Pepo网站安全分析与加固报告概述.doc

Pepo网站安全分析与加固报告 广州易城计算机信息技术有限公司 信息安全评估项目组 Guangzhou Ewall Computer Information Technology CO.,LTD 2008-1-20 目 录 第一章 分析概述 3 1.1 概述 3 1.2风险分析对象 4 1.3风险分析方法 4 第二章 威胁分析 5 2.1 风险分析总论 5 2.2 pepo站点安全分析 5 2.2.1 上传漏洞 5 2.2.2 ServU溢出漏洞 8 2.2.3日志分析 9 2.2.4管理帐号分析 10 2.2.5数据库连接帐号分析 11 2.2.6服务器权限设置分析 12 2.2.7系统检测 20 2.2.8 SQL服务器 24 2.2.9 站点综合分析 27 第三章 安全加固 27 3.1 上传漏洞加固 27 3.2 ServU溢出漏洞修补 27 3.3 ASP木马防御加固 28 3.4 数据库帐号 28 3.5杀毒软件 29 3.6 IIS设置加固 30 3.7 管理员权限设置 32 3.8 本地安全策略 服务设置 33 3.9 终端连接加固 39 3.10 SQL数据库服务器加固 40 第四章 安全建议 40 4.1 安全建议 40 4.2 总论 41 分析概述 1.1 概述 通过对pepo网站采用渗透测试和远程安全分析并对其分析出来的安全漏洞进行加固，本章描述本次分析过程中所采用的技术和工具。 通过本次对pepo网站的安全漏洞以及威胁点进行分析对pepo网进行加固，消除威胁源并对pepo网以后的发展过程中将会遇到的安全问题提出预测性的方案。 本次所采用的安全分析方法逻辑描述分析图为： 其意义为： 1) 信息资产具有价值，并会受到威胁的潜在影响； 2) 漏洞将信息资产暴露给威胁，威胁利用漏洞对资产造成影响； 3) 威胁与漏洞的增加导致安全风险的增加； 4) 安全风险的存在对组织的信息安全提出要求； 5) 安全措施应满足安全需求； 6) 组织通过实施安全措施防范威胁，以降低安全风险。 1.2风险分析对象 本次安全分析加固范围如下； IP OS DB WEB应用渗透测试 Windows IIS 数据库系统渗透 Windows SqlServier 系统渗透测试 1.3风险分析方法 本次信息安全分析分为人工系统分析、渗透测试等几个方面，在网络安全漏洞评估中我们使用了专业的网络安全漏洞评估工具。通过使用专业安全漏洞评估工具进行自动扫描和后期的人工整理分析，渗透测试采用人工配合工具进行检测，小组编写的安全工具进行测试。最终形成网络安全分析与加固报告。 威胁分析 2.1 风险分析总论 在本次安全分析中我们按照对内、对外两个方面来进行分析汇总。在对网站进行分析时候发现其站点存在多处漏洞，最引人注目的：在个人资料的图像上传，没有过滤好，造成黑客可以任意上传木马文件，包括服务器中没做任何权限设置。从我们小组通过对网站开始做检测以来，就发现该站点自去年9月12日以来就被多次入侵过，并建立管理员帐号等等，包括后门木马。总体来说该网站完全暴露在INTERNET外，不需要很高明的黑客技术就可以进入该站点，风险等级级别为高，红色警报。 2.2 pepo站点安全分析 2.2.1 上传漏洞 在接到对pepo网站检测后，安全检测人员直接手工的对该站点进行检测，结果发现个人资料上传图像处过滤不严，从而直接上传一个脚本木马，控制全站，通过提权得到服务器管理权限。如图： 通过抓包，自定义上传路径 通过外部提交，上传脚本木马 利用2003特性，*.asp文件夹内任何文件均作为asp来解析，成功上传一个脚本木马 从以上图片可以看出，入侵者轻易获得网站权限，可以完全操作整个网站，包括修改、删除网站内容以及修改、删除数据库内容等等。 2.2.2 ServU溢出漏洞 ServU所有版本均存在本地权限提升溢出漏洞，入侵者通过脚本木马，可以轻易利用此漏洞提升权限，获得服务器管理权限，如图： 2.2.3日志分析 我们在远程连接网站系统后对起WEB日志进行分析，发现入侵者均是通过以上漏洞入侵网站，并且留下ASP木马后门，以下是在网站发现的ASP后门，如图： 2.2.4管理帐号分析 在我们对网站进行帐号查找分析的时候发现入侵者添加的管理员帐号，如图： 入侵者建立的隐藏拥有管理员权限 2.2.5数据库连接帐号分析 通过检测，我们发现数据库采用的是SA帐户连接，该帐户具有系统权限，入侵者可以通过该帐号，直接连接数据