第一篇：網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度

網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度

為保證校園網(wǎng)的正常運(yùn)行，防止各類病毒、黑客軟件對我校聯(lián)網(wǎng)主機(jī)構(gòu)成的威脅，最大限度地減少此類損失，特制定本制度：

一、各接入科室計(jì)算機(jī)內(nèi)應(yīng)安裝防病毒軟件、防黑客軟件及垃圾郵件消除軟件，并對軟件定期升級。

二、各接入科室計(jì)算機(jī)內(nèi)嚴(yán)禁安裝病毒軟件、黑客軟件，嚴(yán)禁攻擊其它聯(lián)網(wǎng)主機(jī)，嚴(yán)禁散布黑客軟件和病毒。

三、網(wǎng)絡(luò)中心應(yīng)定期發(fā)布病毒信息，檢測校園網(wǎng)內(nèi)病毒和安全漏洞，并采取必要措施加以防治。

四、校園網(wǎng)內(nèi)主要服務(wù)器應(yīng)當(dāng)安裝防火墻系統(tǒng)，加強(qiáng)網(wǎng)絡(luò)安全管理。

五、門戶網(wǎng)站和部門網(wǎng)站應(yīng)當(dāng)建設(shè)網(wǎng)絡(luò)安全發(fā)布系統(tǒng), 以防止網(wǎng)絡(luò)黑客對頁面的非法篡改, 并使網(wǎng)站具備應(yīng)急恢復(fù)的能力。網(wǎng)絡(luò)安全發(fā)布系統(tǒng)占用系統(tǒng)資源百分比的均值不得超過5%, 峰值不得超過15%。

六、要及時(shí)對操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟件進(jìn)行補(bǔ)丁包升級或者版本升級, 以防黑客利用系統(tǒng)漏洞和弱點(diǎn)非法入侵。

七、網(wǎng)絡(luò)與信息中心定期對網(wǎng)絡(luò)安全和病毒檢測進(jìn)行檢查，發(fā)現(xiàn)問題及時(shí)處理。

2010年4月

第二篇：網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度

病毒檢測及網(wǎng)絡(luò)安全漏洞檢測制度

為保證我院局域網(wǎng)的正常運(yùn)行，防止各類病毒、黑客及其它非法軟件對互聯(lián)網(wǎng)及聯(lián)網(wǎng)主機(jī)構(gòu)成威脅，最大限度地減少、降低損失，特制定本制度。

一、局域網(wǎng)各接入科室計(jì)算機(jī)內(nèi)應(yīng)安裝防火墻軟件系統(tǒng)及防病毒軟件并定期進(jìn)行升級，保證設(shè)備的正常、安全使用；

二、局域網(wǎng)各接入部門計(jì)算機(jī)應(yīng)安裝防病毒軟件、防黑客軟件及其它安全保護(hù)軟件，并對軟件定期升級；

三、嚴(yán)禁各接入部門計(jì)算機(jī)安裝病毒軟件、黑客軟件，嚴(yán)禁攻擊其它聯(lián)網(wǎng)主機(jī)，嚴(yán)禁散布黑客軟件、病毒和其它非法軟件；

四、微機(jī)室應(yīng)定期發(fā)布病毒預(yù)報(bào)信息等各種安全公告，定期檢測互聯(lián)網(wǎng)內(nèi)的病毒和安全漏洞，發(fā)現(xiàn)問題及時(shí)處理；

五、微機(jī)室應(yīng)采用合理的技術(shù)手段對網(wǎng)絡(luò)安全運(yùn)行進(jìn)行有效的監(jiān)控，利用各種有效的安全檢測軟件定期對網(wǎng)絡(luò)安全隱患進(jìn)行檢測；

六、對于通過網(wǎng)絡(luò)或各種介質(zhì)傳遞的軟件、數(shù)據(jù)、信息等必須進(jìn)行有效的安全檢測，以防止病毒等潛在的安全問題發(fā)生和擴(kuò)散，對于新發(fā)現(xiàn)的病毒等要及時(shí)進(jìn)行查殺。無法查殺的要備份染毒文件、上報(bào)，同時(shí)追查病毒來源；

七、微機(jī)室應(yīng)定期檢查防火墻、防病毒軟件等網(wǎng)絡(luò)安全設(shè)備、設(shè)施的配置，以防止網(wǎng)絡(luò)安全設(shè)備、設(shè)施漏洞對網(wǎng)絡(luò)及設(shè)備安全穩(wěn)定運(yùn)行造成影響；

八、微機(jī)室應(yīng)制訂有效的網(wǎng)絡(luò)安全配置管理策略。各聯(lián)網(wǎng)單位或

用戶要及時(shí)報(bào)告新發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞；

九、嚴(yán)禁局域網(wǎng)的任何上網(wǎng)計(jì)算機(jī)對全網(wǎng)絡(luò)范圍內(nèi)進(jìn)行網(wǎng)絡(luò)掃描、IP欺騙等非法活動，一經(jīng)發(fā)現(xiàn)，將按情節(jié)予以中斷網(wǎng)絡(luò)連接或取消上網(wǎng)資格的處理。

十、嚴(yán)禁局域網(wǎng)用戶對網(wǎng)絡(luò)主機(jī)進(jìn)行任何形式的非法攻擊或入侵。對于有意傳播病毒、非法攻擊或入侵的網(wǎng)絡(luò)用戶，一經(jīng)查實(shí)網(wǎng)絡(luò)運(yùn)行管理部門將暫?；蛉∠渖暇W(wǎng)資格，情節(jié)嚴(yán)重的將送交公安機(jī)關(guān)處理。

第三篇：病毒檢測和網(wǎng)絡(luò)安全漏洞檢測制度

病毒檢測和網(wǎng)絡(luò)安全漏洞檢測制度

為保證我校校園網(wǎng)的正常運(yùn)行，防止各類病毒、黑客軟件對我校聯(lián)網(wǎng)主機(jī)構(gòu)成的威脅，最大限度的減少此類損失，特制定本制度：

1、各接入單位計(jì)算機(jī)內(nèi)應(yīng)安裝防病毒軟件、防黑客軟件及垃圾郵件消除軟件，并對軟件定期升級。

2、各接入單休計(jì)算機(jī)內(nèi)嚴(yán)禁安裝病毒軟件、黑客軟件，嚴(yán)禁攻擊其它聯(lián)網(wǎng)主機(jī)，嚴(yán)禁散布黑客軟件和病毒。

3、網(wǎng)管中心應(yīng)定期發(fā)布病毒信息，檢測校園網(wǎng)內(nèi)病毒和安全漏洞，并采取必要措施加以防治。

4、校園網(wǎng)內(nèi)主要服務(wù)器應(yīng)當(dāng)安裝防火墻系統(tǒng)，加強(qiáng)網(wǎng)絡(luò)安全管理。

5、網(wǎng)管中心定期對網(wǎng)絡(luò)安全和病毒檢測進(jìn)行檢查，發(fā)現(xiàn)問題及時(shí)處理。

第四篇：網(wǎng)絡(luò)安全漏洞總結(jié)報(bào)告

大總結(jié)

來到這個(gè)公司實(shí)習(xí)了近兩周，今天是實(shí)習(xí)的最后一天，下面我就把我這兩周的收獲進(jìn)行一個(gè)系統(tǒng)的總結(jié)。

首先第一周我主要學(xué)習(xí)了一些主要安全漏洞的成因，危害以及防范手段。雖然安全漏洞有很多，但是我學(xué)習(xí)了其中幾個(gè)最為常見的，下面我進(jìn)行下總結(jié)。

第一周學(xué)習(xí)的安全漏洞有如下幾個(gè)：

SQL注入，跨站點(diǎn)腳本，登陸管理，文件上傳，敏感信息泄露，連接注入與URL重定向，目錄列表，明文傳輸，文件遺留，http響應(yīng)分割和不安全的http方法的啟用。從SQL注入到敏感信息泄露屬于常見重要漏洞；連接注入到目錄列表屬于中級常見漏洞；最后幾個(gè)則屬于低級常見漏洞。劃分等級的標(biāo)準(zhǔn)是他們的危害程度。下面我分別對他們進(jìn)行總結(jié)：

先來說說登陸管理，登陸管理我的理解是有兩個(gè)成因，一是由于不安全的應(yīng)用編碼或者是不安全的配置造成的，它主要的表現(xiàn)形式是不限制錯(cuò)誤登錄的嘗試次數(shù)，這會使應(yīng)用程序暴露于蠻力攻擊。另一個(gè)就是弱口令，即一些簡單有規(guī)律，易被人猜出來的密碼。因此，攻擊者的主要攻擊手段就是蠻力攻擊和猜口令。防范登陸管理，從用戶的角度出發(fā)，應(yīng)當(dāng)設(shè)置復(fù)雜的密碼，不應(yīng)該讓密碼過于規(guī)律化。從服務(wù)器管理的角度出發(fā)，應(yīng)該限制嘗試登陸次數(shù)或者發(fā)放驗(yàn)證碼，這都是對蠻力攻擊的有效遏制手段，當(dāng)然，對于錯(cuò)誤信息提示，也應(yīng)該盡量模糊化，比如攻擊者猜對了用戶名，但猜錯(cuò)了密碼，那么系統(tǒng)提示不應(yīng)該是密碼錯(cuò)誤，而應(yīng)當(dāng)是用戶名或者密碼錯(cuò)誤。

再來說說文件上傳，它的主要是web應(yīng)用在提供上傳服務(wù)時(shí)對 上傳者的身份或上傳的文件類型控制不正確造成的。攻擊者可以通過這種存在疏漏的上傳，將自己編寫的實(shí)現(xiàn)某些特定功能的jsp文件放到網(wǎng)站服務(wù)器的web目錄中，相當(dāng)于一個(gè)后門，為自己的入侵打開便利之門。對此，網(wǎng)站管理方應(yīng)該從三方面預(yù)防，首先是要驗(yàn)證上傳者的信息，不允許匿名上傳；其次是要限制上傳的格式，不能允許用戶上傳任意格式的文件；最后是要指定上傳的位置，不能隨意上傳到任何目錄下，比如web目錄就應(yīng)該拒絕訪問。

接下來談?wù)凷QL注入，敏感信息泄露以及目錄列表這一類，為什么我把他們歸為一類呢？因?yàn)槭紫?，他們都是對web應(yīng)用造成了威脅，SQL注入正是一個(gè)故意犯錯(cuò)和猜的過程，通過錯(cuò)誤的輸入得到存在漏洞的網(wǎng)站反饋的錯(cuò)誤信息報(bào)告，尋找有用的信息，再通過猜解，一步步得到表名字段名，進(jìn)而通過SQL語句的使用達(dá)到控制后臺數(shù)據(jù)庫的目的；而敏感信息泄露也是因?yàn)闆]有對錯(cuò)誤的輸入進(jìn)行有效的處理，導(dǎo)致一些重要信息暴露給攻擊者；目錄列表存在的現(xiàn)象比較少，但是危害也很大，相當(dāng)于敏感信息泄露，為其他漏洞的攻擊提供了便利。我現(xiàn)在分開總結(jié)下這三個(gè)安全性漏洞。

SQL注入是客戶端提交特殊的代碼，從而收集程序及服務(wù)器的信息，獲取想得到的資料的過程。首先攻擊者要判斷注入環(huán)境，即這個(gè)網(wǎng)站是否有可能存在SQL注入漏洞；接著是尋找注入點(diǎn)，通常方法是單引號法或者1=1,1=2法；然后是猜表名和字段名；再通過工具，尋找web管理后臺入口；最后進(jìn)行破壞。至于攻擊手段有三種，其一是由于服務(wù)器未能進(jìn)行有效的過濾和轉(zhuǎn)義用戶輸入的字符，導(dǎo)致攻擊者篡改SQL語句，進(jìn)行入侵；其二是由于對用戶提供的字段沒有實(shí)施類型強(qiáng)制，比如id=，后面應(yīng)該填寫整型數(shù)據(jù)，而攻擊者可以在后面添加，和一系列SQL語句，違背了設(shè)計(jì)者的初衷，到達(dá)了入侵目的；最后就是盲目攻擊，通過不斷嘗試，根據(jù)網(wǎng)頁顯示的不同內(nèi)容，判斷自己輸入語句的正確性。對此，要防范SQL注入，我們不但要使用參數(shù)化的過濾語句，防止入侵者鉆空子，還要避免反饋一些詳細(xì)的錯(cuò)誤信息。因?yàn)镾QL注入就是一個(gè)故意出錯(cuò)和猜的過程，通過出錯(cuò)得到的反饋，為猜這個(gè)過程提供便利，如果我們反饋的錯(cuò)誤信息越少，那么SQL注入就會越艱難。

敏感信息泄露就是由于對異常信息控制不當(dāng)造成的。比如直接將后臺服務(wù)器的SQL語句堆棧了出來，這樣為其它入侵提供了相當(dāng)大的便利。之所以存在這個(gè)隱患，是因?yàn)闆]有設(shè)置errorPage或者程序員為調(diào)試方便刻意在errorPage打印堆棧信息。對此，我們應(yīng)該正確配置errorPage，并嚴(yán)格控制errorPage中顯示的信息，避免敏感信息泄露。

目錄列表是由于部署web應(yīng)用的應(yīng)用服務(wù)器沒有正確配置造成的。存在該漏洞的網(wǎng)站，如果URL指定的web目錄下不存在index.html，（也可能不叫index）則該目錄下所有文件被自動列出。他也是為其它漏洞的攻擊提供便利，對此，我們應(yīng)該當(dāng)修改web目錄的配置。

然后來說說跨站點(diǎn)腳本以及鏈接注入與URL重定向，之所以把他們放在一起，是因?yàn)檫@幾個(gè)安全漏洞雖然不會對網(wǎng)站本身造成什么危害，但是會給用戶帶來打擊。

鏈接注入與URL重定向俗稱網(wǎng)絡(luò)釣魚，但他們也有著不同的地方。URL重定向是因?yàn)閔ttp 參數(shù)保留 URL 值，這容易導(dǎo)致 Web 應(yīng)用程序?qū)⒄埱笾囟ㄏ虻街付ǖ?URL。攻擊者可以將 URL 值改成指向惡意站點(diǎn)，然后通過給大量用戶發(fā)郵件等方式，誘導(dǎo)用戶登錄惡意站點(diǎn)，并竊取用戶憑證或賬號密碼，對此，我們應(yīng)該嚴(yán)格限制重定向的網(wǎng)站，將它限制在允許訪問的范圍內(nèi)。而鏈接注入與URL重定向有著異曲同工之處，只是它不是在網(wǎng)址處做文章，而是在動態(tài)網(wǎng)頁的輸入出做文章，通常是指Web應(yīng)用的重定向機(jī)制控制不合理，從而可能被攻擊者利用誘導(dǎo)用戶訪問惡意網(wǎng)站，欺騙用戶敏感信息或在用戶計(jì)算機(jī)上部署木馬等。舉個(gè)列子，攻擊者依然會制作一個(gè)詐騙網(wǎng)站，并將這個(gè)網(wǎng)站以重定向的方式記錄下來輸入到動態(tài)頁面的輸入框并且執(zhí)行，這樣，這個(gè)網(wǎng)址會在后臺服務(wù)器留下記錄，那么后面如果有不幸的用戶看到這個(gè)網(wǎng)址并對此感到好奇點(diǎn)擊了這個(gè)網(wǎng)址，那么他的賬號就可能被竊取，他的電腦可能被安裝木馬病毒。對此我們要從三方面下手，一是對用戶輸入進(jìn)行清理；二是不允許輸入Javascript腳本，非法SQL語句，各種操作系統(tǒng)命令等；最后對用戶提交的參數(shù)值中包含的<>等進(jìn)行過濾或者轉(zhuǎn)碼。

接下來說說跨站點(diǎn)腳本，我覺得他和鏈接注入有著相似的地方，存在這個(gè)問題的網(wǎng)站，就是因?yàn)閷⑼獠枯斎氩患尤魏翁幚砭椭苯虞敵龅搅丝蛻舳硕鴮?dǎo)致腳本的執(zhí)行，攻擊者在正常的網(wǎng)址后面添加自己編寫的實(shí)現(xiàn)某種功能的腳本，將這個(gè)帶有腳本的網(wǎng)址發(fā)給大量用戶，如果用戶點(diǎn)擊了這個(gè)網(wǎng)址，那么雖然看到的網(wǎng)頁和原來網(wǎng)頁沒什么不同，但腳本已經(jīng)運(yùn)行，將用戶的重要數(shù)據(jù)發(fā)給了攻擊者。因此防范該漏洞的主要方法就是對用戶輸入進(jìn)行過濾和驗(yàn)證并在輸出時(shí)進(jìn)行轉(zhuǎn)義處理。

總之，以上漏洞都是在動態(tài)網(wǎng)頁中存在的，對于靜態(tài)網(wǎng)頁均不存在以上漏洞。而且我認(rèn)為，計(jì)算機(jī)與網(wǎng)絡(luò)后臺服務(wù)器之間是一個(gè)簡單而又危險(xiǎn)的交互過程，程序員必須要為用戶輸入的數(shù)據(jù)進(jìn)行轉(zhuǎn)義和過濾，對服務(wù)器返回的數(shù)據(jù)應(yīng)該進(jìn)行包裝（比如errorpage）將最少最有效的信息反饋給用戶，中間一旦有哪個(gè)環(huán)節(jié)疏漏，很容易被攻擊者利用，造成損失。

最后說說明文傳輸，文件遺留，http響應(yīng)分割和不安全的http方法的啟用這四個(gè)安全性漏洞。相比于前幾個(gè)漏洞，這幾個(gè)可以說是低級別漏洞，但是我們不能因?yàn)樗鼈儾蝗缜皫讉€(gè)漏洞重要就忽視它們，我們依然要對它們保持警惕。

先來說說明文傳輸和文件遺留，這兩個(gè)漏洞因?yàn)樘峁┝藚⒖假Y料，所以我沒有花太大功夫，通過資料，我把我的理解贅述一下。首先明文傳輸是由于對傳輸?shù)挠脩艨诹顢?shù)據(jù)進(jìn)行保護(hù)不足，可能被攻擊者非法竊聽，因而非法獲取系統(tǒng)的訪問權(quán)限。攻擊者可利用此缺陷，從網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)中竊取該系統(tǒng)的用戶名、口令信息，使攻擊者可以獲取訪問系統(tǒng)的權(quán)限，執(zhí)行任意非法操作。通過‘竊聽’這個(gè)詞，我認(rèn)為明文傳輸就是指用戶與服務(wù)器在交互時(shí)由于保密措施不當(dāng)，導(dǎo)致一些重要數(shù)據(jù)沒有加密直接表現(xiàn)了出來，被攻擊者竊取，造成危害，對此，采用加密方式傳輸是最好的防范手段。

接下來說說文件遺留，這個(gè)漏洞是由于開發(fā)者在生產(chǎn)環(huán)境中留下臨時(shí)文件導(dǎo)致。公共用戶可以通過簡單的沖浪（即按照 Web 鏈接）來訪問站點(diǎn)上的特定頁面。不過，也有頁面和腳本可能無法通過簡單的沖浪來訪問（即未鏈接的頁面和腳本）。攻擊者也許能夠通過猜測名稱（例如 test.php、test.asp、test.cgi、test.html 等）來訪問這些頁面。換句話說，文件遺留也是敏感信息泄露的一種，沒有清理干凈的文件如果被攻擊者發(fā)現(xiàn)，獲取里面有價(jià)值的信息，會給攻擊者的下一步進(jìn)攻提供便利。對此，我們不可將測試/暫時(shí)腳本遺留在服務(wù)器上，確保服務(wù)器上沒有非正常操作所必備的其他腳本。最后說說后兩種漏洞，因?yàn)檫@兩個(gè)漏洞沒有提供資料，我上網(wǎng)查詢雖然最后找到了一些相關(guān)資料，但也頗費(fèi)周折，下面我總結(jié)下我對后兩種漏洞的見解，如果有不恰當(dāng)?shù)牡胤剑€望指正。

http響應(yīng)分割，這是一種試圖通過惡意內(nèi)容“毒害”代理服務(wù)器緩存，從而攻破通過代理服務(wù)器訪問應(yīng)用程序的其他用戶的攻擊技巧。例如，如果一個(gè)企業(yè)網(wǎng)絡(luò)中的所有用戶通過緩存代理服務(wù)器訪問某個(gè)應(yīng)用程序，那么，在代理服務(wù)器的緩存中注入惡意內(nèi)容（顯示給任何請求受影響頁面的用戶），攻擊者就可以向它們實(shí)施攻擊。我覺得它的危害就在于，通過代理服務(wù)器注入木馬，威脅用戶的網(wǎng)絡(luò)安全。對于它的防治我覺得有如下幾種方法：

不將用戶控制的輸入插入到應(yīng)用程序返回的HTTP消息頭中。如果不可避免地要在HTTP消息頭中插入用戶控制的數(shù)據(jù)，那么應(yīng)用程序應(yīng)采取以下這種雙重深層防御方法防止漏洞產(chǎn)生。

輸入確認(rèn)。應(yīng)用程序應(yīng)根據(jù)情形，對插入的數(shù)據(jù)進(jìn)行盡可能嚴(yán)格的確認(rèn)。

輸出確認(rèn)。應(yīng)對插入消息頭的每一個(gè)數(shù)據(jù)進(jìn)行過濾，檢測可能的惡意字符。

通過對所有應(yīng)用程序內(nèi)容使用 HTTPS，應(yīng)用程序即可防止攻擊者利用任何殘留的消息頭注入漏洞“毒害”代理服務(wù)器緩存。

http方法有許多種，除標(biāo)準(zhǔn)的GET與POST方法外，HTTP請求還使用其他各種方法。許多這類方法主要用于完成不常見與特殊的任務(wù)。如果低權(quán)限用戶可以訪問這些方法，他們就能夠以此向應(yīng)用程序?qū)嵤┯行Ч?。這就是不安全的http方法的啟用，它主要對web服務(wù)器與web安全造成危害。資料上沒有說如何防范，但我個(gè)人認(rèn)為，對于這一類漏洞，我們應(yīng)該對一些重要而特殊的http方法進(jìn)行限制，不允許低級別用戶使用這類方法，并且對使用這些方法的用戶進(jìn)行身份驗(yàn)證。

第一周的學(xué)習(xí)成果基本如上，在寫這些漏洞的同時(shí)我也把他們再次鞏固了一遍，加深了印象。第二周我主要是對安全性漏洞的操作工具進(jìn)行了學(xué)習(xí)，主要學(xué)習(xí)了操作方法以及它的不足與完善，還有如何認(rèn)定檢測結(jié)果，首先，工具大致的操作方法如下：

首先是新建工程，選擇Regular Scan即可。

這個(gè)直接點(diǎn)擊下一步。

接下來只要輸入你想檢測的地址即可。如果想掃描其它站點(diǎn)，可以在其他服務(wù)器和域中進(jìn)行輸入。之后選擇下一步。

這里點(diǎn)擊記錄，出現(xiàn)要檢測的地址后點(diǎn)擊下一步。

這里其實(shí)可以直接點(diǎn)擊下一步，不過有兩個(gè)地方可以進(jìn)行設(shè)置，一個(gè)是將該模式作為會話中狀態(tài)的證明，這是用來讓服務(wù)器區(qū)分登陸與未登錄的，不過建議不使用，因?yàn)槿绻麑W(wǎng)頁進(jìn)行增刪改操作的類型不一樣，那么這個(gè)工具會識別為自動退出再重新登錄，這樣無法完成操作；另一個(gè)就是左下角的完全掃描設(shè)置，這里可以進(jìn)行更高級的設(shè)置，不過我們這里直接跳過也無妨。

這一步直接點(diǎn)擊下一步。

點(diǎn)擊完成即可。

不過這個(gè)工具雖然方便使用單也存在著不足，不足的地方有兩個(gè)，一個(gè)是網(wǎng)絡(luò)爬蟲有著友好性，換句話說有些生成鏈接他是檢測不到的，這樣就導(dǎo)致了鏈接覆蓋性的不全面；另一個(gè)就是有些問題這個(gè)工具是檢測不出來的，比如說A給B發(fā)送一個(gè)帶有惡意腳本的鏈接，這個(gè)東西是寫進(jìn)數(shù)據(jù)庫了的，在A看來沒什么區(qū)別，可是對于B，惡意腳本就開始進(jìn)行了，檢測時(shí)候，AppScan使用攻擊的方式檢測，那么他收到的回復(fù)必然是呈現(xiàn)給自己，也就是A的，對于B的呈現(xiàn)結(jié)果這個(gè)工具并不能檢測出來，還有就是如果錯(cuò)誤頁面設(shè)置成空白頁，也同樣無法檢測問題。這就需要我們用手工的方式來檢測。

下面就來說說手工檢測，這也是我今天最后學(xué)習(xí)的內(nèi)容，手工檢測主要分為三個(gè)內(nèi)容，分別是弱口令，用戶口令的明文傳輸以及文件上傳。前兩個(gè)是需要開發(fā)者提供URL或者用戶名與口令，有我們來進(jìn)行評估，第三個(gè)則是需要我們登陸相應(yīng)的文件上傳頁面，來看看文件上傳是否需要驗(yàn)證上傳者的信息，是否限制上傳的格式是否指定了上傳的位置。做到以上三點(diǎn)就不存在該風(fēng)險(xiǎn)。除此之外，有些不需要檢測的地址我們應(yīng)該記錄下來，在掃描配置中的排除選項(xiàng)里進(jìn)行排除，左邊目錄欄里如果有紅色叉子的網(wǎng)頁我們也應(yīng)該記錄下來，對其進(jìn)行手工檢測（各個(gè)漏洞都要進(jìn)行手工檢測）。

最后的分析結(jié)果，我們應(yīng)該通過模擬請求與響應(yīng)，找到出現(xiàn)問題的語句所在，與開發(fā)者進(jìn)行討論。

最后說下如何做好安全測試，我覺得這和前期準(zhǔn)備是分不開的，首先開發(fā)者要告訴我們要檢測的范圍，即是前臺或者后臺，還是說兩者都要檢測，如果是都要檢測，我們應(yīng)該先檢測前臺再檢測后臺，這樣可以避免造成干擾。其次開發(fā)者要取消驗(yàn)證碼和登陸錯(cuò)誤次數(shù)限制；最后開發(fā)者要確定檢測的環(huán)境是實(shí)際環(huán)境還是專用環(huán)境，如果是實(shí)際環(huán)境那開發(fā)者要做好備份，避免造成不必要的損失，如果是專用環(huán)境那開發(fā)者要確定這個(gè)環(huán)境與原環(huán)境具有一致性，避免造成檢測上的偏差。

最后附上我自己在學(xué)習(xí)是查找的一些資料：

http://wenku.baidu.com/view/9fc10d6c1eb91a37f1115c86.html http協(xié)議詳解

http://hi.baidu.com/popotang/blog/item/1fff0a55cda6cacab645aef8.html

tomcat下禁止不安全的http方法

http://book.51cto.com/art/200907/138980.htm http響應(yīng)分割 http:// 網(wǎng)絡(luò)安全小結(jié) http://book.51cto.com/art/200907/139049.htm 危險(xiǎn)的http方法 http://lalalabs.blog.163.com/blog/static/***11234135/ 跨站點(diǎn)請求偽造

總結(jié)：

這兩周的學(xué)習(xí)我主要掌握了一些常見的安全性漏洞的原理以及防范手段，掌握了AppScan的基本使用方法，并且能夠?qū)σ恍┉h(huán)境進(jìn)行檢測和分析，總的來說收獲還是很大的?；厝ノ視^續(xù)學(xué)習(xí)這方面的相關(guān)知識，爭取在這方面有所突破。

第五篇：網(wǎng)絡(luò)攻擊研究和檢測

[摘 要] 隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問題變得越來越受人關(guān)注。而了解網(wǎng)絡(luò)攻擊的方法和技術(shù)對于維護(hù)網(wǎng)絡(luò)安全有著重要的意義。本文對網(wǎng)絡(luò)攻擊的一般步驟做一個(gè)總結(jié)和提煉，針對各個(gè)步驟提出了相關(guān)檢測的方法。

[關(guān)鍵詞] 掃描 權(quán)限 后門

信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是，隨著信息化應(yīng)用的深入、認(rèn)識的提高和技術(shù)的發(fā)展，現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。

入侵攻擊有關(guān)方法，主要有完成攻擊前的信息收集、完成主要的權(quán)限提升完成主要的后門留置等，下面僅就包括筆者根據(jù)近年來在網(wǎng)絡(luò)管理中有關(guān)知識和經(jīng)驗(yàn)，就入侵攻擊的對策及檢測情況做一闡述。

對入侵攻擊來說，掃描是信息收集的主要手段，所以通過對各種掃描原理進(jìn)行分析后，我們可以找到在攻擊發(fā)生時(shí)數(shù)據(jù)流所具有的特征。

一、利用數(shù)據(jù)流特征來檢測攻擊的思路

掃描時(shí),攻擊者首先需要自己構(gòu)造用來掃描的Ip數(shù)據(jù)包,通過發(fā)送正常的和不正常的數(shù)據(jù)包達(dá)到計(jì)算機(jī)端口,再等待端口對其響應(yīng),通過響應(yīng)的結(jié)果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準(zhǔn)確地檢測到系統(tǒng)遭受了網(wǎng)絡(luò)掃描?？紤]下面幾種思路：

1.特征匹配。找到掃描攻擊時(shí)數(shù)據(jù)包中含有的數(shù)據(jù)特征，可以通過分析網(wǎng)絡(luò)信息包中是否含有端口掃描特征的數(shù)據(jù)，來檢測端口掃描的存在。如UDp端口掃描嘗試：content:“sUDp”等等。

2.統(tǒng)計(jì)分析。預(yù)先定義一個(gè)時(shí)間段，在這個(gè)時(shí)間段內(nèi)如發(fā)現(xiàn)了超過某一預(yù)定值的連接次數(shù)，認(rèn)為是端口掃描。

3.系統(tǒng)分析。若攻擊者對同一主機(jī)使用緩慢的分布式掃描方法，間隔時(shí)間足夠讓入侵檢測系統(tǒng)忽略，不按順序掃描整個(gè)網(wǎng)段，將探測步驟分散在幾個(gè)會話中，不導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)明顯異常，不導(dǎo)致日志系統(tǒng)快速增加記錄，那么這種掃描將是比較隱秘的。這樣的話，通過上面的簡單的統(tǒng)計(jì)分析方法不能檢測到它們的存在，但是從理論上來說，掃描是無法絕對隱秘的，若能對收集到的長期數(shù)據(jù)進(jìn)行系統(tǒng)分析，可以檢測出緩慢和分布式的掃描。

二、檢測本地權(quán)限攻擊的思路

行為監(jiān)測法、文件完備性檢查、系統(tǒng)快照對比檢查是常用的檢測技術(shù)。虛擬機(jī)技術(shù)是下一步我們要研究的重點(diǎn)方向。

1.行為監(jiān)測法。由于溢出程序有些行為在正常程序中比較罕見，因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件，如果符合現(xiàn)有的條件規(guī)則就認(rèn)為是溢出程序。行為監(jiān)測法可以檢測未知溢出程序,但實(shí)現(xiàn)起來有一定難度，不容易考慮周全。行為監(jiān)測法從以下方面進(jìn)行有效地監(jiān)測:一是監(jiān)控內(nèi)存活動，跟蹤內(nèi)存容量的異常變化，對中斷向量進(jìn)行監(jiān)控、檢測。二是跟蹤程序進(jìn)程的堆棧變化,維護(hù)程序運(yùn)行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。監(jiān)測敏感目錄和敏感類型的文件。對來自www服務(wù)的腳本執(zhí)行目錄、ftp服務(wù)目錄等敏感目錄的可執(zhí)行文件的運(yùn)行,進(jìn)行攔截、仲裁。對這些目錄的文件寫入操作進(jìn)行審計(jì),阻止非法程序的上傳和寫入。監(jiān)測來自系統(tǒng)服務(wù)程序的命令的執(zhí)行。對數(shù)據(jù)庫服務(wù)程序的有關(guān)接口進(jìn)行控制,防止通過系統(tǒng)服務(wù)程序進(jìn)行的權(quán)限提升。監(jiān)測注冊表的訪問，采用特征碼檢測的方法，阻止木馬和攻擊程序的運(yùn)行。

2.文件完備性檢查。對系統(tǒng)文件和常用庫文件做定期的完備性檢查。可以采用checksum的方式,對重要文件做先驗(yàn)快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結(jié)合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。

3.系統(tǒng)快照對比檢查。對系統(tǒng)中的公共信息，如系統(tǒng)的配置參數(shù)，環(huán)境變量做先驗(yàn)快照，檢測對這些系統(tǒng)變量的訪問，防止篡改導(dǎo)向攻擊。

4.虛擬機(jī)技術(shù)。通過構(gòu)造虛擬x86計(jì)算機(jī)的寄存器表、指令對照表和虛擬內(nèi)存，能夠讓具有溢出敏感特征的程序在虛擬機(jī)中運(yùn)行一段時(shí)間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序程序相似的行為，比如可疑的跳轉(zhuǎn)等和正常計(jì)算機(jī)程序不一樣的地方，再結(jié)合特征碼掃描法，將已知溢出程序代碼特征庫的先驗(yàn)知識應(yīng)用到虛擬機(jī)的運(yùn)行結(jié)果中，完成對一個(gè)特定攻擊行為的判定。

虛擬機(jī)技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合，并沒有拋棄已知的特征知識庫。虛擬機(jī)的引入使得防御軟件從單純的靜態(tài)分析進(jìn)入了動態(tài)和靜態(tài)分析相結(jié)合的境界，在一個(gè)階段里面，極大地提高了已知攻擊和未知攻擊的檢測水平，以相對比較少的代價(jià)獲得了可觀的突破。在今后相當(dāng)長的一段時(shí)間內(nèi)，虛擬機(jī)在合理的完整性、技術(shù)技巧等方面都會有相當(dāng)?shù)倪M(jìn)展。目前國際上公認(rèn)的、并已經(jīng)實(shí)現(xiàn)的虛擬機(jī)技術(shù)在未知攻擊的判定上可達(dá)到80%左右的準(zhǔn)確率。

三、后門留置檢測的常用技術(shù)

1.對比檢測法。檢測后門時(shí)，重要的是要檢測木馬的可疑蹤跡和異常行為。因?yàn)槟抉R程序在目標(biāo)網(wǎng)絡(luò)的主機(jī)上駐留時(shí),為了不被用戶輕易發(fā)現(xiàn),往往會采取各種各樣的隱藏措施，因此檢測木馬程序時(shí)必須考慮到木馬可能采取的隱藏技術(shù)并進(jìn)行有效地規(guī)避，才能發(fā)現(xiàn)木馬引起的異?，F(xiàn)象從而使隱身的木馬“現(xiàn)形”。常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統(tǒng)資源監(jiān)測法和協(xié)議分析法等。

2.文件防篡改法。文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進(jìn)行檢驗(yàn)以確保沒有被第三方修改。文件的身份信息是用于惟一標(biāo)識文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗(yàn)和的方式進(jìn)行生成。

3.系統(tǒng)資源監(jiān)測法。系統(tǒng)資源監(jiān)測法是指采用監(jiān)控主機(jī)系統(tǒng)資源的方式來檢測木馬程序異常行為的技術(shù)。由于黑客需要利用木馬程序進(jìn)行信息搜集，以及滲透攻擊，木馬程序必然會使用主機(jī)的一部分資源，因此通過對主機(jī)資源(例如網(wǎng)絡(luò)、CpU、內(nèi)存、磁盤、USB存儲設(shè)備和注冊表等資源)進(jìn)行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。

4.協(xié)議分析法。協(xié)議分析法是指參照某種標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議對所監(jiān)聽的網(wǎng)絡(luò)會話進(jìn)行對比分析，從而判斷該網(wǎng)絡(luò)會話是否為非法木馬會話的技術(shù)。利用協(xié)議分析法能夠檢測出采取了端口復(fù)用技術(shù)進(jìn)行端口隱藏的木馬。