Pepo 安全分析与加固报告易城计算机信息技术信息安全评估项目组Guangzhou Ewall Computer Information Technology CO.,LTD2008-1-20目 录第一章分析概述 31.1 概述 31.2 风险分析对象 41.3 风险分析方法 4第二章威胁分析 52.1 风险分析总论 52.2 pepo 站点安全分析 52.2.1 上传漏洞 52.2.2 ServU 溢出漏洞 82.2.3 日志分析 92.2.4 管理分析 102.2.5 数据库连接分析 112.2.6 服务器权限设置分析 122.2.7 系统检测 202.2.8 SQL 服务器 242.2.9 站点综合分析 27第三章安全加固 273.1 上传漏洞加固 273.2 ServU 溢出漏洞修补 273.3 ASP 木马防备加固 283.4 数据库 283.5 杀毒软件 293.6 IIS 设置加固 303.7 管理员权限设置 323.8 本地安全策略服务设置 333.9 终端连接加固 393.10 SQL 数据库服务器加固 40第四章安全建议 404.1 安全建议 404.2 总论 41第一章 分析概述1.1 概述通过对 pepo 采纳渗透测试和远程安全分析并对其分析出来的安全漏洞进行加固,本章描述本次分析过程中所采纳的技术和工具。通过本次对 pepo 的安全漏洞以与威胁点进行分析对 pepo 网进行加固,消除威胁源并对 pepo 网以后的进展过程中将会遇到的安全问题提出预测性的方案。本次所采纳的安全分析方法逻辑描述分析图为:其意义为:1) 信息资产具有价值,并会受到威胁的潜在影响;2) 漏洞将信息资产暴露给威胁,威胁利用漏洞对资产造成影响;3) 威胁与漏洞的增加导致安全风险的增加;4) 安全风险的存在对组织的信息安全提出要求;5) 安全措施应满足安全需求;6) 组织通过实施安全措施防威胁,以降低安全风险。1.2 风险分析对象 本次安全分析加固围如下;1.3 风险分析方法 本次信息安全分析分为人工系统分析、渗透测试等几个方面,在网络安全漏洞评估中我们使用了专业的网络安全漏洞评估工具。通过使用专业安全漏洞评估工具进行自动扫描和后期的人工整理分析,渗透测试采纳人工配合工具进行检测,小组编写的安全工具进行测试。最终形成网络安全分析与加固报告。第二章 威胁分析2.1 风险分析总论在本次安全分析中我们根据对、对外两个方面来进行分析汇总。在对进行分析时候发现其站点存在多处漏洞,最引人注目的:在个IPOSDBWEB 应用渗透测试WindowsIIS数据库系统渗透WindowsSqlServier系统渗透测试人资料的图像上传,没有过滤好,造成黑客可以任意上传木马文件,包括服务器中没做任...
