方法。
[关键词] 扫描 权限 后门
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的Ip数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
1.特征匹配。找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDp端口扫描尝试:content:“sUDp”等等。
2.统计分析。预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析。若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
1.行为监测法。由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
2.文件完备性检查。对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
3.系统快照对比检查。对系统中的公共信息,如系统的配置参数,环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。
4.虚拟机技术。通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
三、后门留置检测的常用技术
1.对比检测法。检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法。文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
3.系统资源监测法。系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源(例如网络、CpU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。
4.协议分析法。协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。
点击咨询 