weixin_45380284的博客

远程系统命令执行远程系统命令执行一般出现这种漏洞，是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面，用户从web界面输入目标IP，提交后，后台会对该IP地址进行一次ping测试，并返回测试结果。 而如果设计者在完成该功能时，没有做严格的安全控制，则可能会导致攻击者通过该接口提交“意想不到”的命令，从而让后台进行执行，从而控制整个后台服务器现在很多的甲方企业都开始实施自动化运维,大量

xxe（XML外部实体注入）参考地址：https://xz.aliyun.com/t/3357理论：XXE漏洞发生在应用程序解析xml输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害防御：手动黑名单过滤(不推荐)过滤关键词：<!DOCTYPE、<!ENTITY SYSTEM、PUBLICXXE(XML External Entity Injection) 全称为 XML 外部实体注入，从名字就能看出来，这是一个注入漏洞

中间件解析漏（一）IIS5.x-6.x解析漏洞使用iis5.x-6.x版本的服务器，大多为windows server 2003，网站比较古老，开发语句一般为asp；该解析漏洞也只能解析asp文件，而不能解析aspx文件。目录解析(6.0)形式：www.xxx.com/xx.asp/xx.jpg原理: 服务器默认会把.asp，.asa目录下的文件都解析成asp文件。文件解析形式：www.xxx.com/xx.asp;.jpg原理：服务器默认不解析;号后面的内容，因此xx.asp;.jpg便被

文件上传漏洞理论：文件上传：用户提交文件到web服务器。文件上传本身没有问题，问题是文件被上传到哪里，上传之后，服务器如何处理、解释文件。文件上传漏洞产生的原因;web服务器的文件上传功能在程序设计上的逻辑缺陷web服务器无法区分识别上传文件的内容和格式web服务器对文件上传的路径和位置控制不严格服务器对所上传文件的读、写、执行、和所继承的权限设计不严格文件上传检查不严文件上传后修改文件名时处理不当第三方插件的引入文件上传漏洞入侵服务器的流程：1.攻击者分析web站点是否存在缺陷

SSRF服务器端请求伪造漏洞原理：SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF是要目标网站的内部系统。（因为他是从内部系统访问的，所有可以通过它攻击外网无法访问的内部系统，也就是把目标网站当中间人）SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能，且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片，文档，等等。原理简析:S

安全运维管理环境管理a)应指定专门的部门或人员负责机房安全，对机房出入进行管理，定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理；b)应建立机房安全管理制度，对有关物理访问、物品进出和环境安全等方面的管理作出规定；c)应不在重要区域接待来访人员，不随意放置含有敏感信息的纸档文件和移动介质等。资产管理a)应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容；b)应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施；c)应对信息分类与标识

安全建设管理定级和备案a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由；b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定；c)应保证定级结果经过相关部门的批准；d)应将备案材料报主管部门和公安机关备案。安全方案设计a)应根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施；b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码技术的相关内容，并形成配套文件；c)应组织相关部

安全管理人员人员录用a)应指定或授权专门的部门或人员负责人员录用；b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查，对其所具有的技术技能进行考核；c)应与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议。人员离岗a)应及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；b)应办理严格的调离手续，并承诺调离后的保密义务后方可离开。安全意识教育和培训a)应对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施；b)应针对

安全管理机构岗位设置a)应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权；b)应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责；c)应设立系统管理员、安全审计员和安全管理员等岗位，并定义部门及各个工作岗位的职责。人员配备a)应配备一定数量的系统管理员、审计管理员和安全管理员等；b)应配备专职安全管理员，不可兼任。授权和审批a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等；b)应针对系统变

安全管理制度安全策略a)应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。管理制度a)应对安全管理活动中的各类管理内容建立安全管理制度；b)应对管理人员或操作人员执行的日常管理操作建立操作规程；c)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。制定和发布a)应指定或授权专门的部门或人员负责安全管理制度的制定；b)安全管理制度应通过正式、有效的方式发布，并进行版本控制。评审和修订a)应定期对安全管理制度的合理性和适

安全管理中心1. 系统管理a)应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计；"1)应核查是否对系统管理员进行身份鉴别2)应核查是否只允许系统管理员通过特定的命令或操作界面进行系统管理操作3应核查是否对系统管理操作进行审计"b)应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等；应核查是否通过系统管理员对系统的资源和运行进行配置、控制和管理, 包括用户身

安全计算环境之应用系统1. 身份鉴别a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换“1)询问系统管理员，用户在登录时是否采用了身份鉴别措施2)在未登录状态下直接访问任一操作页面或操作功能3)核查用户身份标识的设置策略4)核查鉴别信息复杂度和更换周期的设置策略。(可通过查看修改口令等功能模块验证口令复杂度生效情况)5)扫描应用系统，检查应用系统是否存在弱口令和空口令用户”b)具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接

安全计算环境之终端设备1. 身份鉴别a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换“1)用户需要输入用户名和密码才能登录2)windows默认用户名具有唯一性3)打开“控制面板”-》“管理工具”-》“计算机管理”一“本地用户机组”检查有哪些用户，并尝试空口令登录4)打开“控制面板”-》“管理工具”-》 “本地安全策略”一》“账户策略”“密码策略””“1)用户登录需输入用户名和密码2)用户具备唯一性:3)尝试使用空口令登录，未成功4)结果如下

安全计算坏境之mysql数据库管理系统1. 身份鉴别a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换“1)尝试登录数据库，执行mysql -u root -p查看是否提示输入口令鉴别用户身份2)使用如下命令查询账号select user, host FROM mysql.user结果输出用户列表，查者是否存在相同用户名3)执行如下语句查询是否在空口令用：select * from mysql.user where length(password)

安全计算环境之oracle数据库管理系统1. 身份鉴别a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换“1)访谈数据库管理员系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录2)查看是否启用口令复杂度函数: select limit from dba_profiles where profile= ’ DEFAULT’ and resource_name=’ PASSWORD_VERIFY_FUNCTION’3)检查utlpwd

安全计算环境之windows操作系统1. 身份鉴别a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换“1)用户需要输入用户名和密码才能登录2)windows默认用户名具有唯一性3)打开“控制面板”-》“管理工具”-》“计算机管理”一“本地用户机组”检查有哪些用户，并尝试空口令登录4)打开“控制面板”-》“管理工具”-》 “本地安全策略”一》“账户策略”“密码策略””“1)用户登录需输入用户名和密码2)用户具备唯一性:3)尝试使用空口令登录，未成功

安全计算坏境之linux操作系统1. 身份鉴别a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换“1)访谈系统管理员系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录。2)以有权限的账户身份登录操作系统后，使用命令more查看/etc/shadow文件，核查系统是否存在空口令账户3)使用命令more查看/etc/login. defs文件，查看是否设置密码长度和定期更换要求#more /etc/login. defs使用命令m

安全计算环境之安全设备1. 身份鉴别a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换1)应核查用户在登录时是否采用了身份鉴别措施2)应核查用户列表，测试用户身份标识是否具有唯一性3)应核查用户配置信息或访谈系统管理员，核查是否不存在空口令用户4)应核查用户鉴别信息是否具有复杂度要求并定期更换b)具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施1)应核查是否配置并启用了登录失败处理功能:设置默认登录失败

安全计算环境之网络设备1. 身份鉴别a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换1)应核查用户在登录时是否采用了身份鉴别措施2)应核查用户列表，测试用户身份标识是否具有唯一性3)应核查用户配置信息或访谈系统管理员，核查是否不存在空口令用户4)应核查用户鉴别信息是否具有复杂度要求并定期更换b)具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施1)应核查是否配置并启用了登录失败处理功能:如果网络中部署堡

安全区域边界1. 边界防护a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；1)应核查网络拓扑图与实际的网络链路是否一致，是否明确了网络边界，且明确边界设备端口。2)应核查路由配置信息及边界设备配置信息，确认是否指定物理端口进行跨越边界的网络通信。以Cisco I0S为例，输入命令“router#show running - config”，查看相关配置。3)应采用其他技术手段核查是否不存在其他未受控端口进行跨越边界的网络通信,例如检测无线访问情况，可使用无线嗅探器、无线入侵检