信息安全測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)體系課件_第1頁
信息安全測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)體系課件_第2頁
信息安全測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)體系課件_第3頁
信息安全測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)體系課件_第4頁
信息安全測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)體系課件_第5頁
已閱讀5頁,還剩69頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息安全檢查及

網(wǎng)站安全防護(hù)周曉峰杭州市基礎(chǔ)信息安全測(cè)評(píng)認(rèn)證中心2012.6信息安全檢查及

網(wǎng)站安全防護(hù)周曉峰信息安全檢查信息安全檢查WWW.HZTEC.ORG.CN安全檢查依據(jù)國辦發(fā)[2009]28號(hào)《國務(wù)院辦公廳關(guān)于印發(fā)<政府信息系統(tǒng)安全檢查辦法>的通知》省經(jīng)信信安[2011]288號(hào)《關(guān)于印發(fā)<2011年網(wǎng)絡(luò)與重要信息系統(tǒng)安全檢查指南>的通知》杭經(jīng)信網(wǎng)管[2011]1號(hào)《關(guān)于印發(fā)<2011年杭州市網(wǎng)絡(luò)與重要信息系統(tǒng)安全檢查指南>的通知》杭經(jīng)信網(wǎng)管[2011]14號(hào)《關(guān)于進(jìn)行2011年我市重要信息系統(tǒng)安全抽查的通知》WWW.HZTEC.ORG.CN安全檢查依據(jù)國辦發(fā)[2009WWW.HZTEC.ORG.CN安全檢查原則“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”以各單位自查為主,與統(tǒng)一組織的安全抽查相結(jié)合WWW.HZTEC.ORG.CN安全檢查原則“誰主管誰負(fù)責(zé)、WWW.HZTEC.ORG.CN檢查范圍及重點(diǎn)為各部門履行職能提供支撐的信息系統(tǒng),包括自行運(yùn)行維護(hù)管理以及委托其他機(jī)構(gòu)運(yùn)行維護(hù)管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等著重對(duì)各部門的重要業(yè)務(wù)系統(tǒng)、黨政機(jī)關(guān)網(wǎng)站、信息技術(shù)外包服務(wù)安全管理等進(jìn)行安全檢查WWW.HZTEC.ORG.CN檢查范圍及重點(diǎn)為各部門履行職WWW.HZTEC.ORG.CN安全檢查過程遠(yuǎn)程門戶網(wǎng)站檢測(cè)、滲透性測(cè)試小組提前進(jìn)駐被抽查單位,抽查部分內(nèi)部系統(tǒng)分析檢測(cè)結(jié)果、出具初步檢查結(jié)論,提交現(xiàn)場(chǎng)檢查組檢查組現(xiàn)場(chǎng)訪談相關(guān)工作人員、抽查各類制度臺(tái)帳,查看相關(guān)現(xiàn)場(chǎng)檢查組匯總檢查結(jié)果,產(chǎn)生反饋意見各單位根據(jù)反饋意見進(jìn)行整改對(duì)部分單位整改結(jié)果進(jìn)行抽查WWW.HZTEC.ORG.CN安全檢查過程遠(yuǎn)程門戶網(wǎng)站檢測(cè)WWW.HZTEC.ORG.CN安全檢查主要內(nèi)容信息安全組織機(jī)構(gòu)信息安全日常管理信息安全防護(hù)管理信息安全應(yīng)急管理信息安全教育培訓(xùn)信息安全檢查WWW.HZTEC.ORG.CN安全檢查主要內(nèi)容信息安全組織WWW.HZTEC.ORG.CN2011年度檢查結(jié)果1.信息安全組織機(jī)構(gòu)明確了信息安全主管領(lǐng)導(dǎo)(95%)指定了信息安全管理機(jī)構(gòu)(95%)設(shè)置了專職工作處室(90%)配備了相應(yīng)的信息安全管理人員(85%)WWW.HZTEC.ORG.CN2011年度檢查結(jié)果1.信息WWW.HZTEC.ORG.CN2011年度檢查結(jié)果2.安全日常管理多數(shù)單位在人員管理(85%)、資產(chǎn)管理(75%)和外包管理(70%)等方面建立了較完善的安全管理制度。指定了信息安全管理機(jī)構(gòu)(95%)WWW.HZTEC.ORG.CN2011年度檢查結(jié)果2.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果3.安全防護(hù)管理各單位門戶網(wǎng)站中高風(fēng)險(xiǎn)安全隱患的比例得到進(jìn)一步下降,但仍有不少部門存在嚴(yán)重安全隱患WWW.HZTEC.ORG.CN2011年度檢查結(jié)果3.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全應(yīng)急管理較多單位制定了信息安全事件應(yīng)急響應(yīng)預(yù)案(占65%)并開展了不同程度的應(yīng)急演練活動(dòng)(占70%)多數(shù)政府部門建立了合理數(shù)據(jù)容災(zāi)備份制度,實(shí)現(xiàn)了重要數(shù)據(jù)的周期性備份(占75%)WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全自檢查絕大多數(shù)單位(占85%)都通過組織部署、自查實(shí)施、問題整改和自查總結(jié)等過程,積極有效地開展了信息安全自查工作。WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要問題——網(wǎng)站安全防護(hù)不少門戶網(wǎng)站存在不同程度的安全漏洞。5個(gè)單位的門戶網(wǎng)站存在SQL注入等高風(fēng)險(xiǎn)安全漏洞,占所有抽查單位的25%,其中:8個(gè)單位的門戶網(wǎng)站存在跨站腳本編寫等中等風(fēng)險(xiǎn)安全漏洞,占所有抽查單位的40%。WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要WWW.HZTEC.ORG.CN2011年度檢查結(jié)果6.主要問題——其它安全防護(hù)50%單位未具備合理的網(wǎng)絡(luò)邊界自動(dòng)監(jiān)測(cè)、入侵檢測(cè)和防范技術(shù)能力;60%單位未建立合理的信息系統(tǒng)安全審計(jì)制度;50%單位未具備網(wǎng)頁防篡改能力;60%單位未建立有效的終端計(jì)算機(jī)集中管理及接入控制能力;50%單位未建立合理的移動(dòng)存儲(chǔ)介質(zhì)安全管理制度WWW.HZTEC.ORG.CN2011年度檢查結(jié)果6.主要WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要問題——教育培訓(xùn)60%單位未開展面向一般工作人員的信息安全培訓(xùn)活動(dòng),或覆蓋面過??;35%單位的信息安全管理和技術(shù)人員的安全培訓(xùn)不足WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要網(wǎng)站安全防護(hù)網(wǎng)站安全防護(hù)WWW.HZTEC.ORG.CN案例2010年12月26日,冷水江市政府網(wǎng)站被黑客攻擊WWW.HZTEC.ORG.CN案例2010年12月26日,WWW.HZTEC.ORG.CN案例2010年7月,國防部網(wǎng)站被黑客攻擊WWW.HZTEC.ORG.CN案例2010年7月,國防部網(wǎng)WWW.HZTEC.ORG.CN案例2010年7月,水利部網(wǎng)站被黑客攻擊WWW.HZTEC.ORG.CN案例2010年7月,水利部網(wǎng)WWW.HZTEC.ORG.CN一般網(wǎng)站架構(gòu)

SQL語句返回?cái)?shù)據(jù)查詢結(jié)果訪問請(qǐng)求返回請(qǐng)求的頁面互聯(lián)網(wǎng)用戶

應(yīng)用服務(wù)器數(shù)據(jù)庫操作系統(tǒng)腳本語言Web服務(wù)器軟件OracleMySQLMSSQLServer……IEFirefoxChrome……WWW.HZTEC.ORG.CN一般網(wǎng)站架構(gòu) SQL語句返回WWW.HZTEC.ORG.CN網(wǎng)站風(fēng)險(xiǎn)分類應(yīng)用平臺(tái)漏洞網(wǎng)站代碼漏洞操作系統(tǒng)漏洞拒絕服務(wù)攻擊WWW.HZTEC.ORG.CN網(wǎng)站風(fēng)險(xiǎn)分類應(yīng)用平臺(tái)漏洞網(wǎng)站W(wǎng)WW.HZTEC.ORG.CN網(wǎng)站代碼漏洞(高危)SQL注入認(rèn)證旁路上傳漏洞跨站點(diǎn)腳本編制WWW.HZTEC.ORG.CN網(wǎng)站代碼漏洞(高危)SWWW.HZTEC.ORG.CNSQL注入SQL注入(SQLInjection),也叫腳本注入,就是利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足,通過把SQL命令,SQL語句插入到Web表單或輸入到頁面請(qǐng)求的查詢字符串中,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令的一種攻擊。惡意HTTP請(qǐng)求通過80端口達(dá)到服務(wù)器防火墻服務(wù)器攻擊者WWW.HZTEC.ORG.CNSQL注入SQL注入(SQLWWW.HZTEC.ORG.CN認(rèn)證旁路認(rèn)證旁路,其原理也是基于SQL注入,就是在后臺(tái)登陸頁面上,在用戶名或者密碼欄中,輸入特殊的字符或者語句,從而繞夠應(yīng)用系統(tǒng)的身份鑒別機(jī)制,直接進(jìn)入系統(tǒng)后臺(tái)的攻擊手段。WWW.HZTEC.ORG.CN認(rèn)證旁路認(rèn)證旁路,其原理也是WWW.HZTEC.ORG.CN文件上傳漏洞文件上傳漏洞,是指某些網(wǎng)站,允許用戶上傳一些文件至服務(wù)器,比如投稿,提供某些材料等。但對(duì)用戶所上傳的文件類型沒有做嚴(yán)格限制,攻擊者可以上傳惡意軟件至服務(wù)器,從而達(dá)到控制服務(wù)器的目的。WWW.HZTEC.ORG.CN文件上傳漏洞文件上傳漏洞,是WWW.HZTEC.ORG.CN跨站的腳本編制跨站點(diǎn)腳本編制(XSS)是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足,輸入可以顯示在頁面上對(duì)其他用戶造成影響的HTML代碼,從而盜取用戶資料、利用用戶身份進(jìn)行某種動(dòng)作或者對(duì)訪問者進(jìn)行病毒侵害的一種攻擊方式。杭城知名論壇19樓,跨站漏洞WWW.HZTEC.ORG.CN跨站的腳本編制跨站點(diǎn)腳本編制SQL注入攻擊的一般過程尋找注入點(diǎn)(各種掃描工具)判斷數(shù)據(jù)庫類型(MSSQL,MySQL,Oracle)獲取敏感信息(管理員賬號(hào)密碼等)尋找管理后臺(tái)(頁面尋找,google等)用獲取到的信息登陸后臺(tái)SQL注入攻擊的一般過程尋找注入點(diǎn)判斷數(shù)據(jù)庫類型獲取敏感信息WWW.HZTEC.ORG.CN跨站攻擊的一般過程尋找跨站點(diǎn)(各種掃描工具)利用跨站,構(gòu)造惡意代碼(獲取cookies信息等)利用各種手段,誘使受害者點(diǎn)擊含有惡意代碼的鏈接獲取受害者cookies等信息冒用受害者的身份,訪問網(wǎng)站論壇等Cookies信息保存提示W(wǎng)WW.HZTEC.ORG.CN跨站攻擊的一般過程尋找跨站點(diǎn)WWW.HZTEC.ORG.CN應(yīng)用平臺(tái)漏洞IIS、TomcatApache等Oracle、MySQLMSSQLServer等緩沖區(qū)溢出eg:Apache分塊編碼遠(yuǎn)程溢出配置不正確eg:敏感調(diào)試信息暴露弱口令eg:tomcat/tomcatsa/sa等脆弱性WWW.HZTEC.ORG.CN應(yīng)用平臺(tái)漏洞IIS、TomcWWW.HZTEC.ORG.CN從1521端口到控制服務(wù)器掃描目標(biāo)主機(jī)開放的端口獲取Oracle實(shí)例名信息根據(jù)獲取到的信息,配置tnsnames文件,利用Oracle默認(rèn)低權(quán)限用戶,登陸數(shù)據(jù)庫利用oracle存在的溢出漏洞,提升權(quán)限利用oracle,執(zhí)行操作系統(tǒng)命令WWW.HZTEC.ORG.CN從1521端口到控制服務(wù)器掃WWW.HZTEC.ORG.CNSQL注入結(jié)合應(yīng)用平臺(tái)漏洞的攻擊掃描目標(biāo)主機(jī)開放的端口利用SQL注入,獲取數(shù)據(jù)庫信息根據(jù)獲取到的信息,配置tnsnames文件,登陸數(shù)據(jù)庫利用oracle存在的溢出漏洞,提升權(quán)限利用oracle,執(zhí)行操作系統(tǒng)命令WWW.HZTEC.ORG.CNSQL注入結(jié)合應(yīng)用平臺(tái)漏洞的WWW.HZTEC.ORG.CN社會(huì)工程學(xué)案例WWW.HZTEC.ORG.CN社會(huì)工程學(xué)案例WWW.HZTEC.ORG.CN信息泄露調(diào)試信息,暴露了網(wǎng)站的路徑WWW.HZTEC.ORG.CN信息泄露調(diào)試信息,暴露了網(wǎng)站W(wǎng)WW.HZTEC.ORG.CN應(yīng)用平臺(tái)漏洞防范措施限制端口開放及時(shí)更新補(bǔ)丁合理設(shè)置用戶及密碼WWW.HZTEC.ORG.CN應(yīng)用平臺(tái)漏洞防范措施限制WWW.HZTEC.ORG.CN代碼漏洞防范措施部署硬件防護(hù)設(shè)備代碼級(jí)別的防護(hù)屏蔽錯(cuò)誤信息

驗(yàn)證用戶輸入數(shù)據(jù)的合法性使用工具模擬檢測(cè)攻擊

WWW.HZTEC.ORG.CN代碼漏洞防范措施部署硬件WWW.HZTEC.ORG.CN安全防護(hù)體系發(fā)現(xiàn)問題處理問題日常管理緊急情況配置加固安全設(shè)備應(yīng)急響應(yīng)配置加固安全檢查漏洞掃描安全培訓(xùn)安全咨詢WWW.HZTEC.ORG.CN安全防護(hù)體系發(fā)現(xiàn)問題處理問題ThankYou!ThankYou!信息安全檢查及

網(wǎng)站安全防護(hù)周曉峰杭州市基礎(chǔ)信息安全測(cè)評(píng)認(rèn)證中心2012.6信息安全檢查及

網(wǎng)站安全防護(hù)周曉峰信息安全檢查信息安全檢查WWW.HZTEC.ORG.CN安全檢查依據(jù)國辦發(fā)[2009]28號(hào)《國務(wù)院辦公廳關(guān)于印發(fā)<政府信息系統(tǒng)安全檢查辦法>的通知》省經(jīng)信信安[2011]288號(hào)《關(guān)于印發(fā)<2011年網(wǎng)絡(luò)與重要信息系統(tǒng)安全檢查指南>的通知》杭經(jīng)信網(wǎng)管[2011]1號(hào)《關(guān)于印發(fā)<2011年杭州市網(wǎng)絡(luò)與重要信息系統(tǒng)安全檢查指南>的通知》杭經(jīng)信網(wǎng)管[2011]14號(hào)《關(guān)于進(jìn)行2011年我市重要信息系統(tǒng)安全抽查的通知》WWW.HZTEC.ORG.CN安全檢查依據(jù)國辦發(fā)[2009WWW.HZTEC.ORG.CN安全檢查原則“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”以各單位自查為主,與統(tǒng)一組織的安全抽查相結(jié)合WWW.HZTEC.ORG.CN安全檢查原則“誰主管誰負(fù)責(zé)、WWW.HZTEC.ORG.CN檢查范圍及重點(diǎn)為各部門履行職能提供支撐的信息系統(tǒng),包括自行運(yùn)行維護(hù)管理以及委托其他機(jī)構(gòu)運(yùn)行維護(hù)管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等著重對(duì)各部門的重要業(yè)務(wù)系統(tǒng)、黨政機(jī)關(guān)網(wǎng)站、信息技術(shù)外包服務(wù)安全管理等進(jìn)行安全檢查WWW.HZTEC.ORG.CN檢查范圍及重點(diǎn)為各部門履行職WWW.HZTEC.ORG.CN安全檢查過程遠(yuǎn)程門戶網(wǎng)站檢測(cè)、滲透性測(cè)試小組提前進(jìn)駐被抽查單位,抽查部分內(nèi)部系統(tǒng)分析檢測(cè)結(jié)果、出具初步檢查結(jié)論,提交現(xiàn)場(chǎng)檢查組檢查組現(xiàn)場(chǎng)訪談相關(guān)工作人員、抽查各類制度臺(tái)帳,查看相關(guān)現(xiàn)場(chǎng)檢查組匯總檢查結(jié)果,產(chǎn)生反饋意見各單位根據(jù)反饋意見進(jìn)行整改對(duì)部分單位整改結(jié)果進(jìn)行抽查WWW.HZTEC.ORG.CN安全檢查過程遠(yuǎn)程門戶網(wǎng)站檢測(cè)WWW.HZTEC.ORG.CN安全檢查主要內(nèi)容信息安全組織機(jī)構(gòu)信息安全日常管理信息安全防護(hù)管理信息安全應(yīng)急管理信息安全教育培訓(xùn)信息安全檢查WWW.HZTEC.ORG.CN安全檢查主要內(nèi)容信息安全組織WWW.HZTEC.ORG.CN2011年度檢查結(jié)果1.信息安全組織機(jī)構(gòu)明確了信息安全主管領(lǐng)導(dǎo)(95%)指定了信息安全管理機(jī)構(gòu)(95%)設(shè)置了專職工作處室(90%)配備了相應(yīng)的信息安全管理人員(85%)WWW.HZTEC.ORG.CN2011年度檢查結(jié)果1.信息WWW.HZTEC.ORG.CN2011年度檢查結(jié)果2.安全日常管理多數(shù)單位在人員管理(85%)、資產(chǎn)管理(75%)和外包管理(70%)等方面建立了較完善的安全管理制度。指定了信息安全管理機(jī)構(gòu)(95%)WWW.HZTEC.ORG.CN2011年度檢查結(jié)果2.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果3.安全防護(hù)管理各單位門戶網(wǎng)站中高風(fēng)險(xiǎn)安全隱患的比例得到進(jìn)一步下降,但仍有不少部門存在嚴(yán)重安全隱患WWW.HZTEC.ORG.CN2011年度檢查結(jié)果3.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全應(yīng)急管理較多單位制定了信息安全事件應(yīng)急響應(yīng)預(yù)案(占65%)并開展了不同程度的應(yīng)急演練活動(dòng)(占70%)多數(shù)政府部門建立了合理數(shù)據(jù)容災(zāi)備份制度,實(shí)現(xiàn)了重要數(shù)據(jù)的周期性備份(占75%)WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全自檢查絕大多數(shù)單位(占85%)都通過組織部署、自查實(shí)施、問題整改和自查總結(jié)等過程,積極有效地開展了信息安全自查工作。WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要問題——網(wǎng)站安全防護(hù)不少門戶網(wǎng)站存在不同程度的安全漏洞。5個(gè)單位的門戶網(wǎng)站存在SQL注入等高風(fēng)險(xiǎn)安全漏洞,占所有抽查單位的25%,其中:8個(gè)單位的門戶網(wǎng)站存在跨站腳本編寫等中等風(fēng)險(xiǎn)安全漏洞,占所有抽查單位的40%。WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要WWW.HZTEC.ORG.CN2011年度檢查結(jié)果6.主要問題——其它安全防護(hù)50%單位未具備合理的網(wǎng)絡(luò)邊界自動(dòng)監(jiān)測(cè)、入侵檢測(cè)和防范技術(shù)能力;60%單位未建立合理的信息系統(tǒng)安全審計(jì)制度;50%單位未具備網(wǎng)頁防篡改能力;60%單位未建立有效的終端計(jì)算機(jī)集中管理及接入控制能力;50%單位未建立合理的移動(dòng)存儲(chǔ)介質(zhì)安全管理制度WWW.HZTEC.ORG.CN2011年度檢查結(jié)果6.主要WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要問題——教育培訓(xùn)60%單位未開展面向一般工作人員的信息安全培訓(xùn)活動(dòng),或覆蓋面過??;35%單位的信息安全管理和技術(shù)人員的安全培訓(xùn)不足WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要網(wǎng)站安全防護(hù)網(wǎng)站安全防護(hù)WWW.HZTEC.ORG.CN案例2010年12月26日,冷水江市政府網(wǎng)站被黑客攻擊WWW.HZTEC.ORG.CN案例2010年12月26日,WWW.HZTEC.ORG.CN案例2010年7月,國防部網(wǎng)站被黑客攻擊WWW.HZTEC.ORG.CN案例2010年7月,國防部網(wǎng)WWW.HZTEC.ORG.CN案例2010年7月,水利部網(wǎng)站被黑客攻擊WWW.HZTEC.ORG.CN案例2010年7月,水利部網(wǎng)WWW.HZTEC.ORG.CN一般網(wǎng)站架構(gòu)

SQL語句返回?cái)?shù)據(jù)查詢結(jié)果訪問請(qǐng)求返回請(qǐng)求的頁面互聯(lián)網(wǎng)用戶

應(yīng)用服務(wù)器數(shù)據(jù)庫操作系統(tǒng)腳本語言Web服務(wù)器軟件OracleMySQLMSSQLServer……IEFirefoxChrome……WWW.HZTEC.ORG.CN一般網(wǎng)站架構(gòu) SQL語句返回WWW.HZTEC.ORG.CN網(wǎng)站風(fēng)險(xiǎn)分類應(yīng)用平臺(tái)漏洞網(wǎng)站代碼漏洞操作系統(tǒng)漏洞拒絕服務(wù)攻擊WWW.HZTEC.ORG.CN網(wǎng)站風(fēng)險(xiǎn)分類應(yīng)用平臺(tái)漏洞網(wǎng)站W(wǎng)WW.HZTEC.ORG.CN網(wǎng)站代碼漏洞(高危)SQL注入認(rèn)證旁路上傳漏洞跨站點(diǎn)腳本編制WWW.HZTEC.ORG.CN網(wǎng)站代碼漏洞(高危)SWWW.HZTEC.ORG.CNSQL注入SQL注入(SQLInjection),也叫腳本注入,就是利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足,通過把SQL命令,SQL語句插入到Web表單或輸入到頁面請(qǐng)求的查詢字符串中,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令的一種攻擊。惡意HTTP請(qǐng)求通過80端口達(dá)到服務(wù)器防火墻服務(wù)器攻擊者WWW.HZTEC.ORG.CNSQL注入SQL注入(SQLWWW.HZTEC.ORG.CN認(rèn)證旁路認(rèn)證旁路,其原理也是基于SQL注入,就是在后臺(tái)登陸頁面上,在用戶名或者密碼欄中,輸入特殊的字符或者語句,從而繞夠應(yīng)用系統(tǒng)的身份鑒別機(jī)制,直接進(jìn)入系統(tǒng)后臺(tái)的攻擊手段。WWW.HZTEC.ORG.CN認(rèn)證旁路認(rèn)證旁路,其原理也是WWW.HZTEC.ORG.CN文件上傳漏洞文件上傳漏洞,是指某些網(wǎng)站,允許用戶上傳一些文件至服務(wù)器,比如投稿,提供某些材料等。但對(duì)用戶所上傳的文件類型沒有做嚴(yán)格限制,攻擊者可以上傳惡意軟件至服務(wù)器,從而達(dá)到控制服務(wù)器的目的。WWW.HZTEC.ORG.CN文件上傳漏洞文件上傳漏洞,是WWW.HZTEC.ORG.CN跨站的腳本編制跨站點(diǎn)腳本編制(XSS)是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足,輸入可以顯示在頁面上對(duì)其他用戶造成影響的HTML代碼,從而盜取用戶資料、利用用戶身份進(jìn)行某種動(dòng)作或者對(duì)訪問者進(jìn)行病毒侵害的一種攻擊方式。杭城知名論壇19樓,跨站漏洞WWW.HZTEC.ORG.CN跨站的腳本編制跨站點(diǎn)腳本編制SQL注入攻擊的一般過程尋找注入點(diǎn)(各種掃描工具)判斷數(shù)據(jù)庫類型(MSSQL,MySQL,Oracle)獲取敏感信息(管理員賬號(hào)密碼等)尋找管理后臺(tái)(頁面尋找,google等)用獲取到的信息登陸后臺(tái)SQL注入攻擊的一般過程尋找注入點(diǎn)判斷數(shù)據(jù)庫類型獲取敏感信息WWW.HZTEC.ORG.CN跨站攻擊的一般過程尋找跨站點(diǎn)(各種掃描工具)利用跨站,構(gòu)造惡意代碼(獲取cookies信息等)利用各種手段,誘使受害者點(diǎn)擊含有惡意代碼的鏈接獲取受害者cookies等信息冒用受害者的身份,訪問網(wǎng)站論壇等Cookies信息保存提示W(wǎng)WW.HZTEC.ORG.CN跨站攻擊的一般過程尋找跨站點(diǎn)WWW.HZTEC.ORG.CN應(yīng)用平臺(tái)漏洞IIS、TomcatApache等Oracle

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論