1、2022常見漏洞的處理方案1 漏洞掃描原理6 數據庫、網絡設備漏洞處理建議5 Linux發行版漏洞處理建議4 Windows系統漏洞處理建議3 漏洞修復整體方式2 黑客攻擊方式7 漏洞處理方案總結有關安全漏洞的幾個問題 什么是安全漏洞？ 在計算機安全學中，存在于一個系統內的弱點或缺陷，系統對一個特定的威脅攻擊或危險事件的敏感性，或進行攻擊的威脅作用的可能性。 為什么存在安全漏洞？ 客觀上技術實現 技術發展局限 永遠存在的編碼失誤 環境變化帶來的動態化 主觀上未能避免的原因 默認配置 對漏洞的管理缺乏 人員意識如何解決安全漏洞？如何解決安全漏洞？一些基本原則 服務最小化 嚴格訪問權限控制 及時的

2、安裝補丁 安全的應用開發可使用工具和技術 安全評估與掃描工具 補丁管理系統 代碼審計漏洞的可利用性 可利用性：80%的利用漏洞的攻擊發生在前兩個半衰期內，85%的破壞來自于漏洞攻擊開始的15天的自動化攻擊，并且會不斷持續，直到該漏洞的影響消失。漏洞的流行性和持續性 流行性：50%的最流行的高危漏洞的影響力會流行一年左右，一年后這些漏洞將被一些新的流行高危漏洞所替代。 持續性：4%的高危漏洞的壽命很長，其影響會持續很長一段時間；尤其是對于企業的內部網絡來說，某些漏洞的影響甚至是無限期的。少數漏洞的壽命無限期絕大多數漏洞的壽命綠盟遠程安全評估系統 依托專業的NSFOCUS安全小組，綜合運用信息重整

3、化（NSIP）等多種領先技術，自動、高效、及時準確地發現網絡資產存在的安全漏洞； 提供Open VM（Open Vulnerability Management開放漏洞管理）工作流程平臺，將先進的漏洞管理理念貫穿整個產品實現過程中； 專業的Web應用掃描模塊，可以自動化進行Web應用、Web 服務及支撐系統等多層次全方位的安全漏洞掃描，簡化安全管理員發現和修復 Web 應用安全隱患的過程。漏洞管理系統Vulnerability Management System漏洞評估系統Vulnerability Assessment System漏洞掃描產品Vulnerability Scanner RS

4、AS內部模塊系統架構RSAS Internet掃描結果庫漏洞知識庫掃描核心模塊WEB界面模塊升級服務器遠程RSAS匯總服務器Internet被掃描主機瀏覽器HTTPS訪問InternetHTTP升級請求SSL加密通道SSL加密通道數據匯總Internet用戶數據同步模塊漏洞掃描技術原理名詞解釋Banner理解為系統標識，可表現出系統版本，業務類型等，可理解為“身份證”；漏洞插件基于對某個漏洞的有效攻擊，除去攻擊過程中可導致目標系統受損的單元，剩余的測試步驟就為一個漏洞插件；防火墻過濾防火墻可進行嚴格的出入棧過濾，但可通過nmap等攻擊進行繞過探測；數據庫版本默認情況下數據庫無法進行版本更新等；

5、并且針對數據庫絕大部分為DDOS、溢出等攻擊，因此極少存在漏洞插件。大多數數據庫漏洞通過數據庫banner進行判定；漏洞掃描誤報常規情況下，由于目標設備適用環境的變化，漏洞掃描設備存在一定的誤報率，因此部分漏洞可能誤報甚至未被發現，因此要進行周期化的掃描，以降低誤報率；1 漏洞掃描原理6 數據庫、網絡設備漏洞處理建議5 Linux發行版漏洞處理建議4 Windows系統漏洞處理建議3 漏洞修復整體方式2 黑客攻擊方式7 漏洞處理方案總結黑客攻擊方式之1廣撒網黑客攻擊方式之2重點撈魚WEB服務器數據庫服務器服務器終端WindowsLinuxAIXHPSolarisNetWareBSD路由器交換機

6、防火墻網絡系統WWWFTPSSHSMTP DCE/RPC數據庫木馬和后門IMAPLDAPONC/RPC 遠程管理POP3SMB KernelSNMPNNTPCGI X WindowXDMCPXFSKerberosFingerRTSP應用系統全面滲透1 漏洞掃描原理6 數據庫、網絡設備漏洞處理建議5 Linux發行版漏洞處理建議4 Windows系統漏洞處理建議3 漏洞修復整體方式2 黑客攻擊方式7 漏洞處理方案總結漏洞修復方式安全性與易用性始終是最大的矛盾1 漏洞掃描原理6 數據庫、網絡設備漏洞處理建議5 Linux發行版漏洞處理建議4 Windows系統漏洞處理建議3 漏洞修復整體方式2 黑

7、客攻擊方式7 漏洞處理方案總結Windows漏洞綜述查看系統版本ver查看SP版本wmic os get ServicePackMajorVersion查看Hotfixwmic qfe get hotfixid,InstalledOn查看主機名hostname查看網絡配置ipconfig /all查看路由表route print查看開放端口netstat -ano配置型漏洞通過組策略、注冊表等進行配置修改，多數情況下為禁用開放協議及默認協議；系統型漏洞系統自身存在的溢出漏洞、DDOS漏洞等；需通過補丁升級解決；Windows漏洞事例Windows漏洞修復更新補丁http:/ Updates（不

8、使用自動更新可以關閉）Background Intelligent Transfer ServiceDHCP ClientMessengerRemote RegistryPrint SpoolerServer（不使用文件共享可以關閉）Simple TCP/IP ServiceSimple Mail Transport Protocol (SMTP)SNMP ServiceTask ScheduleTCP/IP NetBIOS Helper是否實施備注其他不需要的服務也應該關閉默認共享操作目的關閉默認共享檢查方法開始-運行-cmd.exe-net share，查看共享加固方法關閉C$，D$等默認

9、共享開始-運行-regedit-找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters ，新建AutoShareServer（REG_DWORD），鍵值為0是否實施備注網絡訪問限制操作目的網絡訪問限制檢查方法開始-運行-secpol.msc -安全設置-本地策略-安全選項加固方法網絡訪問: 不允許 SAM 帳戶的匿名枚舉：啟用網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉：啟用網絡訪問: 將 “每個人”權限應用于匿名用戶：禁用帳戶: 使用空白密碼的本地帳戶只允許進行控制臺登錄：啟用是否實施備注gpup

10、date /force立即生效Windows漏洞修復修改配置Windows漏洞修復修改配置第一步，打開組策略編輯器：gpedit.msc第二步，找到“計算機配置windows設置安全設置安全選項”第三步，在安全選項中找到：”系統加密：將FIPS兼容算法用于加密、哈希和簽名“（個版本系統表述方法可能不同，但系統加密選項就幾種，針對FIPS就一種，因此不會選錯）第四步，執行gpupdate命令1 漏洞掃描原理6 數據庫、網絡設備漏洞處理建議5 Linux發行版漏洞處理建議4 Windows系統漏洞處理建議3 漏洞修復整體方式2 黑客攻擊方式7 漏洞處理方案總結Linux漏洞綜述查看內核信息unam

11、e -a查看所有軟件包rpm -qa查看主機名hostname查看網絡配置ifconfig -a查看路由表netstat -rn查看開放端口netstat -an查看當前進程ps -auxLinux系統漏洞Apache應用漏洞PHP應用漏洞修改Telnet banner信息Telnet Banner修改法： 編輯文件/etc/,找到類似這幾行（不同版本的Linux內容不太一樣）： Red Hat Linux release 8.0(Psyche) Kernel r on an m 改成： Microsoft Windows Version 5.00(Build 2195) Welcome to

12、 Microsoft Telnet Service Telnet Server Build 5.00.99206.1 由于重啟后會自動恢復，為了保護這些偽造的信息，還需要編輯文件/etc/rc.local， 在這些行前加“#”號，注釋掉恢復的功能： #echo”/etc/issue #echo”$R”/etc/issue #echo “Kernel $(uname ?r) on $a $SMP$(umame ?m)”/etc/issue #cp-f/etc/issue/etc/ #echo/etc/issue 通過上面的方法將linux系統下的telnet服務修改成windows下的telne

13、t服務，從而達到迷惑黑客的目的。修改Apache服務banner信息自動化工具：Banner Edit Tool修改httpd.conf文件,設置以下選項:ServerTokens ProductOnlyServerSignature Off關閉trace-methodTraceEnable offServerSignature apache生成的一些頁面底部,比如404頁面,文件列表頁面等等。ServerTokens指向被用來設置Server的http頭回響。設置為Prod可以讓HTTP頭回響顯示成這樣.Server: Apacheapache禁止訪問目錄列表- -編輯httpd.conf把

14、下面配置項改成Options Indexes FollowSymlinks MultiViewsOptions FollowSymlinks MultiViews即拿掉Indexes,重新啟動apache隱藏http頭信息中看到php的版本信息在php.ini中設置 expose_php = Off關閉不常用的服務操作目的關閉不必要的服務（普通服務和xinetd服務），降低風險檢查方法使用命令“who -r”查看當前init級別使用命令“chkconfig -list ”查看所有服務的狀態加固方法使用命令“chkconfig -level on|off|reset”設置服務在個init級別下開

15、機是否啟動是否實施備注新版本的Linux中，xinetd已經將inetd取代OpenSSH漏洞分析OpenSSH修復建議1：隱藏OpenSSH版本。由于漏掃在針對OpenSSH進行掃描時，先判斷SSH服務開啟狀況，在進行banner信息的判斷，確認系統版本后即報響應版本漏洞。因此，可通過修改OpenSSH的banner信息進行隱藏，進而避免漏掃對其漏洞的爆出。修改命令如下（建議聯系系統開發商，并且在測試機上進行試驗）：修改openssh-X.x/version.h找到#define SSH_VERSION OpenSSH_6.22：進行OpenSSH版本升級，現有版本最高為6.2。建議升級到6

16、.0以上即可。版本升級不復雜并且較為有效，但升級過程中會中斷SSH業務，因此需慎重考慮。3：采用iptables，可進行在服務器端的端口訪問限制。可限制為只允許小部分維護端及SSH接收端即可。可有效避免SSH端口對本次檢查地址開放，并可對操作系統TTL值進行修改，避免系統版本泄露。此方法最安全，但需要linux支持iptables。Iptables使用建議iptables 是與最新的 3.5 版本 Linux 內核集成的 IP 信息包過濾系統。如果 Linux 系統連接到因特網或 LAN、服務器或連接 LAN 和因特網的代理服務器， 則該系統有利于在 Linux 系統上更好地控制 IP 信息包

17、過濾和防火墻配置。#允許本地回環接口(即運行本機訪問本機) iptables -A INPUT -s -d -j ACCEPT # 允許已建立的或相關連的通行 iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT #允許所有本機向外的訪問 iptables -A OUTPUT -j ACCEPT # 允許訪問22端口 iptables -A INPUT -p tcp -dport 22 -j ACCEPT #允許訪問80端口 iptables -A INPUT -p tcp -dp

18、ort 80 -j ACCEPT #允許FTP服務的21和20端口 iptables -A INPUT -p tcp -dport 21 -j ACCEPT iptables -A INPUT -p tcp -dport 20 -j ACCEPTIptables使用建議#屏蔽單個IPiptables -I INPUT -s -j DROP#封整個段即從到54iptables -I INPUT -s /8 -j DROP#封IP段即從到54iptables -I INP

19、UT -s /16 -j DROP#封IP段即從到54iptables -I INPUT -s /24 -j DROP#查看以添加的規則iptables -L n#刪除規則iptables -D INPUT XX1 漏洞掃描原理6 數據庫、網絡設備漏洞處理建議5 Linux發行版漏洞處理建議4 Windows系統漏洞處理建議3 漏洞修復整體方式2 黑客攻擊方式7 漏洞處理方案總結網絡設備漏洞處理數據庫加固口令密碼復雜性策略通過增加可能密碼的數量來阻止強力攻擊。實施密碼復雜性策略時，新密碼必須符合以下原則。 密碼不得

20、包含全部或“部分”用戶帳戶名。部分帳戶名是指三個或三個以上兩端用“空白”（空格、制表符、回車符等）或任何以下字符分隔的連續字母數字字符： - _ #密碼長度至少為六個字符。 密碼包含以下四類字符中的三類： 英文大寫字母 (A - Z) 英文小寫字母 (a - z) 十個基本數字 (0 - 9) 非字母數字（例如：!、$、# 或 %）詢問管理員sa是否空口令或為弱口令并實際登錄測試，檢查有無不必要帳戶如果要修改弱密碼和刪除不必要帳戶，可以登錄企業管理器1)展開“安全性”“登錄名”條目，雙擊弱密碼帳號2)修改帳號弱密碼為包含英文大小寫、數字、特殊字符的復雜密碼3)刪除不必要的帳戶數據庫加固訪問控制操作名稱：檢查操作系統是否進行數據庫訪問ip和端口限制實施方案：檢查主機防火墻設置，詢問管理員是否有網絡防火墻對數據庫進行保護，建議開啟主機防火墻