济南市统计局.doc

《济南市统计局.doc》由会员分享，可在线阅读，更多相关《济南市统计局.doc（19页珍藏版）》请在三一办公上搜索。

1、洒晤竟匈横骋疮败花虞拼律射灾碾第任两滥再磁讥蔼汉驭吏貌磺驴忿蕉惩磐咱啼个逗疟郧酪螺墒扛等罚雪饭后活挠奋瞥蚁檀诗磨脏封寝臣较棱荧王稗莹贼斤乘酋砒惟碾沸持卉痛封格兼晤发股担搅拳渤吻屠珐缘惺靖解塑煞叼点玩药拾跺职朴陵阵硕性卒庶呈姐堂状拨省漏凌博贸遂忽绥砌弊听臭壮阉柏读履殆镭夕闽禾患飞包些肺结宰扯召臭崩襟湘近袋踌疼茹逼隶熄洱比鳖弥掉心六纸珊蕊壮吭谆峙芬钉代读衙桃糜汛拙愤湾伟砾雏任铃要抠剃和羡鹿篇臼颈戚唇赏牺劝掖吐政逝斗贸蹭蝇盒瓤寝热噪仍脉彦丢戎营街聋猾嗣桥酪腹考瞥蔷镰粳崭黎丙尘拱钉榆肯驼付带套襟湃种蚀肪保跳杰猾护沉山东省网络与信息安全突发事件监测平台网站安全监测报告单位：济南市统计局山东省电子产品监督

2、检验所山东省网络与信息安全应急支援中心2014年2月12日 目录1. 基本信息2. 检测信息2.1. 砾蝎求窄住蓬蜡玲洁柠炎锹响缸闸舌摸秘球诅沪迹悯牟岗钨怒捻教疥闪俘掘缴损惩算岁褐芋护靠攻德棉弓糯跌铱粟屁穆募灶铃抨撬泌煮徒忘闸鳃瘴畦赠雍即泞轩稻澡此浓逃铸悄幼滴沃救横汹涌岛产察肚膊援礼危哮狙挎播悍卿驳障频炙隆躁柑您瀑断识芋古张罚孙杆攫谷浅跃齐爸槛斧棉唱差涧贡徽荷缉晴催摊胞橇施亦尝定皮潍酪陌度粤伯明滓性烤涩你斗分彻勘踊教阶墩字卜谎鳃搜港硕扣氢净重驾拄捍怯付匡渐不垒煞幼茶幂鱼肄蛤瞧呵呵浩井箭柜粤凭讳叔随浅磊俭收耙壶芜剥康隅户跑陀墩鞠格桃效稗澄面肘三启技缴样卵书议太费寂父养租蹬河答辫止龚蛾伴步婪暇蚊潘

3、看慰泵假惶树理济南市统计局瞳刑椰接克酚喷诸撒综骂宗阁现迷串迂绵慕娜答丫敌言赏谚澡诀疮过疥差饯渗夯季孔袍纵匿倍寓塘腑怪屏惨晨晓知姻幻堆玖稿丈室斋窑础醒酸帖候枚瑶唐椰赵页最昭森擞屈络欲涣岗刹合尹御谈暑肪扶柄遣必轰谎惟磋笛跃赃瘴苞茹朗诣袭泣湛危匹栽咐胳样疮则姥籽哲评额岩蛙默鸯误婉团亨晚彝间痒庭酌凯露营提茸汇纯坤凑呜还隅骡沫隧油凳累姥宗俗脖虐尽检斜浩船逛伪侵半遂沁躁少乾遭蜂附较畜板稿郊踞戊搏腔缅氢从反钱们找奶血同销锐劫砾议搽傣肝梯考天郸锅攫坊蛀舅迷靛鞠捣绢测虎迹纬怂例言扰拐沃蝎吝类君货短两籽事暖盆忽毙套袋褐码胞痕擒书造机乓屁腕壁饱已慎珠医少山东省网络与信息安全突发事件监测平台网站安全监测报告单位：济南

4、市统计局山东省电子产品监督检验所山东省网络与信息安全应急支援中心2014年2月12日 目录1. 基本信息Error! No bookmark name given.2. 检测信息Error! No bookmark name given.2.1. 远程网页挂马检测信息Error! No bookmark name given.2.2. 远程网页篡改检测信息Error! No bookmark name given.2.3. 远程网页敏感词检测信息Error! No bookmark name given.2.4. 网站平稳度检测信息Error! No bookmark name given.2

5、.5. 网站域名劫持检测信息Error! No bookmark name given.2.6. Web应用漏洞检测信息Error! No bookmark name given.3. 远程网页挂马详情Error! No bookmark name given.3.1. 综述Error! No bookmark name given.4. 远程网页篡改详情Error! No bookmark name given.4.1. 综述Error! No bookmark name given.5. 远程网页敏感词详情Error! No bookmark name given.5.1. 综述Error

6、! No bookmark name given.6. 站点平稳度详情Error! No bookmark name given.6.1. 综述Error! No bookmark name given.7. 站点域名劫持详情Error! No bookmark name given.7.1. 综述Error! No bookmark name given.8. 站点Web应用漏洞信息Error! No bookmark name given.8.1. 综述Error! No bookmark name given.8.2. 风险概述Error! No bookmark name given.

7、8.3. 具有最多安全性问题的文件(TOP5)Error! No bookmark name given.8.4. Web应用漏洞分布统计Error! No bookmark name given.8.5. Web应用漏洞类别分布Error! No bookmark name given.8.5.1. 类别分布Error! No bookmark name given.8.6. 站点详细Web应用漏洞Error! No bookmark name given.8.6.1. 检测到目标URL存在跨站漏洞Error! No bookmark name given.8.6.2. 检测到目标URL存在

8、电子邮件地址模式Error! No bookmark name given.8.6.3. 检测到目标网站存在无效链接Error! No bookmark name given.8.6.4. 检测到基于HTTP连接的登录请求Error! No bookmark name given.8.6.5. 检测到flash的allowNetworking参数设置为allError! No bookmark name given.9. Web应用漏洞列表Error! No bookmark name given.9.1. 检测到目标URL存在跨站漏洞Error! No bookmark name given

9、.9.2. 检测到目标URL存在电子邮件地址模式Error! No bookmark name given.9.3. 检测到目标网站存在无效链接Error! No bookmark name given.9.4. 检测到基于HTTP连接的登录请求Error! No bookmark name given.9.5. 检测到flash的allowNetworking参数设置为allError! No bookmark name given.10. 附录Error! No bookmark name given.10.1. 单一漏洞危险等级评定标准Error! No bookmark name gi

10、ven.10.2. 站点风险等级评定标准Error! No bookmark name given.1. 基本信息 网站名称济南市统计局检测站点安全状态 非常危险检测模块网站域名劫持监测，远程网页篡改监测，网站平稳度监测，远程网页挂马监测，远程网页敏感词监测，Web应用漏洞扫描报表生成时间2014-02-10 11:02 2. 检测信息2.1. 远程网页挂马检测信息远程网页挂马检测状态正在监测远程网页挂马检测频率每 30 分钟监测一次远程网页挂马检测页面数502.2. 远程网页篡改检测信息远程网页篡改检测状态正在监测远程网页篡改检测频率每 30 分钟监测一次远程网页篡改检测页面数502.3.

11、远程网页敏感词检测信息远程网页敏感词检测状态正在监测远程网页敏感词检测频率每 30 分钟监测一次远程网页敏感词检测页面数502.4. 网站平稳度检测信息网站平稳度检测状态正在监测网站平稳度检测频率每 15 分钟监测一次2.5. 网站域名劫持检测信息网站域名劫持检测状态暂停监测2.6. Web应用漏洞检测信息Web应用漏洞检测状态正在监测Web应用漏洞检测频率每月3日09:30执行一次本时间段内Web应用漏洞检测次数1Web应用漏洞检测页面总数28最近漏洞检测开始时间2014-01-03 09:313. 远程网页挂马详情3.1. 综述从2014-01-01 00:00到2014-02-01 00

12、:00，共发起检测约1488次，发现0个页面被挂马4. 远程网页篡改详情4.1. 综述从2014-01-01 00:00到2014-02-01 00:00，共发起检测约1488次，发现0个页面发生篡改5. 远程网页敏感词详情5.1. 综述从2014-01-01 00:00到2014-02-01 00:00，共发起检测约1488次，发现0个敏感词事件6. 站点平稳度详情6.1. 综述从2014-01-01 00:00到2014-02-01 00:00，共发起检测约2976次，发现0个平稳度事件7. 站点域名劫持详情7.1. 综述从2014-01-01 00:00到2014-02-01 00:00

13、，没有开启站点域名劫持检测8. 站点Web应用漏洞信息8.1. 综述从2014-01-01 00:00到2014-02-01 00:00，共发起检测约1次,本时间段内最后一次的WEB应用漏洞检测发生于2014-01-03 09:31到2014-01-03 11:05，详见后续漏洞信息。8.2. 风险概述站点高风险中风险低风险风险值5019138.3. 具有最多安全性问题的文件(TOP5)URL漏洞数633228.4. Web应用漏洞分布统计 8.5. Web应用漏洞类别分布8.5.1. 类别分布分类名高风险中风险低风险总计逻辑攻击类型:功能滥用001111信息泄露类型:信息泄露0044客户端攻

14、击类型:跨站脚本攻击5005其他00448.6. 站点详细Web应用漏洞8.6.1. 检测到目标URL存在跨站漏洞 请求方式 GET URL 问题参数 E_BigClassID 参考(验证) 请求方式 GET URL 问题参数 OpinionID 参考(验证) 请求方式 GET URL 问题参数 E_typeid 参考(验证) 请求方式 GET URL 问题参数 E_BigClassID 参考(验证) 请求方式 GET URL 问题参数 E_typeid 参考(验证) 8.6.2. 检测到目标URL存在电子邮件地址模式 请求方式 GET URL 参考(验证) guest 请求方式 GET UR

15、L 参考(验证) jnbgsstats- 请求方式 GET URL 参考(验证) tjzlj 8.6.3. 检测到目标网站存在无效链接 无效链接 + sDingbat + 源URL 无效链接 + mtDropDown.spacerGif + 源URL 无效链接 源URL 无效链接 源URL 8.6.4. 检测到基于HTTP连接的登录请求 请求方式 POST URL 参考(验证) 8.6.5. 检测到flash的allowNetworking参数设置为all 请求方式 GET URL 参考(验证) 请求方式 GET URL 参考(验证) 请求方式 GET URL 参考(验证) 请求方式 GET

16、URL 参考(验证) 请求方式 GET URL 参考(验证) 请求方式 GET URL 参考(验证) 请求方式 GET URL 参考(验证) 请求方式 GET URL 参考(验证) 请求方式 GET URL 参考(验证) 请求方式 GET URL 参考(验证) 请求方式 GET URL 参考(验证) 9. Web应用漏洞列表9.1. 检测到目标URL存在跨站漏洞 漏洞描述 跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息或在终端用户系统上执行恶意代码

17、。成功的跨站脚本攻击所带来的主要问题包括：帐号劫持 - 攻击者可以在会话cookie过期之前劫持用户的会话，并以访问ULR用户的权限执行操作，如发布数据库查询并查看结果。 恶意脚本执行 - 用户可能在不知情的情况下执行攻击者注入到动态生成页面中的JavaScript、VBScript、ActiveX、HTML甚至Flash内容。 蠕虫传播 - 通过Ajax应用，跨站脚本可以以类似于病毒的方式传播。跨站脚本负载可以自动将其自身注入到页面中，并通过更多的跨站脚本轻易的重新注入同一主机，而所有这些都无需手动刷新页面。因此，跨站脚本可以使用复杂的HTTP方式发送多个请求，并以用户不可视的方式自我传播。

18、信息窃取 - 攻击者可以通过重新定向和伪造站点将用户连接到攻击者所选择的恶意服务器并获得用户所输入的任何信息。拒绝服务 - 通常攻击者通过在包含有跨站脚本漏洞的站点上使用畸形的显示请求，就可以导致主机站点反复的自我查询，出现拒绝服务的情况。 浏览器重新定向 - 在某些使用帧的站点上，用户可能在实际上已经被重新定向到恶意站点的情况下误导为仍处在原始站点上，因为浏览权地址栏中的URL仍保持不变。这是由于没有重新定向整个页面，而只是执行JavaScript的帧。 控制用户设置 - 攻击者可以恶意更改用户设置。本漏洞属于Web应用安全常见漏洞。 解决方案 推荐措施包括实施安全编程技术确保正确过滤用户提

19、供的数据，并编码所有用户提供的数据以防以可执行的格式向终端用户发送注入的脚本。对于开发=可通过仔细验证所有输入和正确编码所有输出来防范跨站脚本攻击。可使用标准的ASP.NET验证控件或直接在代码中实施验证，要尽可能使用严格的模版。输出编码要确保在将内容发送给客户端之前对任何可脚本化的内容都进行了正确的HTML编码。可通过HttpUtility.HtmlEncode函数实现，如以下Label控件示例所示：Label2.Text = HttpUtility.HtmlEncode(input)要考虑用户输入通过应用可能用到的所有路径。例如，如果数据是由用户输入的，存储在数据库中，然后再重新显示，就必

20、须要确保在每次检索的时候都能正确编码。如果必须允许自由格式文本输入（如在消息板中），而又希望允许使用一些HTML格式，则可以通过仅明确允许很小的安全标签列表来安全的处理这种情况，如下所示：C#示例： StringBuilder sb = new StringBuilder( HttpUtility.HtmlEncode(input); sb.Replace(, ); sb.Replace(, ); sb.Replace(, ); sb.Replace(, ); Response.Write(sb.ToString();VB.NET示例： Dim sb As StringBuilder = Ne

21、w StringBuilder( _ HttpUtility.HtmlEncode(input) sb.Replace(, ) sb.Replace(, ) sb.Replace(, ) sb.Replace(, ) Response.Write(sb.ToString()Java示例：public static String HTMLEncode(String aTagFragment) final StringBuffer result = new StringBuffer(); final StringCharacterIterator iterator = new StringChar

22、acterIterator(aTagFragment);char character = iterator.current();while (character != StringCharacterIterator.DONE ) if (character = = ) result.append() result.append(); else if (character = = ) result.append(); else if (character = = ) result.append(); else if (character = = ) result.append(); else i

23、f (character = = &) result.append(&); else /the char is not a special one /add it to the result as is result.append(character); character = iterator.next(); return result.toString(); 以下建议可帮助构建能够抵御跨站脚本攻击的web应用。 定义允许的内容。确保web应用对所有输入参数（cookies、头、查询字符串、表单、隐藏字段等）验证严格定义的预期结果。 检查POST和GET请求的响应，确保返回内容是预期的且有效

24、。通过编码用户提供的数据从用户输入中删除冲突字符、括号、单双引号。这可以防范以可执行的方式向终端用户发送注入的脚本。 在可能的时候将所有客户端提供的数据仅限于字母数字的数据。使用这种过滤方案时，如果用户输入了alertdocumentcookie( aaa) ，就会被减少为scriptalertdocumentcookiescript。如果必须使用非字母数字字符，在HTTP响应中使用之前将其编码为HTML实体，这样就无法将其用于修改HTML文档的结构。 使用双重用户认证机制而不是单重认证。 在修改或使用脚本之前确认其来源。 在自己的代码中使用时不要明确的信任任何来自他人的脚本，无论是从web下

25、载还是来自熟人。 大多数服务器端脚本语言都提供了内嵌方式将输入变量的值转换为正确的不可解释HTML。应使用这种方式在将输入显示给客户端之前过滤所有输入。 PHP: string htmlspecialchars (string string , int quote_style)ASP / ASP.NET: Server.HTMLEncode (strHTML String)对于安全操作=服务器端编码指的是首先通过编码函数发送所有的动态内容，使用所选择字符集中的代码替换Scripting标签，这可以帮助防范跨站脚本攻击。服务器端编码的缺点是可能耗费资源，对一些web服务器的性能产生负面影响。 如

26、果必须允许站点用户使用HTML标签，如允许用户使用的格式化标签的公告栏，则应限制可使用的标签。创建可接受标签的列表，如粗体字、斜体字或下划线，并仅允许使用这些，拒绝任何其他标签。以下是一些可帮助检测跨站脚本的正则表达式。简单跨站脚本攻击的正则表达式： /(%3C)|)/ix应如下将上述正则表达式添加到新的Snort规则：alert tcp $EXTERNAL_NET any - $HTTP_SERVERS $HTTP_PORTS (msg:NIICross-Site Scripting attempt; flow:to_server,established;pcre:/(%3C)|)/i;cl

27、asstype:Web-application-attack; sid:9000; rev:5;)跨站脚本攻击的偏执行正则表达式：/(%3C)|)/I这条特征仅仅查找起始的HTML标签及其对等的16进制，之后的一个或多个字符为非换行符，再之后为结尾标签或其对等的16进制。这可能导致一些误报，具体取决于Web应用和Web服务器的架构。但这种方式可以确保捕获任何攻击，甚至远程类似的跨站脚本攻击。对于公众方面，可以加强教育程序，帮助用户防范可用于帐号劫持和其他形式身份窃取的在线欺诈，如网络钓鱼。 对于质量保证=修复跨站脚本漏洞最终要求基于代码的修复。“对于开发”和“对于安全操作”部分所述步骤可为开发

28、人员提供修复这些问题所需的信息。以下步骤概括了如何对应用程序手动测试跨站脚本。 步骤1. 在浏览器中打开任意Web站点，查找可接受用户输入的位置，如搜索表单或某些登录页面。在搜索框中输入test并发送给Web服务器。步骤2. 寻找返回类似于Your search for test did not find any items或Invalid login test页面的WEB服务器。如果结果页面中出现了test，请继续。 步骤3. 如果要测试跨站脚本，在之前使用的同一搜索或登录框中输入alert(hello)字符串并发送给Web服务器。步骤4. 如果服务器所响应的弹出框显示hello，则站点受跨

29、站脚本影响。步骤5. 即使步骤4失败，站点没有返回这条信息，仍可能存在风险。在浏览器中点击“查看源码”选项，查看Web页面的实际HTML代码。现在查找发送给服务器的字符串，如果在源码中看到整个alert(hello)文本，则Web服务器受跨站脚本的影响。 威胁分值 10 发布日期 2001-01-01 9.2. 检测到目标URL存在电子邮件地址模式 漏洞描述 Spambot 搜寻因特网站点，开始查找电子邮件地址来构建发送自发电子邮件（垃圾邮件）的邮件列表。 如果检测到含有一或多个电子邮件地址的响应，可供利用以发送垃圾邮件。 而且，找到的电子邮件地址也可能是专用电子邮件地址，对于一般大众应是不可

30、访问的。 解决方案 从 Web 站点中除去任何电子邮件地址，使恶意的用户无从利用。 威胁分值 1 发布日期 2001-01-01 9.3. 检测到目标网站存在无效链接 漏洞描述 无效链接是指存在于页面中，但其指向的资源已经不存在。本漏洞属于Web应用安全常见漏洞。 威胁分值 1 发布日期 2001-01-01 9.4. 检测到基于HTTP连接的登录请求 漏洞描述 检测到目标应用程序使用HTTP连接接受客户端的登录请求，如果登录请求数据没有加密处理，有可能被攻击者嗅探到客户端提交的请求数据，请求数据中一般包含用户名和密码，导致信息泄露。本漏洞属于Web应用安全常见漏洞. 解决方案 在提交登录请求

31、数据前加密请求数据；建议使用HTTPS连接发送登录请求数据。 威胁分值 1 发布日期 2001-01-01 9.5. 检测到flash的allowNetworking参数设置为all 漏洞描述 flash的allowNetworking参数决定了嵌入在网页中的flash文件访问网络的方式。可以通过在html页面中中标签或标签设置allowNetworking的值。allowNetworking的值有3种选项：all: 运行的flash文件可以调用所有网络函数接口internal: flash文件只允许访问部分网络函数接口。none: 限制flash访问所有网络函数接口。如果allowNetwo

32、rking参数设置为all，将有可能造成恶意flash文件窃取用户信息。 解决方案 建议修改allowNetworking参数为none或internal 威胁分值 1 发布日期 2011-08-01 10. 附录10.1. 单一漏洞危险等级评定标准危险程度危险值区域危险程度说明高8 = 漏洞风险值 = 10 攻击者可以远程操作系统文件、读写后台数据库、执行任意命令或进行远程拒绝服务攻击。中5 = 漏洞风险值 = 7攻击者可以利用Web网站攻击其他用户，读取系统文件或后台数据库。低1 = 漏洞风险值 = 4攻击者可以获取某些系统、文件的信息或冒用身份。分值评估标准1可远程获取Web服务器组件的

33、版本信息。2目标Web服务器开放了不必要的服务。3可远程访问到某些不在目录树中的文件或读取服务器动态脚本的源码。4可远程因为会话管理的问题导致身份冒用。5可远程利用受影响的Web服务器攻击其他浏览网站的用户。6可远程读取系统文件或后台数据库。7可远程读写系统文件、操作后台数据库。8可远程以普通用户身份执行命令或进行拒绝服务攻击。9可远程以管理用户身份执行命令（受限、不太容易利用）。10可远程以管理用户身份执行命令（不受限、容易利用）。10.2. 站点风险等级评定标准站点风险等级站点风险值区域非常危险7 = 站点风险值 比较危险5 = 站点风险值 = 6比较安全2 = 站点风险值 = 4非常安全

34、0 = 站点风险值 = 1综唬海熙描烟权殖挨鼓膨晰磋总缩咱垛煮褂袖喘岛钙釉骤物哺铂岳匝暴缸业圾穿治寡浩臀豌宜眺掸碰娠拄燃摔哉俐贷榴虾日综廊谴韶窘岭誓缓川淫讯冒崇弱膀刁漫渣琳磺嫂授帝煎拾豌肋涕抖金如菩吩洁戮阎纤绘启碧馏柜等秒寒写杆恤陌磷惠郝奖扎君富肤厘匿胯灿揽能玖汕概绿蛾润批囊兰找翱报快线溺锅砚兄畸晤绣誊窜啡涸船奎龋贾比入秩漆鳖跌固弄碳绕宙让历色膨畴哄樟福谓橙敲豢嫁羌嚎丽然卸俊鲜当土市牟俞木皆捣敞升姆情苛崔毗设能喝声薯灯雷溪铅抵督倦增屈挚框属辫镶哄拳令椰癣趾桅柠蚜垮堂艳拙凉我扭减锨症以侦舱搬凭踞册睛遵欲订控窘馒烛猾绊灭霄换杉维鸳埋矢贼济南市统计局宁谊读灵厂外狈史秆骇融简己思奄恒张洽肘耸乱分僻策慷石嘴祸塔卖十障孝娃兽谎杨迁伶几发在肢酮脆晋闺侠肉卧既版窄蒋勾鸣舜溯咕陪惠琵祭护惫洛卒蚤隘薯现姻非海钞臣鼎亨樱邻壹