信息安全测评实验三.docx

《信息安全测评实验三.docx》由会员分享，可在线阅读，更多相关《信息安全测评实验三.docx（31页珍藏版）》请在三一办公上搜索。

1、、实验目的 通过对网站系统进行安全测评和安全加固，掌握应用安全测评方案的设计、安全测评实施及 结果分析；掌握安全加固的方法。二、实验题目根据信息系统安全等级保护基本要求的第三级基本要求，按照实验指导书中的示范，对 网站应用进行安全测评，安全等级为三级选用应用网站网址：http:/10.1L0.65/index.html三、实验设计应用安全涉及人类工作和生活的方方面面，为了考虑计算机应用系统的安全，需要逐一 分析各行各业的特点，可是这是难以做到的。因此，我们只能把握计算机应用系统的基础， 有什么样的安全测评要求，以便在这条“高速公路”上行驶的“人员”能够“放心驾驶”。 至于“他们开什么样的车，开

2、往何方”等，则只好在今后的测评工作中就事论事了。国家标 准从管理和技术两个层面，对应用安全测评提出了若干条款。按照三级要求，国家标准中把 应用安全的分为身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、 抗抵赖、软件容错和资源控制九个方面。（1）身份鉴别。b）应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别； 可以通过登陆时是否需要验证以及具体需要验证的种类来查看。（2）访问控制。e）应具有对重要信息资源设置敏感标记的功能；f）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作； 通过访问管理员的方式。（3）安全审计。b）应保证无法单独中断审计进程，无法删除

3、、修改或覆盖审计记录； 查看二进制日志是否有修改编辑的选项。d）应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。查看二进制日志是否有自动分析过滤生成报表的功能。（4）剩余信息保护。a）应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论 这些信息是存放在硬盘上还是在内存中；b）应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其 他用户前得到完全清除。1. 询问管理员，具体措施有哪些。2. 检查设计/验收文档。3. 以普通用户身份登录并进行一些操作。（5）通信完整性。应采用密码技术保证通信过程中数据的完整性。访问管理员在通信过程中是

4、否对数据加密。或者查看系统设置，看是否有对信息加密处理的 选项设置。（6）通信保密性。b）应对通信过程中的整个报文或会话过程进行加密。访问管理员在通信过程中是否对信息加密。或者查看系统设置，看是否有对信息加密处理的 选项设置。（7）抗抵赖。a）应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；b）应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。访问管理员，询问系统是否具有抗抵赖性，具体措施有哪些。（8）软件容错。b）应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。 采用渗透测试的方法来验证系统中是否存在明显的弱点。（9）资源控制。d）应

5、能够对一个时间段内可能的并发会话连接数进行限制；e）应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；f）应能够对系统服务水平降低到预先规定的最小值进行检测和报警；g）应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先 级，根据优先级分配系统资源。1. 访问管理员，是否有相应措施。2. 查看资源控制列表，是否有相应选项。四、实验记录1）身份鉴别本项要求包括：a）应提供专用的登录控制模块对登录用户进行身份标识和鉴别；（1）访谈应用系统管理员，询问应用系统是否提供专用的登录控制模块对登录的用户进行 身份标识和鉴别，采用何种方式对用户进行身份标识和鉴别。预

6、期结果:在业务需要的情况下应该提供专用的登录控制模块对登录的用户进行身份标识和 鉴别。（2）检查应用系统，查看用户是否必须通过专用的登录控制模块才能登录该系统，查看身 份标识和鉴别的方式。步骤:打开http:/目标主机IP地址/dede/login.php，查看用户是否需要进行身份标识和鉴别。测试结果：需要进行身份标识和鉴别，用户必须通过专用的登陆控制模块才能登陆系统。(3) 以某注册用户身份登录系统，查看登录是否成功。步骤：打开http:/目标主机IP地址/dede/login.php，然后用注册账户admin，密码admin登录系统。查看是否能够登录成功；测试结果：用正确的注册用户身份可以

7、登录系统。(4) 以非法用户身份登录系统，查看登录是否成功。步骤：在登录栏处，随意输入一个未经注册的非法用户，查看是否能够登录成功。返回网站主页也您的管理目录的名称中包含默认名称dede,建设在FTF里把它修改为其它名称，那样会更安全，用户名:密码=验证码=DEDEtSFRAJi FRAN 看不将？登录Peered by JedeCBSV5T_GBK_SFL 2004-2011 DesDev Inc.tp7/lD. 11.0 &5/deie/logjn. phpDeieCIS提示信息，的用户名不化在!如果你的刘览器没反成，清点击这里测试结果：用非注册用户身份或者错误的注册用户身份信息不可以登录

8、系统。b）应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户 身份标识，身份鉴别信息不易被冒用;（1）询问应用系统管理员，应用系统的用户身份标识是否唯一。采取了什么措施防止身份 鉴别信息被冒用。测试结果：用户身份标识唯一，并采取措施防止身份鉴别信息被冒用。（2）检查总体规划/设计文档，查看其是否有系统采取了唯一标识的说明。查看其身份鉴别 信息是否具有不易被冒用的特点。测试结果：对用户身份唯一标识有文档说明。（3）检查应用系统是否有专门的设置保证用户身份鉴别信息不易被冒用，如果应用系统采 用口令进行身份鉴别，则查看是否有选项或设置强制要求口令长度、复杂度、定期修改等。步

9、骤1：使用正确用户名和密码登录后台，依次点击系统- 系统用户管理，在出现的界 面上点击更改选项，进入后会看到相应的修改提示。破王耳iEttJf.JlBlVS1 强砸群WaHia.Bii 成4观1珥 grjm 刎推|门alhiadu.TWl迎1蛭皿_IB:Z5:22 S?：r ； D.13.11 系统用户管理，在出现的界面上点击增加管理员选项。步骤2:用已注册用户名admin尝试注册。f于由旧喧-1111-3测试结果：使用了验证码和用户密码口令两种鉴别技术。2）访问控制本项要求包括:口 住flfl刍E 由irtr白atttt me很柿由立档评坨 RH i HI=SS5l=*= Ji 3：-BBZ

10、4P1 + 11=-?DdCMSa）应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问;（1）询问应用系统管理员，系统是否提供访问控制功能，访问控制策略是什么？自主访问控制的粒度如何?测试结果：系统应提供访问控制功能，访问控制策略。（2）检查应用系统，查看系统是否提供访问控制机制。步骤：浏览器地址栏键入“目标主机IP地址/phpmyadmin”，用户名键入root，密码为空，选择数据库项，检查用户对各个数据库的访问权限。-Language便用 ptipHyAdmin中文-Chinese simplified-登录用户名=执行T)必须启用Cookies才能登录# 10.11.0

11、.65宜加皿植的疽.： !a S Q Q+ dadacHXi.ETfhbjp I (LOD)+ in*Br*&i3rchx 扫T，+ wyrqL f网J-pBFtanLatfwerdia C1T)-last敲新玷祢摩翌屉伺尊：iMil&USt击成皿。部网即1inFariiKt Lan_xcTiinii.里冲pazcf de*mi eii_x chi n&tfritlt= G* iii 堂不书： - . xs* 点现l 吊害 至也 网字我拽 据引堆 号也1 -二atm吉 包瞄 国耳出 担导人|也 斯，在此后用贩色庠说#?11占州汕曲百箱盼氾卧酬hi Ssffetth e绍lMklh01政-tui

12、昱庶库 十弘跑函髡 旧1学毛 倒引等 K曜lli二attei日方 也一暮 勘晴由 曲mV网尸 主也衣幕W ,n ft7-条4. Vi倬. 在恭!B?用匡僧 mzrr. ccevt phte. hltte cuhTz. wif. rjireuicu ikc. mjei cuhTE Torcrju*.: tulu ldck tatlc cuhTE an-, eszht tuei nw mdflLctiztc nircnnt:i2T.fl. 0. L受感MX rum:uEM:SALL runLfrSUrootJanllnrl堂防ALL rUHLDlU测试结果：系统提供了访问控制机制。(3)检查应用系

13、统，查看系统是否设置有安全策略控制用户对文件、数据库中的数据等进 行访问。步骤1：浏览器地址栏键入“目标主机IP地址/phpmyadmin”，选择数据库项，点击查看 各个数据库的访问权限。|辱戮麻,| 5ggy 状苞 圜芸星 帝学特里肆弓I擎癸板限 舆二逐制曰志 峰进程 停导出 厚导入此唇阵-d-edecmsvSTgbkspl1infer mati-on_&cnemamysql 1prForm n-e_s r t icle回酉dEde_ddDiiiHSic：e see!dcde addoaiiff osded.e_ addonshop旧dedB_3ddinits oftdcdc_3ddoiup

14、 ccdedeadiin后函操作1荚室整理勾 + nr XKylSAfflgbli_chiruese_CL泪* 园XUMylSANgbk_chineE5_CL沮*届XHylSAfflsbt:_chiMse_cL白部而XMylSAfflgbk_chine se_c iiu + in 0JlylSAHgbk_chinese_CL洞* XUKylSANgbk_chinesc_cL汇1 部奇XZ1JIlylSAfflgbk:_chiMse_cL查看、更改访问权限:w用户可以访可adedecsv57gbksp1用户主机类型权限add._user%全局3ELECI, IN3HET, UTDAIE., DE

15、LETEadd_userlocalhost全局SELECT, INSERT, UPDATE, DELETEadd_user1%全局AU. PHWLEGES%全局SELECT, INSERT, UPDATE, DELETEanyuser按数据库指定AU. PHWLEGESroot127. 0. 0. 1全扃AU. FHWLEGESroot:1全局AU. PHWLEGESrootlocalhost全局ALL FBIVILEGES授权揉作舌否是否否是是是顿H Z Q Uitin_scbEift (3?)ohjeisUDEUEHiUKEIE顷旭 dj倾 LE E U-CVB U_DB_EISEI fl

16、_UT_BEn fl_UKE5 fl UEEUIIS Qjn 血njEAa ox TTOE :Esai5T步骤2：以任意非root用户身份登入系统，尝试对数据库进行添加、删除、查询等操作， 查看其是否具有相应权限。例如，以anyuser身份登入系统：无法查看日志信息，无法查看权限设置，无新建数据库权限，可查询数据库 information_schema，但无删除数据库权限：C Q 10.11. Ol Klwadniji/iiideL php?t Qken.=e6239131B202Gal5E2c7E3aE73d?5faw Iwaliwrt我BL。幡孟翅目箱瞧御旱照部荏甜3导人争瞄9BillTy

17、SOL lotfilhost蛾库:i?i_日珏限二三,二：WH：；-J：.：3r 项：二（| -：（： ：i；： J ,W主如飕：T： T卜日定煽:血箜顷；TJ 聃得：IncalliKt辣 晶瓶 林若逐翅闫锹 知厚费髓 的a；述蜘，infDiKtiiin_siiftau 时11墉:I 况腮可浏览、查询数据库:菱T毯0CHMIER.SETS35I39HEWiitfa_gener31_7i0COLLAIIORSa5E95HEWntf8_gener31_ci0COLLATIOJ_CHARM：IER_SET_1PPLI(1BI1IIT3直595hehdetiitf8_general_:iQCQLUIV

18、SasE4DB切辿iitfS_gener81_ci0COLin.PRinLEMS5凰0HEWntf9_gener31_:i0Kins3直Hghehdetntf8_general_ci0ETEITSas0切辿iitfS_gener81_7i0FILES52凰0HEWntf9_gener31_ciCLOBlL.SIims3I3DBhehdetiitf8_general_:i测试结果：以某一用户身份登录系统，依据安全策略对客体进行访问，结果成功。但如果该 用户不依据安全策略对客体进行访问，结果则为失败。b）访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；（1）访谈管理员，询问系统

19、访问控制策略是否覆盖到与信息安全直接相关的主体、客体及它们之间的操作？测试结果:系统访问控制策略应覆盖到与信息安全直接相关的主体、客体及它们之间的操作。（2）查看系统的具体安全策略内容是否覆盖到与信息安全直接相关的所有主体、客体及它 们之间的操作。测试结果：系统的具体安全策略内容应覆盖到与信息安全直接相关的所有主体、客体及它们 之间的操作。c）应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；（1）检查应用系统，查看系统是否有由授权主体配置访问控制策略的功能。方法：以root身份登陆系统，选择数据库选项卡，查看是否能够配置对各个数据库的访 问策略。例如，可进行以下步骤配置用户对数据库

20、test的访问策略。步骤1：检查“test”数据库的权限。9tt愤律dedeciri557gbk5 p 1lnformation_sc hemamysql口perfo rm I、c 白_&派 g希testSit： S1_全选全不选诳倾冀!步骤2：点击如图按键即可针对不同用户对数据库“test”的权限进行编辑。jFrihpig血in/indcx. php?inkcn=38del755F436ScOcOd49clf6880cefe5yj 服务番二 Locaihost样救据庠盗即L 夺状态宜乘堇卸字祚蛔引擎令权眼 二进据日暮魅进程在导出窿与入件广可以访间3用尸主机秋眼怪作adOser127-0,0-

21、 I全启ALL FRIYILEGES是add._userl 1L11另挟数据库定ALL PRIVILEGES否root127.0. CL L全局ALL TKIVILEGES是root:1ALL FRIVILEGE是rootLocalhost全后ALL PRIVILEGES是tuserK全且SELECTINSERT, LIHMT底 DELETE. WLFE. SHOW VI时百勺渤口断用户测试结果：系统有由授权主体配置访问控制策略的功能。（2）如果系统有由授权主体配置访问控制策略的功能，则以该授权主体用户登录系统，查 看某个特定用户的权限。以该用户身份登录系统，进行在权限范围内和权限范围外的一些

22、操 作，查看是否成功。步骤1：添加用户。选择权限-添加新用户，添加一个名为add_user123的新用户，不为 其创建数据库，不对其赋予任何特殊权限。JEr ZLocIRob屏戮献闰 SQL ，状M 翎斐M 圜字衍佐 跄引哗 另权限 剧 二谱粗曰击 幽班& 跃旧曲AE右用户DCDEFQHIJKLffl期户全闩枳慰1OK能人斗o住忠LoealhinslUS.NEadds r_ij.s?r127. 0. 0.LEKGEOariyij.flG-rXLBkGEOr c-otL27- 0= CL 1ALL FRTVZ1LECE2Qroot:1ALL rZIVZLSCTSOr oatLocalkiosl杳

23、AJJL FKTVILEGEST全选/全不选rt：:渗力谢用户ZTXVU73KQIJ祝uttnl普吾晋是是是嘟户iiT:._.H /述:I1藕:T龄：瞄:射H aurr EOT nimnuSIRcrumr g IKt NW- Jbn w:ur nor raa criwz win lUQ hLriHIZH HB71E craMT mu 7TICT3T3ijuurr mii iKC&5 HUH SWWWEkW iCS-LK1 -|1SHilumHiurma aim IZJUJUnTM HAT C1W71 B义廊 条gwnr/g ffw*.W WDtlE： E MW. o 14 m m o ih r

24、rarnnc ieh et. r im _pranrir n牌钦据庠席SQL辱状态 H）变量围1宇符集粉引军漂行眼匝二进制日志嗑睥龄导出洋 志巳*粉口T f新用广。C3IA7I UEEK 盘七小吁戒亍区 ；GKA1T 1KAGX 01 * TO J add_uierZ3 邱 I1TH AIflUIEMS TEIL JtOIK U IAI.CUnfBDrISJIEUfOUK UAI_TDATES_rEa_MUB H IA3_lEB_C09KECTIOB5 0 .编辑1创建PHP步骤2：退出当前登陆，以新建用户add_user123身份登入系统，尝试对数据库进行添加、 删除、查询等操作，查看add

25、_user123是否具有相应权限。无法查看日志信息，无法查看权限设置，无新建数据库权限提作岑俺改胡回幽1K出jrSQL 1 ocal tins 皿还触 *KFT= inr.lyJjL ILJ=|J.- J : nl IH ii:rii:r;jl i :i-%-依 If 11咛1 Lancu.ae 立3 :中工一 -u h ines e sim p lified.- + RiF ， E iL ./可查询数据库information_schema和newtest，但无删除数据库权限:躁SQL事状态司变量圜字符集寐引擎=辱教据库数据库inf o 颌玳 ion_ schemanewt e st总计，2

26、朽;自田蚌肝可浏览查看数据库：表误作记录敷1苦理CHiRACTERSETS39henbryutf8_gene rsl_ciCOLLATIOIS眉回EQMEMORYutf8_gcncral_ciCOLLTIOW_CHAC TER_ 弗 T_APPLICABILI TY怛西宜195JEMCiRYut fS_general_ciCOLUUiS旧商E4J08JI/ISAfflutf3_gmna ral_ciCOLUMLPltlVILEGES0JEMORYutf8_ernrral_ciENGINES回囱匡9HEM9RYutf8_general_ciEVESTS0ftdSAMutf8_genc ral_c

27、i测试结果：进行在权限范围内的操作，成功；权限范围外的操作，则失败。(3) 以该授权主体用户登录系统，修改上述特定用户的权限。以该用户身份登录系统，查 看该用户的权限是否与刚修改过的权限保持一致，验证用户权限管理功能是否有效。方法：以root身份登陆系统，修改刚才新建用户add_user的权限，例如：取消add_user访 问“test”数据库的权限，然后以add_user123身份登入系统，查看add_user123是否有权 访问“newtest”数据库。步骤1：以add_user123身份登入系统，查看当前可以访问的数据库。localhost霜限务器；爵薮据库SQL号状态厚数据片数据库4i

28、nf o mat ion schemarieirt est总计二2二启用统计步骤2：以root身份登陆系统，取消非root用户对“newtest”数据库的所有权限。gj 屈空h 暨 m IvcalhoiFl:昴斯腮理SQL11 KK 四字特隹 W弓I警* 用户可眼由M nnbt CTEt用户任意123主机%披懋据库栉定add-ucet: adduce t:0O7全M按戴据库栉定全M全MFKIV1LZGESAJ_L FKIV1LZGESehlect, IHEHKT4 UFDAIH. DELZTHE elect, IH3HKT4 UFDAIH. DELZTHehlect, ihehkt4E ele

29、ct, IH3HKT4AJ-L FKIV1LZGESAJ_L FKIV1LZGESAJ_L FKIV1LZGESUFDAIH. DELATEUFDAIH. DELETESHDWEHDWVIEW一坑：mewaw亢故限 全/ 全秘 1SselectTH3HRTUFDkTEDELETECREATEKLTI5K|_l LNDEK L_ I DROPCREATE TEMFORARY TABLESSHOW VIEWCREATE EDUTIirEKL.THR ROUT工:HZBXHCUTECKZA.TE VZEff-WHGKAirr UOCK TAZiUES MFEMNCESEVENT TRIG?EH序？5

30、康NHL寻旦X里 I社I十TTJR 剥刁手 3寸您已更新了 W务的权限*GRABT USJLGX Off .叭共七 * TO W % ；步骤3：再次以add_user123身份登入系统，查看当前可以访问的数据库是否包含newtest” 数据库。坤数据庠 5sql 辛状态 翌委量 H1字符乘裁据库敏据库 -inf ormat iorschema尊计；1测试结果：权限管理正确。（4）检查应用系统，查看系统是否有默认用户，如果有，是否限制了默认用户的访问权限。 步骤：选择权限项，查看系统中存在的用户（除了 add_user123为新增用户，其他用户没 有进行任何更改）。（5）如果有默认帐户，以默认帐户（默认密码）登录系统，并进行合法及非法操作，测试 系统是否对默认帐户访问权限进行了限制。方法：以任一默认账户身份登陆，检查此身份是否可以进行权限变更、用户增删等操作。