




已阅读5页,还剩5页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第一章 网站系统漏洞扫描1.1 蓝盾扫描器、Nessus 扫描器安全漏洞扫描分别通过蓝盾漏洞扫描器(硬件)和 Nessus 漏洞扫描器(软件)对网站系统主机进行漏洞扫描,其主机系统列表清单如下:序号 服务器名称(主要用途) 主机名 IP 地址1 XXXX 门户网站系统 QYSXXZX 32 数据库服务器系统 QYDB1 33 数据库备份服务器系统 QYDB2 84 网站、 OA 备份服务器系统 QYSZF-OA 9扫描结果XXXX 门户网站系统IP address: 3Operating system: Microsoft Windows Server 2003 Service Pack 2NetBIOS name: QYSXXZX服务(端口) 危险系数 描述ftp(21/tcp) 信息 端口状态:开放www(80/tcp) 信息 端口状态:开放epmap (135/tcp) 信息 端口状态:开放netbios-ns(137/tcp) 信息 端口状态:开放smb(139/tcp) 信息 端口状态:开放cifs(445/tcp) 信息 端口状态:开放dce-rpc(1025/tcp) 信息 端口状态:开放mysql(3306/tcp) 信息 端口状态:开放dce-rpc(5168/tcp) 信息 端口状态:开放unknow(5555/tcp) 信息 端口状态:开放unknow(9888/tcp) 信息 端口状态:开放漏洞扫描结果如下:本主机系统比较安全,并没发现高危或可利用的漏洞,安全等级为:非常安全2生成记录总数: 32高危险级别总数: 0中危险级别总数: 0信息类总数: 32数据库服务器系统 IP address: 3Operating system: Microsoft Windows Server 2003 Service Pack 2NetBIOS name: QYDB1服务(端口) 危险系数 描述epmap (135/tcp) 信息 端口状态:开放netbios-ns(137/tcp) 信息 端口状态:开放smb(139/tcp) 信息 端口状态:开放cifs(445/tcp) 信息 端口状态:开放dce-rpc(1025/tcp) 信息 端口状态:开放unknow(1031/tcp) 信息 端口状态:开放oracle_tnslsnr(1521/ctp) 信息 端口状态:开放dce-rpc(5168/tcp) 信息 端口状态:开放oracle_application_server(5520/tcp) 信息 端口状态:开放unknow(9888/tcp) 信息 端口状态:开放漏洞扫描结果如下:本主机系统比较安全,并没发现高危或可利用的漏洞,安全等级为:非常安全生成记录总数: 26高危险级别总数: 0中危险级别总数: 0信息类总数: 26数据库备份服务器系统 IP address: 8Operating system: Microsoft Windows Server 2003 Service Pack 2NetBIOS name: QYDB2服务(端口) 危险系数 描述epmap (135/tcp) 信息 端口状态:开放netbios-ns(137/tcp) 信息 端口状态:开放smb(139/tcp) 信息 端口状态:开放cifs(445/tcp) 信息 端口状态:开放dce-rpc(1025/tcp) 信息 端口状态:开放unknow(1114/tcp) 信息 端口状态:开放第 3 页oracle_tnslsnr(1521/ctp) 信息 端口状态:开放dce-rpc(5168/tcp) 信息 端口状态:开放unknow(9889/tcp) 信息 端口状态:开放漏洞扫描结果如下:本主机系统比较安全,并没发现高危或可利用的漏洞,安全等级为:非常安全生成记录总数: 29高危险级别总数: 0中危险级别总数: 0信息类总数: 29网站、OA 备份服务器系统IP address: 9Operating system: Microsoft Windows Server 2003 Service Pack 2NetBIOS name: QYSZF-OA服务(端口) 危险系数 描述epmap (135/tcp) 信息 端口状态:开放netbios-ns(137/tcp) 信息 端口状态:开放smb(139/tcp) 信息 端口状态:开放cifs(445/tcp) 信息 端口状态:开放dce-rpc(1025/tcp) 信息 端口状态:开放mssql(1433/tcp) 信息 端口状态:开放dce-rpc(5168/tcp) 信息 端口状态:开放unknow(7320/tcp) 信息 端口状态:开放www(8080/tcp) 信息 端口状态:开放unknow(9889/tcp) 信息 端口状态:开放漏洞扫描结果如下:本主机系统比较安全,并没发现高危或可利用的漏洞,安全等级为:比较安全生成记录总数: 29高危险级别总数: 0中危险级别总数: 1信息类总数: 28通过扫描结果可知,服务器存在一个危险级别为中等的漏洞,漏洞扫描及解决方案如下表所示 :编号 漏洞名称 漏洞描述及解决方案 危险等4级1MS09-004:SQLServer中可能允许远程执行代码漏洞漏洞描述:Microsoft SQL Server 是一款流行的 SQL 数据库系统。SQL Server 的 sp_replwritetovarbin 扩展存储过程中存在堆溢出漏洞。如果远程攻击者在参数中提供了未初始化变量的话,就可以触发这个溢出,向可控的位置写入内存,导致以有漏洞 SQL Server 进程的权限执行任意代码。解决方案:厂商补丁:Microsoft-Microsoft 已经为此发布了一个安全公告(MS09-004)以及相应补丁:MS09-004:Vulnerability in Microsoft SQL Server Could Allow Remote Code Execution (959420)链接:/technet/security/Bulletin/MS09-004.mspx?pf=true中 1.2 IBM Appscan 安全漏洞扫描器扫描通过 IBM Appscan 在分别从内部和外部网络对 XXXX 门户网站系统(B/S 架构)进行漏洞扫描,其地址清单如下:序号 系统名称 地址1 门户网站系统(外网) http:/www.XXXX.2 门户网站系统(内网) 3扫描结果门户网站系统(外网) http:/ www.XXXX.编号 漏洞名称 漏洞描述及解决方案 危险等级第 5 页1 跨站点脚本编制漏洞描述:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。存在漏洞的页面:http:/www.XXXX./channel/001001007?“alert(33119)解决方案:补救方法在于对用户输入进行清理。通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如“alert(33119)解决方案:补救方法在于对用户输入进行清理。通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如(尖括号) ,|(竖线符号) 、(分号) 、$(美元符号)等。中2 检测到应用程序测试脚本漏洞描述:可能会下载临时脚本文件,这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息存在漏洞的页面:3/web/test/解决方案:不可将测试/暂时脚本遗留在服务器上,未来要避免出现这个情况。低3Apache AXIS 不存在的 Java Web Service 路径泄露漏洞描述:请求 Apache/Axis 中不存在的 Web 服务的 WSDL 资源,会出现错误页面,显现 Apache/Axis 虚拟路径的物理路径。存在漏洞的页面:3/axis/noSuchWebService.jws?wsdl解决方案:检查 Apache 是否有最新的升级补丁或修订程序低第二章 OA 系统漏洞扫描2.1 蓝盾扫描器、Nessus 扫描器安全漏洞扫描分别通过蓝盾漏洞扫描器(硬件)和 Nessus 漏洞扫描器(软件)在内部网络对 OA 系统各主机系统进行漏洞扫描,其主机系统列表清单如下:第 7 页序号 服务器名称(主要用途) 主机名 IP 地址1 OA 服务系统 QYXXZX 2 数据库服务器系统 QYDB1 33 数据库备份服务器系统 QYDB2 84 网站、 OA 备份服务器系统 QYSZF-OA 9扫描结果OA 服务器系统 IP address: Operating system: Microsoft Windows Server 2003 Service Pack 2NetBIOS name: QYXXZX服务(端口) 危险系数 描述www(80/tcp) 信息 端口状态:开放epmap (135/tcp) 信息 端口状态:开放netbios-ns(137/tcp) 信息 端口状态:开放smb(139/tcp) 信息 端口状态:开放cifs(445/tcp) 信息 端口状态:开放dce-rpc(1025/tcp) 信息 端口状态:开放dce-rpc(5168/tcp) 信息 端口状态:开放unknow(5555/tcp) 信息 端口状态:开放unknow(7320/tcp) 信息 端口状态:开放unknow(9888/tcp) 信息 端口状态:开放unknow(10000/tcp) 信息 端口状态:开放漏洞扫描结果如下:本主机系统比较安全,并没发现高危或可利用的漏洞,安全等级为:非常安全生成记录总数: 24高危险级别总数: 0中危险级别总数: 0信息类总数: 24数据库服务器系统 IP address: 3Operating system: Microsoft Windows Server 2003 Service Pack 2NetBIOS name: QYDB18服务(端口) 危险系数 描述epmap (135/tcp) 信息 端口状态:开放netbios-ns(137/tcp) 信息 端口状态:开放smb(139/tcp) 信息 端口状态:开放cifs(445/tcp) 信息 端口状态:开放dce-rpc(1025/tcp) 信息 端口状态:开放unknow(1031/tcp) 信息 端口状态:开放oracle_tnslsnr(1521/ctp) 信息 端口状态:开放dce-rpc(5168/tcp) 信息 端口状态:开放oracle_application_server(5520/tcp) 信息 端口状态:开放unknow(9888/tcp) 信息 端口状态:开放漏洞扫描结果如下:本主机系统比较安全,并没发现高危或可利用的漏洞,安全等级为:非常安全生成记录总数: 26高危险级别总数: 0中危险级别总数: 0信息类总数: 26数据库备份服务器系统 IP address: 8Operating system: Microsoft Windows Server 2003 Service Pack 2NetBIOS name: QYDB2服务(端口) 危险系数 描述epmap (135/tcp) 信息 端口状态:开放netbios-ns(137/tcp) 信息 端口状态:开放smb(139/tcp) 信息 端口状态:开放cifs(445/tcp) 信息 端口状态:开放dce-rpc(1025/tcp) 信息 端口状态:开放unknow(1114/tcp) 信息 端口状态:开放oracle_tnslsnr(1521/ctp) 信息 端口状态:开放dce-rpc(5168/tcp) 信息 端口状态:开放unknow(9889/tcp) 信息 端口状态:开放漏洞扫描结果如下:本主机系统比较安全,并没发现高危或可利用的漏洞,安全等级为:非常安全生成记录总数: 29高危险级别总数: 0第 9 页中危险级别总数: 0信息类总数: 29网站、OA 备份服务器系统IP address: 9Operating system: Microsoft Windows Server 2003 Service Pack 2NetBIOS name: QYSZF-OA服务(端口) 危险系数 描述epmap (135/tcp) 信息 端口状态:开放netbios-ns(137/tcp) 信息 端口状态:开放smb(139/tcp) 信息 端口状态:开放cifs(445/tcp) 信息 端口状态:开放dce-rpc(1025/tcp) 信息 端口状态:开放mssql(1433/tcp) 信息 端口状态:开放dce-rpc(5168/tcp) 信息 端口状态:开放unknow(7320/tcp) 信息 端口状态:开放www(8080/tcp) 信息 端口状态:开放unknow(9889/tcp) 信息 端口状态:开放漏洞扫描结果如下:本主机系统比较安全,并没发现高危或可利用的漏洞,安全等级为:比较安全生成记录总数: 29高危险级别总数: 0中危险级别总数: 1信息类总数: 28通过扫描结果可知,服务器存在一个危险级别为中等的漏洞,漏洞扫描及解决方案如
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 样品订购合同
- 第二节 生命之树说课稿-2023-2024学年小学心理健康五年级京教版(心理健康教育)
- 工程总承包合同
- 项目三:开展服务劳动教学设计小学劳动皖教版四年级上册-皖教版
- 第四单元西乐撷英(二)《摇篮曲》说课稿2024-2025学年人教版初中音乐九年级上册
- 专题8.1 我们的梦想-2019-2020学年九年级道德与法治上册同步说课稿(部编版)
- 20.车一族说课稿-2023-2024学年小学美术二年级下册人美版(常锐伦、欧京海)
- 第五章 投影与视图 单元说课稿 2025-2026学年北师大版九年级数学上册
- 2025物业房屋装修合同示范文本
- 公共关系策划说课稿-2025-2026学年中职专业课-公共关系基础-社会工作事务-公共管理与服务大类
- 2025贵州民航产业集团有限公司招聘120人考试参考题库及答案解析
- 北京市东城区2024-2025学年八年级上学期期末考试英语试题
- 光伏电站安全培训课件
- 老年人情绪管理课件
- 2024统编版二年级语文上册全册生字字帖(田字格)
- 跨境游戏监管挑战-洞察及研究
- 洁牙岗考试题及答案大全
- 日本蜡烛图技术
- 汽车电驱系统讲解
- 新教师入职培训教案及教学设计范例
- Unit 2 Helping at home 第3课时(Speed up)课件 外研版四年级上册
评论
0/150
提交评论