安全检查中常见问题.doc
《安全检查中常见问题.doc》由会员分享,可在线阅读,更多相关《安全检查中常见问题.doc(11页珍藏版)》请在三一文库上搜索。
1、目 录一、服务器环境1二、WEB应用层检测11、SQL注入漏洞、跨站脚本12、源代码漏洞33、列目录34、JSP文件上传35、拒绝服务,错误页面转向46、补充说明4三、操作系统41、身份鉴别42、自主访问控制53、安全审计64、剩余信息保护65、资源控制7四、ORACLE数据库检测8五、SQL数据库检测9一、服务器环境系统软件:Windows Server2003数据库管理系统:ORACLE 9i JDK版本:JDK1.42应用服务器:TOMCAT5.0 以及Apache2二、WEB应用层检测 1、SQL注入漏洞、跨站脚本对于网站中所有接收参数的动态页面,都要进行过滤,过滤的方法如下:publ
2、ic class SecurityTool / / 用于检测前台传过来的参数是否有安全隐患/ 目前主要检测sql注入/ 如果有发现特殊字符则删除/ / 前台传入的参数/ 安全的参数public static String CheckRequest(String param)if(param=null|param.equals()return param;/检查sql注入的特殊字符if(param.indexOf(;)-1)param=param.replaceAll(,);if(param.indexOf()-1)param=param.replaceAll(,);if(param.index
3、Of(exec)-1)param=param.replaceAll(exec,);if(param.indexOf(and)-1)param=param.replaceAll(and,);if(param.indexOf(or)-1)param=param.replaceAll(or,);if(param.indexOf(:)-1)param=param.replaceAll(:,);if(param.indexOf(=)-1)param=param.replaceAll(=,);if(param.indexOf( )-1)param=param.replaceAll( ,);if(param
4、.indexOf(-1)param=param.replaceAll()-1)param=param.replaceAll(,);if(param.indexOf(cmd)-1)param=param.replaceAll(cmd,);if(param.indexOf(.)-1)param=param.replaceAll(.,);if(param.indexOf(/)-1)param=param.replaceAll(/,);return param;2、源代码漏洞在网站中任何一个有.jsp的连接,只要把其中一个字母改成大写就会出现源代码漏洞问题,与在IE里面查看源码不同,这个源代码漏洞会把
5、所有写在前台的JAVA语句都显示出来。在tomcat5.0confweb.xml文件中。默认有对小写jsp的过滤。如 jsp org.apache.jasper.servlet.JspServlet fork false xpoweredBy false 3 及 jsp *.jsp 因为JAVA对大小写是区分的,所以还需对JSP, JSp, Jsp, jSP, jsP, jSp ,JsP进行过滤,具体内容请查看web.xml附件。这个问题修改后将不会出现代码漏洞,但会有404的错误,对于这个问题请看第5点。3、列目录修改tomcat5.0confweb.xml文件,listings把默认值tr
6、ue改为false。测试中,如果没有效果,请先清除缓存。 listings true 4、JSP文件上传在网站互动栏目中,如果有上传附件的功能,需要过滤.jsp,.js,.exe等类型的文件,或者根据客户需求只接收某些类型的文件。5、拒绝服务,错误页面转向在webappWEB-INFweb.xml中补充对404,500错误页面转身 404 /error.jsp 500 /error.jspWebapp目录下添加error.jsp,内容为6、补充说明tomcat5.0confCatalinalocalhost下的admin.xml, manager.xml, balancer.xml如果没有使用
7、,可以先把这些文件备份出来。某些版本的tomcat5.0webapps下面有admin,manager的文件或文件夹,如果没有使用,需要将这些文件备份出来或直接删除。三、操作系统说明:对于操作系统安全方面设置,一般等ORACLE安装好后再做设置。否则有可能会影响ORACLE的安装。1、身份鉴别项目编号A)安全建议a. 启用密码必须符合复杂性要求b. 限制密码长度最小值为8c. 密码最短使用期限为2天以下具体设置方法仅供参考:点击“开始”“管理工具”“本地安全策略”在安全策略帐户策略密码策略双击“密码必须符合复杂性要求”选择“已启用”点“确定”双击“密码长度最小值”输入“8” 点“确定”双击“密
8、码最短使用期限” 输入“2” 点“确定”项目编号B)安全建议1 配置鉴别失败处理的功能来防止黑客的枚举攻击a. 复位帐户锁定计数器设置为30分钟b. 帐户锁定时间设置为30分钟c. 帐户锁定阈值策略设置为5次2 设置网络登录连接超时与自动退出以下具体设置方法仅供参考:1 配置监察失败处理的功能点击“开始”“管理工具”“本地安全策略”在安全策略帐户策略帐户锁定策略双击“复位帐户锁定计数器” 输入“10” 点“确定”双击“帐户锁定时间” 输入“30” 点“确定”双击“帐户锁定阈值” 输入“5” 点“确定”2 网络连接超时退出设置点击“开始”“管理工具”“服务器张端配置”点击“终端服务配置”点击“连
9、接”右击右边的“RDP-tcp” 选择“属性”选择“会话”选择卡钩选“替代用户设置(0)” 设置各项活动时间点“确定”项目编号C)安全建议测试时,使用administrator用户名登录系统,同时输入错误的口令证实验证鉴别失败处理功能有效2、自主访问控制项目编号A)安全建议禁用Guest帐户项目编号B)安全建议关闭所有磁盘和文件夹共享,在网络中如果没有使用的必要,应该将默认的共享关闭掉,如果必要,应该对打共享的磁盘或者文件夹进行严格的ACL(访问控制列表)设置。尤其注意对Everyone组和Users组的访问控件。以下具体设置方法仅供参考:1 点击“开始”“设置”“控制面板”“管理工具”“计算
10、机管理”2 依次展开“系统工具”“共享文件夹”,点击“共享”3 右击右边的共享列表选择“停止共享”点击“是”4 重复1-3删除所有的默认共享3、安全审计项目编号A)安全建议操作系统应该开启系统内重要的安全相关事件的审核策略,用来监视操作系统的运行。以下具体设置方法仅供参考:1. 点击“开始”“设置”“控件面板”“管理工具”“本地安全策略”2. 展开“本地策略”点击“审核策略”3. 双击“审核策略更改”钩先“成功、失败”点击“确定”4. 双击“审核对象访问”钩先“成功、失败”点击“确定”5. 双击“审核帐户登录事件”钩先“失败”点击“确定”6. 双击“审核目录服务访问”钩先“成功、失败”点击“确
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全检查 常见问题
链接地址:https://www.31doc.com/p-2521384.html