大学生活怎么过-大学生活怎么过
西南科技大学校园网安全评估方案
SNERT
2007-09-25
目录
一、评估对象
.
....................................... .................................................. .........................................
2
二、评估模块
.< /p>
............................................ .................................................. ....................................
2
1
、网络拓扑扫描和端口扫描
.............................................. .................................................. .
2
1.1
、测试目标
................ .................................................. ...............................................
2
1.2
、测试内容及注意事项
........... .................................................. ................................
2
1.3
、测试软件
................ .................................................. ...............................................
3
1.4
、测试流程
.................................................. .................................................. .............
3
1.5
、测试报告要求
.............. .................................................. .........................................
3
2
、漏洞渗透测试
.................................................. .................................................. ................
4
2.1
、测试目标
................ .................................................. ...............................................
4
2.2
、测试内容及注意事项
........... .................................................. ................................
4
2.3
、测试软件
................ .................................................. ...............................................
4
2.4
、测试流程
.................................................. .................................................. .............
5
2.5
、测试报告要求
.............. .................................................. .........................................
5
3
、性能分析
.. .................................................. .................................................. ......................
6
3.1
、测试目标
................ .................................................. ...............................................
6
3.2
、测试内容及注意事项
........... .................................................. ................................
6
3.3
、测试软件
................ .................................................. ...............................................
7
3.4
、测试流程
.................................................. .................................................. .............
7
3.5
、测试报告要求
.............. .................................................. .........................................
8
4
、评估建议
.. .................................................. .................................................. ......................
9
4.1
、任务目标
................ .................................................. ...............................................
9
4.2
、注意事项
.................................................. .................................................. .............
9
三、评估方法
.
.......... .................................................. .................................................. ....................
9
一、评估对象
学校
主要相关信息部门,包括各学院主页和各行政职能部门主页所在服务器。
二、评估模块
1
、网络拓扑扫描和端口扫描
1.1
、测试目标
目前,
西南科技大学信息系统以
Web
为核心,
校园网中存在 着大量的
Web
服务器,
如:
图书管理系
统、
教务管理系统、
新闻发布系统、软件下载平台等等。为了获得测试目标的一< /p>
些基本信息,
我们需要对校园网的拓扑进行扫描并且对存活的服务器进行端 口扫描,
对扫描
的结果进行一定的分析。
1.2
、测试内容及注意事项
1.2.1
、使用工具对网段进行结构扫描
< p>
根据查找的的资料对学校使用的网段进行拓扑扫描,
获得在网段内存活的服务器。< /p>
由于
各种不同的原因(比如防火墙的拦截等)
,需要采取对 网段进行多方案的扫描,以确保扫描
结果的正确性。例如先用
ICMP< /p>
包扫描,然后进行常用端口扫描等多种方案结合扫描。
1.2.2
对存活的服务器进行端口扫描
端口扫描是针对服务器提供的服务进行的测试。
通过对服务器进行端口扫描以确定服务
器所扮演的角色。
并对在该端口上存在的现有漏洞进行测试。
< p>通过扫描得到服务器的基本角
色信息和安全系数。
1.2.3
、测试中应注意的问题
本次性能测试,
我们主要采用以上两种方式进行。
需要注意的是,
< p>测试应有针对性地满
足用户需要,测试所得的数据应合理、有参考价值。很多软件的
扫描结果都不一致,很有可
能出现错误的结果,所以在不确定扫描结果的情况下应该采取
人工测试的方法,很多
IP
主
机并不存活,但是很一些软
件都能扫描出该
IP
的
21
端口是开放的。
1.3
、测试软件
1.3.1
、
HostScan
测试工具
针对网络拓扑结构的扫描需要采用多种扫描方法相结合,
HostScan
的扫描途径包括
IP
扫描,端口扫描和网络服务扫描。
IP
扫描可以扫描任意范围的
IP
地址
( 0.0.0.0
到
255.255.255.255)
, 找到正在使用中的网络主机;端口扫描可以扫描已发现网上主机的端口,
范围可以从
1
到
65535
,
获得已经打开的端口 的信息
,
对端口分析可以知道是否有人在你的电
脑上留下
了后门;网络服务扫描可以扫描打开的端口,返回端口后台运行的网络服务信息
,
例如
,
通常情况下
,
端口
80
运行的是
HTTP
服务。
扫描完成后,
会给出一份详细的网络扫描报
告,以备查阅。
1.3.2
、漏洞扫描工具
漏
洞扫描工具目前有很多,
X-Scan-v3.3
采用多线程方式对指定
IP
地址段
(
或单机
)
进行
安全漏洞检测,支持插件功能。扫描内容包括:远程服务类型、操作系统类型及版本,各
种
弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。对
于多
数已知漏洞,
软件给出了相应的漏洞描述、
解决方案 及详细描述链接,
其它漏洞资料正在进
一步整理完善中,您也可以通过该
软件网站主页的“安全文摘”和“安全漏洞”栏目查阅相
关说明。
3.0
及后续版本提供了简单的插件开发包,便于有编程基础的朋友自己编写或将其
他调试通过的代码修改为
X-Scan
插件。
1.4
、测试流程
为了统一测
试数据,
便于网络管理人员分析和发现问题,
请大家都按照以下流程进行测
试,并记录第五节中所指定的测试结果。
?
网络拓扑结构扫描
获得需要测试的网段,查找出网段上的存活主机。
根据扫描结果记录扫描信息。
?
单个主机漏洞扫描
根据前面扫描出来的结果对但单个
IP
先进行端口扫描;
根据扫描出的端口对扫描软件进行相应的设置,然后使用软件进行漏洞扫描;
根据扫描结果记录扫描信息;
1.5
、测试报告要求
记录扫描结果,并填入如下表格中:
序号
1
服务器名称
西
南
科
技
大
IP
地址
操作系统
开放端口
80
检测漏洞
扫描工具
扫描结果
111.222.333.444
LINUX RH5
X-Scan
无
学主页
2
、漏洞渗透测试
2.1
、测试目标
对西南科技
大学下面的
42
个
web
站点进行
WEB
漏洞,本地漏洞测试。对
web
服务器
的操作系统进行漏洞的发现,并且对漏洞的严重性进行划分。对各个
web
站 点的
web
页面
进行漏洞测试。以便给于各个站点安全预
警。
?
Web
服务器操作系统
?
Web
服务器漏洞,如
iis
的漏洞
?
Web
服务器页面设计缺陷
2.2
、测试内容及注意事项
2.2.1
、
Web
服务器操作系统
针
对
Windows
2000/2003
Service
做
漏
洞
测
试
,
特
别
注
意
某
些
弱
口
令
。
比
如
administrator
等等具有超级权限的用户没有加密码之类。
使用系统漏
洞检测软件对
Windows
系统本生并且已公布的严重漏洞进行检测
< p>
?
Web
服务器漏洞
通过测试软件对
iis
各个版本的漏洞进行检测,
如
Unicode< /p>
漏洞,
以及一些
iis
的脚本未
删除干净的。注意的是,某些站点有些很简单的设置问题,如目录访问权限是全开等等。
< /p>
其他
web
服务器软件漏洞,因为学校用其他软件的不是很 多,到时候因地制宜吧。比如
cgi
漏洞,还有
php< /p>
,
jsp
。主要用软件进行测试。
?
Web
服务器页面设计缺陷
通过软件进
行
SQL
注入分析,检查是否存在严重的
url
过 滤缺陷。并对有
SQL
注入漏
洞的站点分析,分析漏洞在
本站点的危害性。
测试各种上传文件漏洞,数据库下载漏洞等等,并分析其危害性
2.3
、测试软件
基本软件:
Winpcap
Web
服务器操作系统
流光<
/p>
5
(
Fluxay
)
,
X-Scan
,
Nmap
Web
服务器页面设计缺陷
S
QL
注入工具,以及人工进行各种上传文件漏洞,某些常用文章发布系统的公开漏洞
2.4
、测试流程
先进行
Web
服务器操作系统
Web
服务器漏洞的检测。
Web
服务器页面设计缺陷分为每个站点单独讨论。单 独制定检测方案。
2.5
、测试报告要求
测试完成以后,按照以下的表格提交测试报告
目标域名:
目标
IP
:
测试用计算机
IP
操作系统
操作系统类别:
弱口令
无,管理员,
guest
,其他
存在弱口令,详细信息
漏洞信息
Web
服务器
Web
服务器类型:
设置问题
漏洞信息
页面设计缺陷
SQL
注入攻击
测试地点:
测试时间:
参测人员:
汕头大学出版社-汕头大学出版社
广州工业大学华立学院-广州工业大学华立学院
华侨大学分数线-华侨大学分数线
广西大学地图-广西大学地图
河南科技大学贴吧-河南科技大学贴吧
兰州理工大学地址-兰州理工大学地址
西北大学经管学院-西北大学经管学院
西北政法大学地址-西北政法大学地址
-
上一篇:西南科技大学外国语学院
下一篇:西南科技大学思想政治社会实践报告经典满分模板