安全系统EAL3文档脆弱性分析.pdfVIP

  1. 1、本文档共6页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

**系统脆弱性分析

1引言

在GB20278《网络脆弱性扫描产品技术要求》中对脆弱性

(vulnerability)给出了如下定义:网络系统和设备中能被利用并造成危

害的弱点。

由此可见,脆弱性是网络系统和设备本身存在的、由于某些安全

需求未被满足而产生的。但是值得注意的是,如果没有被相应的威胁

利用,单纯的脆弱性本身不会对网络系统和设备的安全造成损害,而

且如果通过一些其他安全措施的防护或在一定的网络环境下,某些脆

弱性本身是很难被威胁所利用从而对网络系统和设备的安全造成影

响的。

作为一种安全设备,部署于用户网络中被用户所使用,**系统自

身安全性是我们始终关注并努力改进的。下面我们将从多个角度分析

**系统自身可能存在的脆弱性以及部署使用过程中可能面临的威胁,

并说明我们采用了哪些有效的安全防范措施,使得可能存在的各种威

胁无法利用这些脆弱性对**系统自身的安全性造成影响。

2脆弱性分析

2.1应用脆弱性分析

2.1.1传输加密

**系统采用B/S结构设计,管理员需通过浏览器登录扫描器的

web管理控制台实现对扫描引擎的管理和操作,这种管理行为最终以

数据包形式被扫描引擎接收并响应。在数据包传输过程中可能面临着

信息泄露和被篡改的威胁,为应对这一状况,我们使用https加密传

输方式取代使用明文传输的http协议。

另外,**系统使用自定义的8888端口替代了https协议默认的

443端口,从而进一步加大了恶意攻击者进行数据监听和篡改的难度,

极大的保障了扫描器web管理控制台与扫描引擎之间通信的传输安

全性。

2.1.2抗暴力破解

暴力破解又称穷举法,是一种针对于密码的破译方法,即将密码

进行逐个推算直到找出真正的密码为止。

扫描器管理员在对扫描器进行使用之前,首先需登录扫描器web

管理控制台,而这个登录过程就是一个身份鉴别的过程。用户需输入

正确的用户名和用户密码才能够登录web管理控制台,进行进一步

的操作。用户密码是有限长度的,如果密码长度较短并且足够简单就

可能被恶意攻击者通过暴力破解方式猜解到,从而冒充合法用户登录

扫描器web管理控制台,危害扫描器及其所在网络的安全。

针对此问题,扫描器对“用户登录尝试失败次数”进行了限制,

出厂时设置该登录失败次数为3,即用户登录时若连续三次输入密码

错误将锁定该用户帐户,被锁定的用户帐户在被某一类特殊用户管理

员解锁之前将无法登陆web管理控制台。

2.1.3用户输入限制及过滤

**系统采用web管理控制台方式进行管理,用户输入数据的过

滤和限制不当是威胁扫描器安全的一个重要因素,采用适当的边界限

制、输入限制及过滤机制将有效的防范用户操作失误、SQL注入以及

跨站脚本等漏洞的利用。

(1)边界范围限制

扫描器web管理控制台中,对涉及到用户需要输入ip地址的地

方均采用了ip地址输入控件,以防止用户由于输入错误而导致的扫

描功能无法正常使用。

(2)防SQL注入字符限制及过滤

所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输

入域名或页面请求的查询字符串中,最终达到欺骗服务器执行恶意的

SQL命令的攻击方式。

扫描器web管理控制台中涉及到大量需要将用户提供的输入动

态嵌入到SQL语句中进行数据库操作的情况。针对可能出现的SQL

注入攻击方式,扫描器采用了特殊字符输入限制、正则表达式过滤、

输入长度限制、特殊字符转义等多种方式限制恶意用户实施SQL注

入攻击。

(3)跨站脚本字符限制及过滤

跨站脚本攻击(XSS),是指恶意攻击者向web页面中插入恶意

HTML代码,当用户浏览该页时,嵌入其web里面的HTML代码将

会被执行,从而达到恶意用户的特殊目的。

扫描器web管理控制台中存在大量可供用户输入的文本框,如

果对这些用户输入数据未进行适当输入限制和过滤,则恶意用户可能

利用这些漏洞进行跨站脚本攻击,危害管理员主机或扫描器自身安

全。

针对这一安全威胁,我们采用特殊字符输入限制、特殊字符过滤

处理

文档评论(0)

176****0728 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档