- 1、本文档共6页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
**系统脆弱性分析
1引言
在GB20278《网络脆弱性扫描产品技术要求》中对脆弱性
(vulnerability)给出了如下定义:网络系统和设备中能被利用并造成危
害的弱点。
由此可见,脆弱性是网络系统和设备本身存在的、由于某些安全
需求未被满足而产生的。但是值得注意的是,如果没有被相应的威胁
利用,单纯的脆弱性本身不会对网络系统和设备的安全造成损害,而
且如果通过一些其他安全措施的防护或在一定的网络环境下,某些脆
弱性本身是很难被威胁所利用从而对网络系统和设备的安全造成影
响的。
作为一种安全设备,部署于用户网络中被用户所使用,**系统自
身安全性是我们始终关注并努力改进的。下面我们将从多个角度分析
**系统自身可能存在的脆弱性以及部署使用过程中可能面临的威胁,
并说明我们采用了哪些有效的安全防范措施,使得可能存在的各种威
胁无法利用这些脆弱性对**系统自身的安全性造成影响。
2脆弱性分析
2.1应用脆弱性分析
2.1.1传输加密
**系统采用B/S结构设计,管理员需通过浏览器登录扫描器的
web管理控制台实现对扫描引擎的管理和操作,这种管理行为最终以
数据包形式被扫描引擎接收并响应。在数据包传输过程中可能面临着
信息泄露和被篡改的威胁,为应对这一状况,我们使用https加密传
输方式取代使用明文传输的http协议。
另外,**系统使用自定义的8888端口替代了https协议默认的
443端口,从而进一步加大了恶意攻击者进行数据监听和篡改的难度,
极大的保障了扫描器web管理控制台与扫描引擎之间通信的传输安
全性。
2.1.2抗暴力破解
暴力破解又称穷举法,是一种针对于密码的破译方法,即将密码
进行逐个推算直到找出真正的密码为止。
扫描器管理员在对扫描器进行使用之前,首先需登录扫描器web
管理控制台,而这个登录过程就是一个身份鉴别的过程。用户需输入
正确的用户名和用户密码才能够登录web管理控制台,进行进一步
的操作。用户密码是有限长度的,如果密码长度较短并且足够简单就
可能被恶意攻击者通过暴力破解方式猜解到,从而冒充合法用户登录
扫描器web管理控制台,危害扫描器及其所在网络的安全。
针对此问题,扫描器对“用户登录尝试失败次数”进行了限制,
出厂时设置该登录失败次数为3,即用户登录时若连续三次输入密码
错误将锁定该用户帐户,被锁定的用户帐户在被某一类特殊用户管理
员解锁之前将无法登陆web管理控制台。
2.1.3用户输入限制及过滤
**系统采用web管理控制台方式进行管理,用户输入数据的过
滤和限制不当是威胁扫描器安全的一个重要因素,采用适当的边界限
制、输入限制及过滤机制将有效的防范用户操作失误、SQL注入以及
跨站脚本等漏洞的利用。
(1)边界范围限制
扫描器web管理控制台中,对涉及到用户需要输入ip地址的地
方均采用了ip地址输入控件,以防止用户由于输入错误而导致的扫
描功能无法正常使用。
(2)防SQL注入字符限制及过滤
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输
入域名或页面请求的查询字符串中,最终达到欺骗服务器执行恶意的
SQL命令的攻击方式。
扫描器web管理控制台中涉及到大量需要将用户提供的输入动
态嵌入到SQL语句中进行数据库操作的情况。针对可能出现的SQL
注入攻击方式,扫描器采用了特殊字符输入限制、正则表达式过滤、
输入长度限制、特殊字符转义等多种方式限制恶意用户实施SQL注
入攻击。
(3)跨站脚本字符限制及过滤
跨站脚本攻击(XSS),是指恶意攻击者向web页面中插入恶意
HTML代码,当用户浏览该页时,嵌入其web里面的HTML代码将
会被执行,从而达到恶意用户的特殊目的。
扫描器web管理控制台中存在大量可供用户输入的文本框,如
果对这些用户输入数据未进行适当输入限制和过滤,则恶意用户可能
利用这些漏洞进行跨站脚本攻击,危害管理员主机或扫描器自身安
全。
针对这一安全威胁,我们采用特殊字符输入限制、特殊字符过滤
处理
您可能关注的文档
- 幼儿园课程名词解释.pdf
- 定海小学英语校本教研总结.pdf
- 宁波大学机械设计制造及其自动化(国际贸易班)培养方案.pdf
- 学生综合素质评价报告单 六年.pdf
- 存货管理08173_原创文档.pdf
- 妇幼保健信息质控及漏报调查总结.pdf
- 失败的演讲稿作文范例5篇.pdf
- 大连理工大学22春“工商企业管理”《国际商法》作业考核题库高频考点版(参考答案)试题号2.pdf
- 大班音乐活动教案《爱跳舞的机器人》.pdf
- 大学生社团户外拓展活动策划方案{精选3篇}.pdf
- 甘肃省白银市会宁县第一中学2025届高三3月份第一次模拟考试化学试卷含解析.doc
- 2025届吉林市第一中学高考考前模拟生物试题含解析.doc
- 四川省三台县芦溪中学2025届高三下第一次测试生物试题含解析.doc
- 2025届江苏省启东市吕四中学高三适应性调研考试历史试题含解析.doc
- 浙江省宁波市十校2025届高三二诊模拟考试历史试卷含解析.doc
- 甘肃省甘南2025届高考生物必刷试卷含解析.doc
- 河北省石家庄市一中、唐山一中等“五个一”名校2025届高考历史四模试卷含解析.doc
- 江西省南昌市进贤一中2025届高考生物考前最后一卷预测卷含解析.doc
- 甘肃省白银市会宁县第四中学2025届高三第二次模拟考试历史试卷含解析.doc
- 宁夏银川市宁夏大学附属中学2025届高考化学押题试卷含解析.doc
最近下载
- 话剧小品《一九四二》台词剧本完整版.docx
- 一种ZIF-90负载可切换超润湿性的聚丙烯腈膜及其制备方法和应用.pdf VIP
- EN 14363-2016+A1-2018铁路设施 — 铁路车辆运行特性的验收试验和模拟 — 运行性能试验和稳定性试验(中文版).doc
- 07并网逆变器现场检查测试记录表.doc
- (外科学课件)27-胆道疾病.ppt
- 对外汉语综合课课堂导入考察和分析_吴丽君.pdf
- DB32_T 3289-2017菊芋贮藏保鲜技术规程.docx
- 口腔颌面外科学口腔颌面外科检查及门诊病历书写【66页】.pptx
- 赵亚初三数学学法指导课件精典课件.ppt
- 论国际汉语课堂导入设计——与新手教师谈课堂教学设计.pdf VIP
文档评论(0)