一、引言
高校服务器、网站及信息系统数量众多,且质量普遍不高,安全风险高。又,高校从事网络安全管理的人员较少,且杂事繁多,如果无清晰且可操作的安全检查步骤,势必产生疏漏,造成含有漏洞的系统暴露在互联网。因此,本文总结安全检查的常规环节以及手段,分为主机层面和应用层面,可以在日常工作中参照执行。
总的说来,安全检查至少要完成以下步骤:1、检查主机的防火墙或杀毒软件有没有开启、操作系统密码是否安全。2、通过漏洞扫描设备检查是否存在高危漏洞。3、检查是否有验证码等防密码爆破手段。4、检查系统用户密码是否有强度要求。5、检查是否存在编辑器漏洞。详细步骤如下所示。
本文将根据最新安全态势随时更新和完善。
二、主机层面
- 防病毒软件
- 检查防病毒软件是否安装
- 检查防病毒软件是否更新
- 使用防病毒软件全盘扫描
- 防火墙
- 检查防火墙是否开启
- 检查防火墙进向和出向规则,尤其445等端口
- 操作系统
- 使用漏扫工具基线检查
- 数据库
- 是否存在弱密码管理员账号
- 数据库管理是否限制
三、应用层面
- 账号及密码
- 准备常用密码本,检查是否存在弱密码账号
- 检查账号登录是否有防爆破机制,例如验证码、多次出错账号锁定
- 检查验证码的强度,是否可以被绕过
- 敏感信息
- 使用爬虫工具检查是否存在身份证、手机号码等个人敏感信息泄露
- 检查附件是否存在身份证、手机号码等个人敏感信息泄露
- 检查是否存在日志、密码文件、配置信息、.git源代码、.idea目录文件、编辑器遗留文件、源代码、目录、中间件信息、压缩文件、数据库连接、数据库错误等系统敏感信息泄露
- 未授权或未限制访问
- 使用漏扫工具获得系统未登录时的目录树,查看文件名,凭借经验找出可利用的未授权攻击入口
- 是否存在编辑器未授权访问,允许任意文件读取或任意文件上传
- 是否存在编辑器文件上传格式未限制,可以被滥用植入WebShell
- SQL注入漏洞
- 使用漏扫工具检查是否存在SQL注入漏洞
- 检查账号登录是否存在’ OR 1=1 #
- XSS漏洞
- 使用漏扫工具检查是否存在XSS漏洞
- 暗链
- 检查是否存在黄赌毒网站链接
- Struts漏洞
- S2-045等
- Web中间件漏洞
- 通用漏洞-允许TRACE方法
- Tomcat漏洞-AJP漏洞
- IIS漏洞-Http.sys远程代码执行
- IIS漏洞-WebDAV远程代码执行
- IIS漏洞-文件解析漏洞
- IIS漏洞-IIS短文件名
扫一扫
885
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
