信息安全測(cè)評(píng)認(rèn)證的標(biāo)準(zhǔn)體系課件

信息安全檢查及

網(wǎng)站安全防護(hù)周曉峰杭州市基礎(chǔ)信息安全測(cè)評(píng)認(rèn)證中心2012.6信息安全檢查及

網(wǎng)站安全防護(hù)周曉峰信息安全檢查信息安全檢查WWW.HZTEC.ORG.CN安全檢查依據(jù)國(guó)辦發(fā)[2009]28號(hào)《國(guó)務(wù)院辦公廳關(guān)于印發(fā)<政府信息系統(tǒng)安全檢查辦法>的通知》省經(jīng)信信安[2011]288號(hào)《關(guān)于印發(fā)<2011年網(wǎng)絡(luò)與重要信息系統(tǒng)安全檢查指南>的通知》杭經(jīng)信網(wǎng)管[2011]1號(hào)《關(guān)于印發(fā)<2011年杭州市網(wǎng)絡(luò)與重要信息系統(tǒng)安全檢查指南>的通知》杭經(jīng)信網(wǎng)管[2011]14號(hào)《關(guān)于進(jìn)行2011年我市重要信息系統(tǒng)安全抽查的通知》WWW.HZTEC.ORG.CN安全檢查依據(jù)國(guó)辦發(fā)[2009WWW.HZTEC.ORG.CN安全檢查原則“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”以各單位自查為主，與統(tǒng)一組織的安全抽查相結(jié)合WWW.HZTEC.ORG.CN安全檢查原則“誰(shuí)主管誰(shuí)負(fù)責(zé)、WWW.HZTEC.ORG.CN檢查范圍及重點(diǎn)為各部門(mén)履行職能提供支撐的信息系統(tǒng)，包括自行運(yùn)行維護(hù)管理以及委托其他機(jī)構(gòu)運(yùn)行維護(hù)管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等著重對(duì)各部門(mén)的重要業(yè)務(wù)系統(tǒng)、黨政機(jī)關(guān)網(wǎng)站、信息技術(shù)外包服務(wù)安全管理等進(jìn)行安全檢查WWW.HZTEC.ORG.CN檢查范圍及重點(diǎn)為各部門(mén)履行職WWW.HZTEC.ORG.CN安全檢查過(guò)程遠(yuǎn)程門(mén)戶網(wǎng)站檢測(cè)、滲透性測(cè)試小組提前進(jìn)駐被抽查單位，抽查部分內(nèi)部系統(tǒng)分析檢測(cè)結(jié)果、出具初步檢查結(jié)論，提交現(xiàn)場(chǎng)檢查組檢查組現(xiàn)場(chǎng)訪談相關(guān)工作人員、抽查各類(lèi)制度臺(tái)帳，查看相關(guān)現(xiàn)場(chǎng)檢查組匯總檢查結(jié)果，產(chǎn)生反饋意見(jiàn)各單位根據(jù)反饋意見(jiàn)進(jìn)行整改對(duì)部分單位整改結(jié)果進(jìn)行抽查WWW.HZTEC.ORG.CN安全檢查過(guò)程遠(yuǎn)程門(mén)戶網(wǎng)站檢測(cè)WWW.HZTEC.ORG.CN安全檢查主要內(nèi)容信息安全組織機(jī)構(gòu)信息安全日常管理信息安全防護(hù)管理信息安全應(yīng)急管理信息安全教育培訓(xùn)信息安全檢查WWW.HZTEC.ORG.CN安全檢查主要內(nèi)容信息安全組織WWW.HZTEC.ORG.CN2011年度檢查結(jié)果1.信息安全組織機(jī)構(gòu)明確了信息安全主管領(lǐng)導(dǎo)（95%）指定了信息安全管理機(jī)構(gòu)（95%）設(shè)置了專(zhuān)職工作處室（90%）配備了相應(yīng)的信息安全管理人員（85%）WWW.HZTEC.ORG.CN2011年度檢查結(jié)果1.信息WWW.HZTEC.ORG.CN2011年度檢查結(jié)果2.安全日常管理多數(shù)單位在人員管理（85%）、資產(chǎn)管理（75%）和外包管理（70%）等方面建立了較完善的安全管理制度。指定了信息安全管理機(jī)構(gòu)（95%）WWW.HZTEC.ORG.CN2011年度檢查結(jié)果2.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果3.安全防護(hù)管理各單位門(mén)戶網(wǎng)站中高風(fēng)險(xiǎn)安全隱患的比例得到進(jìn)一步下降，但仍有不少部門(mén)存在嚴(yán)重安全隱患WWW.HZTEC.ORG.CN2011年度檢查結(jié)果3.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全應(yīng)急管理較多單位制定了信息安全事件應(yīng)急響應(yīng)預(yù)案（占65%）并開(kāi)展了不同程度的應(yīng)急演練活動(dòng)（占70%）多數(shù)政府部門(mén)建立了合理數(shù)據(jù)容災(zāi)備份制度，實(shí)現(xiàn)了重要數(shù)據(jù)的周期性備份（占75%）WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全自檢查絕大多數(shù)單位（占85%）都通過(guò)組織部署、自查實(shí)施、問(wèn)題整改和自查總結(jié)等過(guò)程，積極有效地開(kāi)展了信息安全自查工作。WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要問(wèn)題——網(wǎng)站安全防護(hù)不少門(mén)戶網(wǎng)站存在不同程度的安全漏洞。5個(gè)單位的門(mén)戶網(wǎng)站存在SQL注入等高風(fēng)險(xiǎn)安全漏洞，占所有抽查單位的25%，其中：8個(gè)單位的門(mén)戶網(wǎng)站存在跨站腳本編寫(xiě)等中等風(fēng)險(xiǎn)安全漏洞，占所有抽查單位的40%。WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要WWW.HZTEC.ORG.CN2011年度檢查結(jié)果6.主要問(wèn)題——其它安全防護(hù)50%單位未具備合理的網(wǎng)絡(luò)邊界自動(dòng)監(jiān)測(cè)、入侵檢測(cè)和防范技術(shù)能力；60%單位未建立合理的信息系統(tǒng)安全審計(jì)制度；50%單位未具備網(wǎng)頁(yè)防篡改能力；60%單位未建立有效的終端計(jì)算機(jī)集中管理及接入控制能力；50%單位未建立合理的移動(dòng)存儲(chǔ)介質(zhì)安全管理制度WWW.HZTEC.ORG.CN2011年度檢查結(jié)果6.主要WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要問(wèn)題——教育培訓(xùn)60%單位未開(kāi)展面向一般工作人員的信息安全培訓(xùn)活動(dòng)，或覆蓋面過(guò)??；35%單位的信息安全管理和技術(shù)人員的安全培訓(xùn)不足WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要網(wǎng)站安全防護(hù)網(wǎng)站安全防護(hù)WWW.HZTEC.ORG.CN案例2010年12月26日，冷水江市政府網(wǎng)站被黑客攻擊WWW.HZTEC.ORG.CN案例2010年12月26日，WWW.HZTEC.ORG.CN案例2010年7月，國(guó)防部網(wǎng)站被黑客攻擊WWW.HZTEC.ORG.CN案例2010年7月，國(guó)防部網(wǎng)WWW.HZTEC.ORG.CN案例2010年7月，水利部網(wǎng)站被黑客攻擊WWW.HZTEC.ORG.CN案例2010年7月，水利部網(wǎng)WWW.HZTEC.ORG.CN一般網(wǎng)站架構(gòu)

SQL語(yǔ)句返回?cái)?shù)據(jù)查詢結(jié)果訪問(wèn)請(qǐng)求返回請(qǐng)求的頁(yè)面互聯(lián)網(wǎng)用戶

應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)操作系統(tǒng)腳本語(yǔ)言Web服務(wù)器軟件OracleMySQLMSSQLServer……IEFirefoxChrome……WWW.HZTEC.ORG.CN一般網(wǎng)站架構(gòu) SQL語(yǔ)句返回WWW.HZTEC.ORG.CN網(wǎng)站風(fēng)險(xiǎn)分類(lèi)應(yīng)用平臺(tái)漏洞網(wǎng)站代碼漏洞操作系統(tǒng)漏洞拒絕服務(wù)攻擊WWW.HZTEC.ORG.CN網(wǎng)站風(fēng)險(xiǎn)分類(lèi)應(yīng)用平臺(tái)漏洞網(wǎng)站W(wǎng)WW.HZTEC.ORG.CN網(wǎng)站代碼漏洞(高危)SQL注入認(rèn)證旁路上傳漏洞跨站點(diǎn)腳本編制WWW.HZTEC.ORG.CN網(wǎng)站代碼漏洞(高危)SWWW.HZTEC.ORG.CNSQL注入SQL注入(SQLInjection)，也叫腳本注入，就是利用網(wǎng)站程序?qū)τ脩糨斎脒^(guò)濾不足，通過(guò)把SQL命令，SQL語(yǔ)句插入到Web表單或輸入到頁(yè)面請(qǐng)求的查詢字符串中，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令的一種攻擊。惡意HTTP請(qǐng)求通過(guò)80端口達(dá)到服務(wù)器防火墻服務(wù)器攻擊者WWW.HZTEC.ORG.CNSQL注入SQL注入(SQLWWW.HZTEC.ORG.CN認(rèn)證旁路認(rèn)證旁路，其原理也是基于SQL注入，就是在后臺(tái)登陸頁(yè)面上，在用戶名或者密碼欄中，輸入特殊的字符或者語(yǔ)句，從而繞夠應(yīng)用系統(tǒng)的身份鑒別機(jī)制，直接進(jìn)入系統(tǒng)后臺(tái)的攻擊手段。WWW.HZTEC.ORG.CN認(rèn)證旁路認(rèn)證旁路，其原理也是WWW.HZTEC.ORG.CN文件上傳漏洞文件上傳漏洞，是指某些網(wǎng)站，允許用戶上傳一些文件至服務(wù)器，比如投稿，提供某些材料等。但對(duì)用戶所上傳的文件類(lèi)型沒(méi)有做嚴(yán)格限制，攻擊者可以上傳惡意軟件至服務(wù)器，從而達(dá)到控制服務(wù)器的目的。WWW.HZTEC.ORG.CN文件上傳漏洞文件上傳漏洞，是WWW.HZTEC.ORG.CN跨站的腳本編制跨站點(diǎn)腳本編制（XSS）是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^(guò)濾不足，輸入可以顯示在頁(yè)面上對(duì)其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進(jìn)行某種動(dòng)作或者對(duì)訪問(wèn)者進(jìn)行病毒侵害的一種攻擊方式。杭城知名論壇19樓，跨站漏洞WWW.HZTEC.ORG.CN跨站的腳本編制跨站點(diǎn)腳本編制SQL注入攻擊的一般過(guò)程尋找注入點(diǎn)（各種掃描工具）判斷數(shù)據(jù)庫(kù)類(lèi)型（MSSQL,MySQL,Oracle）獲取敏感信息（管理員賬號(hào)密碼等）尋找管理后臺(tái)(頁(yè)面尋找，google等)用獲取到的信息登陸后臺(tái)SQL注入攻擊的一般過(guò)程尋找注入點(diǎn)判斷數(shù)據(jù)庫(kù)類(lèi)型獲取敏感信息WWW.HZTEC.ORG.CN跨站攻擊的一般過(guò)程尋找跨站點(diǎn)（各種掃描工具）利用跨站，構(gòu)造惡意代碼（獲取cookies信息等）利用各種手段，誘使受害者點(diǎn)擊含有惡意代碼的鏈接獲取受害者cookies等信息冒用受害者的身份，訪問(wèn)網(wǎng)站論壇等Cookies信息保存提示W(wǎng)WW.HZTEC.ORG.CN跨站攻擊的一般過(guò)程尋找跨站點(diǎn)WWW.HZTEC.ORG.CN應(yīng)用平臺(tái)漏洞IIS、TomcatApache等Oracle、MySQLMSSQLServer等緩沖區(qū)溢出eg:Apache分塊編碼遠(yuǎn)程溢出配置不正確eg:敏感調(diào)試信息暴露弱口令eg:tomcat/tomcatsa/sa等脆弱性WWW.HZTEC.ORG.CN應(yīng)用平臺(tái)漏洞IIS、TomcWWW.HZTEC.ORG.CN從1521端口到控制服務(wù)器掃描目標(biāo)主機(jī)開(kāi)放的端口獲取Oracle實(shí)例名信息根據(jù)獲取到的信息，配置tnsnames文件，利用Oracle默認(rèn)低權(quán)限用戶，登陸數(shù)據(jù)庫(kù)利用oracle存在的溢出漏洞，提升權(quán)限利用oracle，執(zhí)行操作系統(tǒng)命令WWW.HZTEC.ORG.CN從1521端口到控制服務(wù)器掃WWW.HZTEC.ORG.CNSQL注入結(jié)合應(yīng)用平臺(tái)漏洞的攻擊掃描目標(biāo)主機(jī)開(kāi)放的端口利用SQL注入，獲取數(shù)據(jù)庫(kù)信息根據(jù)獲取到的信息，配置tnsnames文件，登陸數(shù)據(jù)庫(kù)利用oracle存在的溢出漏洞，提升權(quán)限利用oracle，執(zhí)行操作系統(tǒng)命令WWW.HZTEC.ORG.CNSQL注入結(jié)合應(yīng)用平臺(tái)漏洞的WWW.HZTEC.ORG.CN社會(huì)工程學(xué)案例WWW.HZTEC.ORG.CN社會(huì)工程學(xué)案例WWW.HZTEC.ORG.CN信息泄露調(diào)試信息，暴露了網(wǎng)站的路徑WWW.HZTEC.ORG.CN信息泄露調(diào)試信息，暴露了網(wǎng)站W(wǎng)WW.HZTEC.ORG.CN應(yīng)用平臺(tái)漏洞防范措施限制端口開(kāi)放及時(shí)更新補(bǔ)丁合理設(shè)置用戶及密碼WWW.HZTEC.ORG.CN應(yīng)用平臺(tái)漏洞防范措施限制WWW.HZTEC.ORG.CN代碼漏洞防范措施部署硬件防護(hù)設(shè)備代碼級(jí)別的防護(hù)屏蔽錯(cuò)誤信息

驗(yàn)證用戶輸入數(shù)據(jù)的合法性使用工具模擬檢測(cè)攻擊

WWW.HZTEC.ORG.CN代碼漏洞防范措施部署硬件WWW.HZTEC.ORG.CN安全防護(hù)體系發(fā)現(xiàn)問(wèn)題處理問(wèn)題日常管理緊急情況配置加固安全設(shè)備應(yīng)急響應(yīng)配置加固安全檢查漏洞掃描安全培訓(xùn)安全咨詢WWW.HZTEC.ORG.CN安全防護(hù)體系發(fā)現(xiàn)問(wèn)題處理問(wèn)題ThankYou!ThankYou!信息安全檢查及

網(wǎng)站安全防護(hù)周曉峰杭州市基礎(chǔ)信息安全測(cè)評(píng)認(rèn)證中心2012.6信息安全檢查及

網(wǎng)站安全防護(hù)周曉峰信息安全檢查信息安全檢查WWW.HZTEC.ORG.CN安全檢查依據(jù)國(guó)辦發(fā)[2009]28號(hào)《國(guó)務(wù)院辦公廳關(guān)于印發(fā)<政府信息系統(tǒng)安全檢查辦法>的通知》省經(jīng)信信安[2011]288號(hào)《關(guān)于印發(fā)<2011年網(wǎng)絡(luò)與重要信息系統(tǒng)安全檢查指南>的通知》杭經(jīng)信網(wǎng)管[2011]1號(hào)《關(guān)于印發(fā)<2011年杭州市網(wǎng)絡(luò)與重要信息系統(tǒng)安全檢查指南>的通知》杭經(jīng)信網(wǎng)管[2011]14號(hào)《關(guān)于進(jìn)行2011年我市重要信息系統(tǒng)安全抽查的通知》WWW.HZTEC.ORG.CN安全檢查依據(jù)國(guó)辦發(fā)[2009WWW.HZTEC.ORG.CN安全檢查原則“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”以各單位自查為主，與統(tǒng)一組織的安全抽查相結(jié)合WWW.HZTEC.ORG.CN安全檢查原則“誰(shuí)主管誰(shuí)負(fù)責(zé)、WWW.HZTEC.ORG.CN檢查范圍及重點(diǎn)為各部門(mén)履行職能提供支撐的信息系統(tǒng)，包括自行運(yùn)行維護(hù)管理以及委托其他機(jī)構(gòu)運(yùn)行維護(hù)管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等著重對(duì)各部門(mén)的重要業(yè)務(wù)系統(tǒng)、黨政機(jī)關(guān)網(wǎng)站、信息技術(shù)外包服務(wù)安全管理等進(jìn)行安全檢查WWW.HZTEC.ORG.CN檢查范圍及重點(diǎn)為各部門(mén)履行職WWW.HZTEC.ORG.CN安全檢查過(guò)程遠(yuǎn)程門(mén)戶網(wǎng)站檢測(cè)、滲透性測(cè)試小組提前進(jìn)駐被抽查單位，抽查部分內(nèi)部系統(tǒng)分析檢測(cè)結(jié)果、出具初步檢查結(jié)論，提交現(xiàn)場(chǎng)檢查組檢查組現(xiàn)場(chǎng)訪談相關(guān)工作人員、抽查各類(lèi)制度臺(tái)帳，查看相關(guān)現(xiàn)場(chǎng)檢查組匯總檢查結(jié)果，產(chǎn)生反饋意見(jiàn)各單位根據(jù)反饋意見(jiàn)進(jìn)行整改對(duì)部分單位整改結(jié)果進(jìn)行抽查WWW.HZTEC.ORG.CN安全檢查過(guò)程遠(yuǎn)程門(mén)戶網(wǎng)站檢測(cè)WWW.HZTEC.ORG.CN安全檢查主要內(nèi)容信息安全組織機(jī)構(gòu)信息安全日常管理信息安全防護(hù)管理信息安全應(yīng)急管理信息安全教育培訓(xùn)信息安全檢查WWW.HZTEC.ORG.CN安全檢查主要內(nèi)容信息安全組織WWW.HZTEC.ORG.CN2011年度檢查結(jié)果1.信息安全組織機(jī)構(gòu)明確了信息安全主管領(lǐng)導(dǎo)（95%）指定了信息安全管理機(jī)構(gòu)（95%）設(shè)置了專(zhuān)職工作處室（90%）配備了相應(yīng)的信息安全管理人員（85%）WWW.HZTEC.ORG.CN2011年度檢查結(jié)果1.信息WWW.HZTEC.ORG.CN2011年度檢查結(jié)果2.安全日常管理多數(shù)單位在人員管理（85%）、資產(chǎn)管理（75%）和外包管理（70%）等方面建立了較完善的安全管理制度。指定了信息安全管理機(jī)構(gòu)（95%）WWW.HZTEC.ORG.CN2011年度檢查結(jié)果2.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果3.安全防護(hù)管理各單位門(mén)戶網(wǎng)站中高風(fēng)險(xiǎn)安全隱患的比例得到進(jìn)一步下降，但仍有不少部門(mén)存在嚴(yán)重安全隱患WWW.HZTEC.ORG.CN2011年度檢查結(jié)果3.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全應(yīng)急管理較多單位制定了信息安全事件應(yīng)急響應(yīng)預(yù)案（占65%）并開(kāi)展了不同程度的應(yīng)急演練活動(dòng)（占70%）多數(shù)政府部門(mén)建立了合理數(shù)據(jù)容災(zāi)備份制度，實(shí)現(xiàn)了重要數(shù)據(jù)的周期性備份（占75%）WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全自檢查絕大多數(shù)單位（占85%）都通過(guò)組織部署、自查實(shí)施、問(wèn)題整改和自查總結(jié)等過(guò)程，積極有效地開(kāi)展了信息安全自查工作。WWW.HZTEC.ORG.CN2011年度檢查結(jié)果4.安全WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要問(wèn)題——網(wǎng)站安全防護(hù)不少門(mén)戶網(wǎng)站存在不同程度的安全漏洞。5個(gè)單位的門(mén)戶網(wǎng)站存在SQL注入等高風(fēng)險(xiǎn)安全漏洞，占所有抽查單位的25%，其中：8個(gè)單位的門(mén)戶網(wǎng)站存在跨站腳本編寫(xiě)等中等風(fēng)險(xiǎn)安全漏洞，占所有抽查單位的40%。WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要WWW.HZTEC.ORG.CN2011年度檢查結(jié)果6.主要問(wèn)題——其它安全防護(hù)50%單位未具備合理的網(wǎng)絡(luò)邊界自動(dòng)監(jiān)測(cè)、入侵檢測(cè)和防范技術(shù)能力；60%單位未建立合理的信息系統(tǒng)安全審計(jì)制度；50%單位未具備網(wǎng)頁(yè)防篡改能力；60%單位未建立有效的終端計(jì)算機(jī)集中管理及接入控制能力；50%單位未建立合理的移動(dòng)存儲(chǔ)介質(zhì)安全管理制度WWW.HZTEC.ORG.CN2011年度檢查結(jié)果6.主要WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要問(wèn)題——教育培訓(xùn)60%單位未開(kāi)展面向一般工作人員的信息安全培訓(xùn)活動(dòng)，或覆蓋面過(guò)小；35%單位的信息安全管理和技術(shù)人員的安全培訓(xùn)不足WWW.HZTEC.ORG.CN2011年度檢查結(jié)果5.主要網(wǎng)站安全防護(hù)網(wǎng)站安全防護(hù)WWW.HZTEC.ORG.CN案例2010年12月26日，冷水江市政府網(wǎng)站被黑客攻擊WWW.HZTEC.ORG.CN案例2010年12月26日，WWW.HZTEC.ORG.CN案例2010年7月，國(guó)防部網(wǎng)站被黑客攻擊WWW.HZTEC.ORG.CN案例2010年7月，國(guó)防部網(wǎng)WWW.HZTEC.ORG.CN案例2010年7月，水利部網(wǎng)站被黑客攻擊WWW.HZTEC.ORG.CN案例2010年7月，水利部網(wǎng)WWW.HZTEC.ORG.CN一般網(wǎng)站架構(gòu)

SQL語(yǔ)句返回?cái)?shù)據(jù)查詢結(jié)果訪問(wèn)請(qǐng)求返回請(qǐng)求的頁(yè)面互聯(lián)網(wǎng)用戶

應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)操作系統(tǒng)腳本語(yǔ)言Web服務(wù)器軟件OracleMySQLMSSQLServer……IEFirefoxChrome……WWW.HZTEC.ORG.CN一般網(wǎng)站架構(gòu) SQL語(yǔ)句返回WWW.HZTEC.ORG.CN網(wǎng)站風(fēng)險(xiǎn)分類(lèi)應(yīng)用平臺(tái)漏洞網(wǎng)站代碼漏洞操作系統(tǒng)漏洞拒絕服務(wù)攻擊WWW.HZTEC.ORG.CN網(wǎng)站風(fēng)險(xiǎn)分類(lèi)應(yīng)用平臺(tái)漏洞網(wǎng)站W(wǎng)WW.HZTEC.ORG.CN網(wǎng)站代碼漏洞(高危)SQL注入認(rèn)證旁路上傳漏洞跨站點(diǎn)腳本編制WWW.HZTEC.ORG.CN網(wǎng)站代碼漏洞(高危)SWWW.HZTEC.ORG.CNSQL注入SQL注入(SQLInjection)，也叫腳本注入，就是利用網(wǎng)站程序?qū)τ脩糨斎脒^(guò)濾不足，通過(guò)把SQL命令，SQL語(yǔ)句插入到Web表單或輸入到頁(yè)面請(qǐng)求的查詢字符串中，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令的一種攻擊。惡意HTTP請(qǐng)求通過(guò)80端口達(dá)到服務(wù)器防火墻服務(wù)器攻擊者WWW.HZTEC.ORG.CNSQL注入SQL注入(SQLWWW.HZTEC.ORG.CN認(rèn)證旁路認(rèn)證旁路，其原理也是基于SQL注入，就是在后臺(tái)登陸頁(yè)面上，在用戶名或者密碼欄中，輸入特殊的字符或者語(yǔ)句，從而繞夠應(yīng)用系統(tǒng)的身份鑒別機(jī)制，直接進(jìn)入系統(tǒng)后臺(tái)的攻擊手段。WWW.HZTEC.ORG.CN認(rèn)證旁路認(rèn)證旁路，其原理也是WWW.HZTEC.ORG.CN文件上傳漏洞文件上傳漏洞，是指某些網(wǎng)站，允許用戶上傳一些文件至服務(wù)器，比如投稿，提供某些材料等。但對(duì)用戶所上傳的文件類(lèi)型沒(méi)有做嚴(yán)格限制，攻擊者可以上傳惡意軟件至服務(wù)器，從而達(dá)到控制服務(wù)器的目的。WWW.HZTEC.ORG.CN文件上傳漏洞文件上傳漏洞，是WWW.HZTEC.ORG.CN跨站的腳本編制跨站點(diǎn)腳本編制（XSS）是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^(guò)濾不足，輸入可以顯示在頁(yè)面上對(duì)其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進(jìn)行某種動(dòng)作或者對(duì)訪問(wèn)者進(jìn)行病毒侵害的一種攻擊方式。杭城知名論壇19樓，跨站漏洞WWW.HZTEC.ORG.CN跨站的腳本編制跨站點(diǎn)腳本編制SQL注入攻擊的一般過(guò)程尋找注入點(diǎn)（各種掃描工具）判斷數(shù)據(jù)庫(kù)類(lèi)型（MSSQL,MySQL,Oracle）獲取敏感信息（管理員賬號(hào)密碼等）尋找管理后臺(tái)(頁(yè)面尋找，google等)用獲取到的信息登陸后臺(tái)SQL注入攻擊的一般過(guò)程尋找注入點(diǎn)判斷數(shù)據(jù)庫(kù)類(lèi)型獲取敏感信息WWW.HZTEC.ORG.CN跨站攻擊的一般過(guò)程尋找跨站點(diǎn)（各種掃描工具）利用跨站，構(gòu)造惡意代碼（獲取cookies信息等）利用各種手段，誘使受害者點(diǎn)擊含有惡意代碼的鏈接獲取受害者cookies等信息冒用受害者的身份，訪問(wèn)網(wǎng)站論壇等Cookies信息保存提示W(wǎng)WW.HZTEC.ORG.CN跨站攻擊的一般過(guò)程尋找跨站點(diǎn)WWW.HZTEC.ORG.CN應(yīng)用平臺(tái)漏洞IIS、TomcatApache等Oracle