返回
上海市重点网站运行安全分析报告

上海市重点网站运行安全分析报告

ID:6288155

大小:482.00 KB

页数:20页

时间:2018-01-09

上海市重点网站运行安全分析报告_第1页
上海市重点网站运行安全分析报告_第2页
上海市重点网站运行安全分析报告_第3页
上海市重点网站运行安全分析报告_第4页
上海市重点网站运行安全分析报告_第5页
资源描述:

《上海市重点网站运行安全分析报告》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、上海市重点网站运行安全分析报告(2014年二季度)上海市网络与信息安全应急管理事务中心二○一四年七月3一、本市重点网站运行安全情况(一)网站运行安全状况评估分布二季度共监测全市范围内210家重点网站,总体运行安全状况良好。其中运行安全状况Ⅰ级有160家,占76.19%,较上季度下降3.33%;运行安全状况Ⅳ级有9家,占4.29%,较上季度上升3.34%,具体情况如下图所示(各网站安全运行等级可参见本报告附录I部分)。(二)网站运行安全状况趋势我中心通过对全市各重点网站的持续检测分析发现,经各重点

2、单位对网站的持续改进,210家重点网站的运行安全状况趋于稳定;运行安全状况Ⅰ级的单位从2013年一季度的135家,至2014年上半年两个季度均上升到160家以上,所占比例上升至75%以上,运行安全状况Ⅳ级的单位从2013年一季度的12家,至2014年上半年两个季度均下降到10家以下,所占比例下降至5%以下19。近一年的网站安全运行趋势如下图(单位:个):(三)安全事件和风险情况本季度未在各重点网站发现网页篡改、信息泄露、网站挂马、域名劫持、断开链接类的网络与信息安全事件。本季度在各重点网站上共监

3、测到86次安全风险,其中高危风险5种34次,中危风险6种26次,低危风险8种26次,共影响55家网站运行安全(32家发现高危,10家发现中危,13家发现低危)。主要风险发生分布情况如下图所示:19本季度高危风险排前两位的是“跨站点脚本编制”、“SQL注入”,影响网站数量比上季度分别上升了0.47%和上升了0.95%。从本季度情况来看,仍约有八分之一的重点网站受高危风险“跨站点脚本编制”的影响,望各重点单位引起重视,重点排查,消除风险。(四)本季度主要安全风险说明及解决方案1.SQL注入SQL注入

4、攻击的基本原理,是从客户端合法接口提交特殊的非法代码,让其注入到服务器端执行业务的SQL中去,进而改变SQL语句的原有逻辑和影响服务器端正常业务的处理。要防御SQL注入,用户的输入就绝对不能直接被嵌入到SQL语句中。用户的输入必须进行过滤,或者使用参数化的语句。还可以使用PreparedStatement代替Statement19来执行SQL语句。另外还要避免使用解释程序和出现一些详细的错误消息。2.启用了不安全的HTTP方法一般情况下,我们建议关闭服务器的WebDav,因为开启WevDav后,

5、会启用一些不安全的http方法,例如DELET、COPY、MOVE、SEARCH、LOCK和UNLOCK等。对于IIS服务器环境,可以使用URLSCAN工具进行配置;对于Tomcat环境,修改web.xml文件中的代码也可以达到禁用WebDav的效果。假如已经禁用DELET、COPY、MOVE等方法,检测仍然发现“启用了不安全的HTTP方法”漏洞,建议关闭OPTIONS方法,只允许GET/POST/HEAD方法。3.通过框架钓鱼“链接注入”是修改站点内容的行为,其方式为将外部站点的URL嵌入其中

6、,或将有易受攻击的站点中的脚本的URL嵌入其中。将URL嵌入易受攻击的站点中,攻击者便能够以它为平台来启动对其他站点的攻击,以及攻击这个易受攻击的站点本身。它可能造成以下安全风险:会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息;会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务;可能会在Web服务器上上载、修改或删除Web页面、脚本和文件。可以对用户输入的危险字符进行清理来预防该风险。二、市城域网网络安全威胁

7、监测状况(一)本季度监测状况综述二季度19城域网未发生大规模或高危害的网络与信息安全事件。我中心通过采样监测分析发现,对本市城域网、重要信息系统和重点网站发起的漏洞攻击和网络扫描事件,分别达到28,961,069次和4,862,635,902次,分别占到所有网络与信息安全事件总量的0.59和99.12%。各类安全事件的采样监测情况如下图所示(单位:次)。本季度监测到拒绝服务事件,主要事件类型为“ICMP_PING_FLOOD分布洪流攻击”以及“ICMP_固定源IP的PING_FLOOD攻击”,分

8、别占本季度拒绝服务事件总量的83.66%和8.10%,未构成实质性的危害。漏洞攻击事件类型主要为“UDP_目的端口为0”以及“UDP_MSSQL2000_远程溢出[MS02-039]UDP_MSSQL2000_远程溢出[MS02-039]:MicrosoftSQLServer2000的Resolution服务对用户提交的UDP包缺少正确的处理,远程攻击者可以利用这个漏洞进行基于栈的缓冲区溢出攻击。 MicrosoftSQLServer2000支持在单个物理主机上伺服多个SQL服务器的实例,每个实

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。