XXX電子商務網站安全加固報告

XXX電子商務網站平安加固報告

目錄TOC\o"1-4"\h\z\u電子商務網站平安加固報告 1目錄 2一、加固主機列表 3二、加固實施 4操作系統(tǒng)加固 42.1.1補丁安裝 42.1.2帳號、口令策略修改 42.1.3網絡與效勞加固 42.1.4文件系統(tǒng)加固 52.1.5日志審核增強 62.1.6平安性增強 72.1.7推薦安裝平安工具 82.2IIS效勞加固 82.2.1補丁安裝 82.2.2網站實例權限分配 82.2.3IIS配置平安增強 92.2.4平安控件加固 92.3代碼審核加固 102.3.1去除WebShell代碼 102.3.2去除SQL注入漏洞 102.3.3修正權限認證缺陷 102.3.4減少上傳風險威脅 112.3.5正確處理數(shù)據庫文件 11三、推薦平安考前須知 12為新增網站實例分配權限 123.2使用SSL加密FTP傳輸 123.3加強管理員平安習慣 12四、簽字確認 13附錄： 14后臺訪問用戶認證分配一覽表 14代碼加固修改一覽表 14

一、加固主機列表 本次平安加固效勞的對象包括：編號IP地址操作系統(tǒng)用途或效勞H_2112_1XX.XX.XX.2Windows2000Server提供電子商務效勞，有償提供考試資料填寫規(guī)那么：編號統(tǒng)一使用“型號_地址縮寫_數(shù)字〞型號〔H－主機；D－設備〕，數(shù)字使用三位數(shù)字順序號。

二、加固實施操作系統(tǒng)加固2.1.1補丁安裝編號：Windows-02001名稱：補丁安裝系統(tǒng)以往狀態(tài)：Windows2000ServicePack4IE最新積累補丁方案實施使用Windowsupdate安裝最新補丁實施目的可以使系統(tǒng)版本為最新版本實施風險安裝補丁可能導致主機啟動失敗，或其他未知情況發(fā)生2.帳號、口令策略修改編號：Windows-03002,Windows-03003,Windows-03004名稱：帳號口令策略修改系統(tǒng)以往狀態(tài)：密碼長度最小值0字符密碼最長存留期42天密碼最短存留期0天帳號鎖定計數(shù)器無帳戶鎖定時間0帳戶鎖定閥值無方案實施密碼長度最小值7字符密碼最長存留期90天密碼最短存留期30天帳號鎖定計數(shù)器5次帳戶鎖定時間5分鐘帳戶鎖定閥值1分鐘實施目的保障帳號以及口令的平安實施風險設置帳號策略后可能導致不符合帳號策略的帳號無法登陸，需修改帳號密碼〔注：管理員不受帳號策略限制，但管理員密碼應復雜〕2.網絡與效勞加固編號：Windows-04003,Windows-04004名稱：卸載不需要的效勞系統(tǒng)以往狀態(tài)：已安裝的不必要的效勞包括：DNS效勞DHCP效勞MSFTP效勞SNMP效勞方案實施開始|設置|控制面板|添加/刪除程序|Windows組件卸載不需要的效勞實施目的防止未知漏洞給主機帶來的風險實施風險可能由于管理員對主機所開放效勞不了解，導致該效勞被卸載。編號：Windows-04005名稱：將暫時不需要開放的效勞停止系統(tǒng)以往狀態(tài)：已啟動且需要停止的效勞包括：ComputerBrowser效勞Alerter效勞Messenger效勞方案實施開始|運行|services.msc|將上述效勞的啟動類型設置為手動并停止上述效勞實施目的防止未知漏洞給主機帶來的風險實施風險可能由于管理員對主機所開放效勞不了解，導致該效勞被卸載。2.文件系統(tǒng)加固編號：Windows-05002名稱：限制特定執(zhí)行文件的權限系統(tǒng)以往狀態(tài)：未對敏感執(zhí)行文件設置適宜的權限方案實施通過實施我公司的平安策略文件對特定文件權限進行限制，禁止Guests用戶組訪問這些文件。實施目的禁止Guests用戶組訪問以下文件：xcopy.exewscript.execscript.exenet.exearp.exeedlin.exeping.exeroute.exeposix.exeRsh.exeatsvc.exeCcacls.exeipconfig.exercp.exedebug.exeregedt32.exeregedit.exeeditFNRrunonce.exenbtstat.exeTnetstat.exe實施風險在極少數(shù)情況下，某些網頁可能調用cmd.exe來完成某種功能，限制的執(zhí)行權限可能導致調用cmd失敗。日志審核增強編號：Windows-06001名稱：設置主機審核策略系統(tǒng)以往狀態(tài)：審核策略更改無審核審核登錄事件無審核審核對象訪問無審核審核過程追蹤無審核審核目錄效勞訪問無審核審核特權使用無審核審核系統(tǒng)事件無審核審核帳戶登錄事件無審核審核帳戶管理無審核方案實施通過實施我公司的平安策略文件修改下述值：審核策略更改成功審核登錄事件無審核審核對象訪問成功,失敗審核過程追蹤無審核審核目錄效勞訪問無審核審核特權使用無審核審核系統(tǒng)事件成功,失敗審核帳戶登錄事件成功,失敗審核帳戶管理成功,失敗實施目的對系統(tǒng)事件進行審核，在日后出現(xiàn)故障時用于排查故障。實施風險無編號：Windows-06002，Windows-06003，Windows-06004名稱：調整事件日志的大小、覆蓋策略系統(tǒng)以往狀態(tài)：大小覆蓋方式應用日志512K覆蓋早于7天的事件平安日志512K覆蓋早于7天的事件系統(tǒng)日志512K覆蓋早于7天的事件方案實施通過實施我公司的平安策略文件修改下述值：大小覆蓋方式應用日志16382K覆蓋早于30天的事件平安日志16384K覆蓋早于30天的事件系統(tǒng)日志16384K覆蓋早于30天的事件實施目的增大日志大小，防止由于日志文件容量過小導致日志記錄不全實施風險無2.平安性增強編號：Windows-07001名稱：禁止匿名用戶連接系統(tǒng)以往狀態(tài)：Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa“restrictanonymous〞的值為0方案實施通過實施我公司的平安策略文件將該值修改為“1〞實施目的可以禁止匿名用戶列舉主機上所有用戶、組、共享資源實施風險無編號：Windows-04006名稱：刪除主機管理共享系統(tǒng)以往狀態(tài)：Key:HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters無“Autoshareserver〞鍵方案實施通過實施我公司的平安策略文件增加“Autoshareserver〞項，并設置該值為“1〞實施目的刪除主機因為管理而開放的共享實施風險某些應用軟件可能需要該共享，如VeritasNetbackup編號：Windows-07001名稱：禁止匿名用戶連接系統(tǒng)以往狀態(tài)：Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa“restrictanonymous〞的值為0方案實施通過實施我公司的平安策略文件將該值修改為“1〞實施目的可以禁止匿名用戶列舉主機上所有用戶、組、共享資源實施風險無編號：Windows-03005名稱：限制Guest用戶權限系統(tǒng)以往狀態(tài)：Guest已禁用，但未對帳號進行權限限制。方案實施通過實施我公司的平安策略文件禁止Guest帳號本地登錄和網絡登錄的權限。實施目的防止Guest帳號被黑客激活作為后門實施風險無推薦安裝平安工具工具名稱IceSword工具用途特洛伊木馬徹查、黑客后門檢測工具相關信息工具名稱工具用途網絡隱患掃描工具相關信息注：工具名稱請包含版本信息工具用途請簡單描述產品功用相關信息請寫明產品相關URL，盡量詳細2.2IIS效勞加固2.2.1編號：Windows-02001〔將所有涉及到這個加固項的檢測文檔編號填寫，如有多個，用逗號分開，寫文檔的時候將本文字刪除〕名稱：補丁安裝系統(tǒng)以往狀態(tài)：Windows2000ServicePack4方案實施使用Windowsupdate安裝最新補丁實施目的可以使系統(tǒng)版本為最新版本實施風險〔應描述實施本條措施所導致的后果〕網站實例權限分配編號：Windows-02002〔將所有涉及到這個加固項的檢測文檔編號填寫，如有多個，用逗號分開，寫文檔的時候將本文字刪除〕名稱：權限分配系統(tǒng)以往狀態(tài)：沒有對每個網站實例進行相應的權限分配，任何一個網站被入侵后都有可能導致其他網站被入侵方案實施每個網站實例都對應使用低權限帳戶，并去除網站后臺的匿名訪問，集成Windows認證實施目的可以使各個網站實例讀取、修改權限完全分開，防止入侵者從一個網站實例入侵到另一個網站實例實施風險〔應描述實施本條措施所導致的后果〕IIS配置平安增強編號：Windows-02003〔將所有涉及到這個加固項的檢測文檔編號填寫，如有多個，用逗號分開，寫文檔的時候將本文字刪除〕名稱：配置平安增強系統(tǒng)以往狀態(tài)：存在很多默認配置，導致入侵者可利用方案實施修正IIS的擴展配置，減少asp.dll解析范圍，禁止下載MDB文件實施目的減少入侵者入侵幾率，防止網站數(shù)據庫被惡意下載實施風險〔應描述實施本條措施所導致的后果〕平安控件加固編號：Windows-02004〔將所有涉及到這個加固項的檢測文檔編號填寫，如有多個，用逗號分開，寫文檔的時候將本文字刪除〕名稱：平安空間加固系統(tǒng)以往狀態(tài)：存在很多危險控件，導致入侵者可利用方案實施卸載了WSH控件，修改控件的名稱，防止入侵者利用：實施目的減少ASP木馬對網站的威脅實施風險將有可能導致某些特殊網站實例不能正常運行

代碼審核加固去除WebShell代碼編號：Windows-03001〔將所有涉及到這個加固項的檢測文檔編號填寫，如有多個，用逗號分開，寫文檔的時候將本文字刪除〕名稱：去除WebShell代碼系統(tǒng)以往狀態(tài)：有可能存在入侵者留下的后門、WebShell程序方案實施人工搜索查找入侵者留下的后門ASP程序實施目的防止入侵者再次入侵網站實施風險〔應描述實施本條措施所導致的后果〕去除SQL注入漏洞編號：Windows-03002〔將所有涉及到這個加固項的檢測文檔編號填寫，如有多個，用逗號分開，寫文檔的時候將本文字刪除〕名稱：去除SQL注入漏洞系統(tǒng)以往狀態(tài)：存在很多SQL注入漏洞方案實施使用統(tǒng)一腳本，對用戶提交進行過濾檢查，防止用戶提交注入代碼實施目的防止惡意用戶利用SQL注入漏洞危害網站實施風險〔應描述實施本條措施所導致的后果〕修正權限認證缺陷編號：Windows-03003〔將所有涉及到這個加固項的檢測文檔編號填寫，如有多個，用逗號分開，寫文檔的時候將本文字刪除〕名稱：修正權限認證缺陷系統(tǒng)以往狀態(tài)：存在一部份的權限未認證缺陷方案實施對沒有檢查權限的頁面添加權限認證實施目的防止低權限用戶執(zhí)行高權限功能實施風險〔應描述實施本條措施所導致的后果〕減少上傳風險威脅編號：Windows-03004〔將所有涉及到這個加固項的檢測文檔編號填寫，如有多個，用逗號分開，寫文檔的時候將本文字刪除〕名稱：修正權限認證缺陷系統(tǒng)以往狀態(tài)：存在上傳漏洞方案實施修改代碼封堵上傳漏洞實施目的防止惡意用戶上傳WebShell或其他惡意程序實施風險〔應描述實施本條措施所導致的后果〕正確處理數(shù)據庫文件編號：Windows-03005〔將所有涉及到這個加固項的檢測文檔編號填寫，如有多個，用逗號分開，寫文檔的時候將本文字刪除〕名稱：正確處理數(shù)據庫文件系統(tǒng)以往狀態(tài)：采用ASP為擴展名，惡意用戶將有可能插入惡意代碼并執(zhí)行方案實施擴展名改為MDB，并對WEB應用程序進行相應修改實施目的防止惡意用戶插入惡意代碼并執(zhí)行實施風險〔應描述實施本條措施所導致的后果〕

三、推薦平安考前須知3.1為新增網站實例分配權限 當需要新增加一個網站實例的時候，需要按照一定的步驟完成權限的分配：新建兩個帳號，刪除這兩個帳號的User組身份，參加Guest組；指定網站目錄只能夠被XXXistrator和SYSTEM完全控制，而上述兩個帳號對該目錄及其子目錄有讀寫、修改權限；在IIS中設置匿名訪問該網站的匿名帳戶為上述兩個帳號其中之一；在IIS中設置該網站管理員后臺目錄〔或核心文件〕不允許匿名訪問，增加Windows身份認證；在IIS中設置該網站的主機頭。3.2使用SSL加密FTP傳輸 開啟Serv-U的SSL加密功能，只允許加密登陸以及加密傳輸文件，以防止惡意用戶ARP嗅探FTP密碼。3.3加強管理員平安習慣 注意及時升級管理員主機的系統(tǒng)補丁和殺毒軟件病毒庫，定期使用推薦的后門檢測工具對主機進行平安檢測。 定期更換Web應用程序后臺管理員密碼，并保證密碼的強度。

四、簽字確認雙方認可加固報告，簽字確認。甲方：乙方：簽字〔簽章〕：簽字〔簽章〕日期：日期

附錄：后臺訪問用戶認證分配一覽表域名目錄指向后臺登陸用戶名XXD:\WEB\XXX\XXX.XXXX.netD:\www\XXXXX.XXXXD:\www1XX.XXXXD:\WEB\XX\XX.XXXXD:\WEB\XXXX.XXbbs.XXD:\WEB\XXX\bbsXX.XXX.XXXX.XXD:\WEB\XXX\XXXXX.XXX.XXXXX.XXD:\WEB\XXX\examXX.XXX.XXXX.XXD:\WEB\XXX\XXXXX.XXX.XX用戶密碼暫統(tǒng)一為“****〞〔不帶雙引號〕，建議用戶自行修改。代碼加固修改一覽表XXX目錄修改數(shù)據庫為mdb結尾修改包含sql.asp，防止SQL注入修改數(shù)據庫結尾\Manger\Editor7183409改為Editor7183401刪除！webshell刪掉文件最后一行，該行代碼為webshell代碼目錄修改數(shù)據庫為mdb結尾修改包含sql.asp，防止SQL注入增加容錯信息修改數(shù)據庫為mdb結尾修改包含sql.asp，防止SQL注入增加容錯信息注釋掉27行，替換成固定上傳路徑為""../pic/"的代碼增加對XXX身份驗證，<!--#includefile="./inc/head.asp"-->增加對XXX身份驗證，<!--#includefile="./inc/head.asp"-->增加對XXX身份驗證，<!--#includefile="./inc/head.asp"-->增加對XXX身份驗證，<!--#includefile="./inc/head.asp"-->eWebEditor目錄名改為eWebEditor41937修改增加身份驗證修改認證方式，采用session保存密碼，防止跨站攻擊test目錄名修改為Test8322將管理身份認證提前添加容錯信息修改包含sql.asp，防止SQL注入刪掉！WebShell代碼修改包含sql.asp，防止SQL注入增加容錯信息XXX目錄XX刪掉！WebShell，密碼是6568168XX刪掉！WebShellXX刪除最后三行，WebShell代碼<!了><objectid=fsRUNAT=SERVERclassid='clsid:0D43FE01-F093-11CF-8940-00A0C<%ifrequest("kker")<