伺服器弱点扫瞄课程.PDF

伺服器弱點掃瞄課程 資訊中心 網路系統組 柯文傑 E-mail:genieke@.tw 網路電話網路電話:3733:3733 內容大綱: 1.什麼是弱點掃瞄？ 2. 弱點掃瞄的方式 3.弱點掃瞄服務 4.其他注意事項 --網站智財產權問題 --帳號密碼控管問題 --機密資料外洩問題機密資料外洩問題 --如何不被搜尋引擎找到網頁 --留言版問題 --資料備份問題資料備份問題 --設定 log紀錄 -- 防火牆設置 --駭客入侵處理程序駭客入侵處理程序 --採購及維護合約注意事項 什麼是弱點掃瞄 ？ 弱點掃描 ，顧名思義 ，檢查網站及網頁是否有弱點可供 駭客利用攻擊。 網站弱點掃描網站弱點掃描利用已知的弱點進行檢測利用已知的弱點進行檢測 ，檢查是否有尚檢查是否有尚 未修補的弱點。（OS, DB, DNS, POP3, SMTP,FTP等） 網頁弱點掃描網頁弱點掃描主要作用是模擬惡意使用者的瀏覽行為主要作用是模擬惡意使用者的瀏覽行為，， 蒐集受測程式的所有連結後，對所有可輸入的連結送出惡意 數值 ，觀察記錄回應狀態 。也會猜測所有隱藏目錄 、管理後 臺、程式備份檔或資料庫檔案位置。對於可登入的頁面，則 進行密碼猜測的工作，以便檢測管理者的安全警覺性。（網 頁撰寫的疏失頁撰寫的疏失 ）））） 什麼是弱點掃瞄 ？（續 ） 弱點掃瞄的工具 System Level(OS, DB, DNS, POP3, SMTP,FTPSystem Level(OS, DB, DNS, POP3, SMTP,FTP等等)) • Nessus • Foundstone • NMAP • MBSSA • Superscan •• 流光流光 Web AWeb Apppppppplication levellication level((((網頁撰寫的疏失網頁撰寫的疏失)))) • WebInsepect • Appscan • AAcunetitix 　 弱點掃瞄的方式 弱點掃瞄通常分為 3個階段 ： Discovery Phase ：發現目標主機或網路。使用 Port掃瞄技 術。 Fingerprint Phase ：發現目標後進一步判斷作業系統類型、 執行的服務以及版本等執行的服務以及版本等 。。 Vulnerabilityy Checkingg ：根據前兩個pphase及弱點檢測所搜 集到的訊息判斷目標主機是否存在弱點。又分為Intrusive(侵 入式或) Non-Intrusive(非侵入式) 。 最後依照掃描結果撰寫掃描報告，包含弱點及修補建議。 弱點掃描服務 資訊中心針對系統及網頁弱點各提供相對應的掃瞄服務 ： 系統弱點－－McAfee Foundstone 網頁弱點網頁弱點－－IBMIBM AAppSScan 需上網填報各單位伺服器資料，每學期掃描乙次。 ((教育部規定一年掃乙次教育部規定一年掃乙次)) .tw/IPMgr/ 若有需要，可隨時寄信通知，會針對個案進行掃描。 若有新的伺服器若有新的伺服器 ，，也請隨時上網更新也請隨時上網更新 ，，並寄信通知並寄信通知。。 弱點掃描服務 （續 ） 系統弱點－－McAfee Foundstone 使用已知的弱點