信息安全测评实验三讲解.docx
《信息安全测评实验三讲解.docx》由会员分享,可在线阅读,更多相关《信息安全测评实验三讲解.docx(35页珍藏版)》请在冰豆网上搜索。
信息安全测评实验三讲解
西南科技大学计算机科学与技术学院
实验报告
实验名称网站应用安全测评及加固
实验地点
实验日期
指导教师
学生班级
学生姓名
学生学号
提交日期
2015年3月信息安全系制
一、实验目的
通过对网站系统进行安全测评和安全加固,掌握应用安全测评方案的设计、安全测评实施及结果分析;掌握安全加固的方法。
二、实验题目
根据《信息系统安全等级保护基本要求》的第三级基本要求,按照实验指导书中的示范,对网站应用进行安全测评,安全等级为三级
选用应用网站网址:
http:
//10.11.0.65/index.html
三、实验设计
应用安全涉及人类工作和生活的方方面面,为了考虑计算机应用系统的安全,需要逐一分析各行各业的特点,可是这是难以做到的。
因此,我们只能把握计算机应用系统的基础,有什么样的安全测评要求,以便在这条“高速公路”上行驶的“人员”能够“放心驾驶”。
至于“他们开什么样的车,开往何方”等,则只好在今后的测评工作中就事论事了。
国家标准从管理和技术两个层面,对应用安全测评提出了若干条款。
按照三级要求,国家标准中把应用安全的分为身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制九个方面。
(1)身份鉴别。
b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
可以通过登陆时是否需要验证以及具体需要验证的种类来查看。
(2)访问控制。
e)应具有对重要信息资源设置敏感标记的功能;
f)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
通过访问管理员的方式。
(3)安全审计。
b)应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;
查看二进制日志是否有修改编辑的选项。
d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
查看二进制日志是否有自动分析过滤生成报表的功能。
(4)剩余信息保护。
a)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
b)应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
1.询问管理员,具体措施有哪些。
2.检查设计/验收文档。
3.以普通用户身份登录并进行一些操作。
(5)通信完整性。
应采用密码技术保证通信过程中数据的完整性。
访问管理员在通信过程中是否对数据加密。
或者查看系统设置,看是否有对信息加密处理的选项设置。
(6)通信保密性。
b)应对通信过程中的整个报文或会话过程进行加密。
访问管理员在通信过程中是否对信息加密。
或者查看系统设置,看是否有对信息加密处理的选项设置。
(7)抗抵赖。
a)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能;
b)应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
访问管理员,询问系统是否具有抗抵赖性,具体措施有哪些。
(8)软件容错。
b)应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
采用渗透测试的方法来验证系统中是否存在明显的弱点。
(9)资源控制。
d)应能够对一个时间段内可能的并发会话连接数进行限制;
e)应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额;
f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警;
g)应提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
1.访问管理员,是否有相应措施。
2.查看资源控制列表,是否有相应选项。
四、实验记录
1)身份鉴别
本项要求包括:
a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
(1)访谈应用系统管理员,询问应用系统是否提供专用的登录控制模块对登录的用户进行身份标识和鉴别,采用何种方式对用户进行身份标识和鉴别。
预期结果:
在业务需要的情况下应该提供专用的登录控制模块对登录的用户进行身份标识和鉴别。
(2)检查应用系统,查看用户是否必须通过专用的登录控制模块才能登录该系统,查看身份标识和鉴别的方式。
步骤:
打开http:
//目标主机IP地址/dede/login.php,查看用户是否需要进行身份标识和鉴别。
测试结果:
需要进行身份标识和鉴别,用户必须通过专用的登陆控制模块才能登陆系统。
(3)以某注册用户身份登录系统,查看登录是否成功。
步骤:
打开http:
//目标主机IP地址/dede/login.php,然后用注册账户admin,密码admin登录系统。
查看是否能够登录成功;
测试结果:
用正确的注册用户身份可以登录系统。
(4)以非法用户身份登录系统,查看登录是否成功。
步骤:
在登录栏处,随意输入一个未经注册的非法用户,查看是否能够登录成功。
测试结果:
用非注册用户身份或者错误的注册用户身份信息不可以登录系统。
b)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;
(1)询问应用系统管理员,应用系统的用户身份标识是否唯一。
采取了什么措施防止身份鉴别信息被冒用。
测试结果:
用户身份标识唯一,并采取措施防止身份鉴别信息被冒用。
(2)检查总体规划/设计文档,查看其是否有系统采取了唯一标识的说明。
查看其身份鉴别信息是否具有不易被冒用的特点。
测试结果:
对用户身份唯一标识有文档说明。
(3)检查应用系统是否有专门的设置保证用户身份鉴别信息不易被冒用,如果应用系统采用口令进行身份鉴别,则查看是否有选项或设置强制要求口令长度、复杂度、定期修改等。
步骤1:
使用正确用户名和密码登录后台,依次点击[系统]->[系统用户管理],在出现的界面上点击[更改]选项,进入后会看到相应的修改提示。
步骤2:
按照修改提示设置新的用户密码,检查系统是否配备了鉴别信息复杂度的检查功能。
在检查时,使用简单口令,如“1”,输入安全验证串,然后点击[保存用户],查看系统是否具有口令复杂度检查功能。
预期结果:
应有口令长度、复杂度的设置,并可以控制用户口令是否进行定期修改。
(4)以已有的用户名重新注册,测试系统是否禁止该操作。
步骤1:
依次点击[系统]->[系统用户管理],在出现的界面上点击[增加管理员]选项。
步骤2:
用已注册用户名admin尝试注册。
测试结果:
禁止已有用户名的重新注册,提供了用户身份标识唯一和鉴别信息复杂度检查功能。
(5)扫描应用系统,测试其鉴别信息复杂度检查功能,检查系统是否不允许存在弱口令、空口令等。
步骤1:
在添加用户时,在密码处不输入任何字符,查看是否允许存在空口令操作。
步骤2:
在添加用户时,在密码处输入简单字符,如“11”,查看是否允许存在弱口令操作。
测试结果:
允许存在弱口令、空口令。
c)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
(1)询问管理员应用系统是否具有登录失败处理的功能(如结束会话、限制非法登录次数,当登录连接超时,自动退出等),是如何进行处理的。
测试结果:
应当限制登录失败次数。
当登录连接超时,应当自动退出或提示。
(2)检查应用系统,如果有登录失败处理设置选项或模块,查看系统是否设置或选中了该功能。
步骤:
点击系统设置,查看是否有登录失败处理设置或模块,再进行查看。
测试结果:
登录失败时没有相应提示或处理选项、模块。
(3)根据应用系统使用的登录失败处理方式,采用如下测试方法之一或全部:
步骤1:
以错误的用户名或密码登录系统,查看系统的反应。
步骤2:
以系统规定的非法登录次数登录系统,查看系统的反应。
步骤3:
登录系统进行连接超时时,查看系统的反应。
测试结果:
用错误的用户名或密码无法登录。
登录失败次数超出限制时,系统有相应处理。
登录系统超时后有相应处理。
d)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
步骤1:
询问系统管理员应用系统的身份鉴别、身份标识唯一性检查、鉴别信息复杂度检查以及登录失败处理功能是否有专门的模块或选项,是否有相关参数需要配置。
测试结果:
对身份鉴别、身份标识唯一性检查、鉴别信息复杂度检查以及登录失败处理功能应有专门的模块、选项或配置参数。
步骤2:
如果有参数需要配置,则查看实际配置情况,是否已经启用上述功能。
测试结果:
如有相关参数配置,应开启了上述功能。
e)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别;
步骤:
打开http:
//目标主机IP地址/dede/login.php,然后查看如何才能够登录成功;
方法2:
以管理员root的身份登陆,而后查看【系统】---【验证安全设置】选项
测试结果:
使用了验证码和用户密码口令两种鉴别技术。
2)访问控制
本项要求包括:
a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
(1)询问应用系统管理员,系统是否提供访问控制功能,访问控制策略是什么?
自主访问控制的粒度如何?
测试结果:
系统应提供访问控制功能,访问控制策略。
(2)检查应用系统,查看系统是否提供访问控制机制。
步骤:
浏览器地址栏键入“目标主机IP地址/phpmyadmin”,用户名键入root,密码为空,选择[数据库]项,检查用户对各个数据库的访问权限。
测试结果:
系统提供了访问控制机制。
(3)检查应用系统,查看系统是否设置有安全策略控制用户对文件、数据库中的数据等进行访问。
步骤1:
浏览器地址栏键入“目标主机IP地址/phpmyadmin”,选择[数据库]项,点击查看各个数据库的访问权限。
步骤2:
点击编辑各个数据库的权限。
测试结果:
系统设置有安全策略控制用户对文件、数据库中的数据等进行访问
(4)检查应用系统,查看系统的访问控制粒度是否达到主体为用户级,客体为文件、数据库表级。
步骤:
以某一用户身份登入系统,选择[数据库]选项卡,查看访问控制粒度是否达到数据表级。
测试结果:
系统的访问控制粒度达到主体为用户级,客体为文件、数据库表级。
(5)以某一用户身份登录系统,依据安全策略对客体进行访问,测试是否成功。
该用户不依据安全策略对客体进行访问,测试是否成功。
步骤1:
以root身份登入系统,尝试对数据库进行增加、删除、查询、修改用户权限等操作,查看root用户权限。
删除数据库:
搜索查询、导出数据库:
查看、更改访问权限:
步骤2:
以任意非root用户身份登入系统,尝试对数据库进行添加、删除、查询等操作,查看其是否具有相应权限。
例如,以anyuser身份登入系统:
无法查看日志信息,无法查看权限设置,无新建数据库权限,可查询数据库information_schema,但无删除数据库权限:
可浏览、查询数据库:
测试结果:
以某一用户身份登录系统,依据安全策略对客体进行访问,结果成功。
但如果该用户不依据安全策略对客体进行访问,结果则为失败。
b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;
(1)访谈管理员,询问系统访问控制策略是否覆盖到与信息安全直接相关的主体、客体及它们之间的操作?
测试结果:
系统访问控制策略应覆盖到与信息安全直接相关的主体、客体及它们之间的操作。
(2)查看系统的具体安全策略内容是否覆盖到与信息安全直接相关的所有主体、客体及它们之间的操作。
测试结果:
系统的具体安全策略内容应覆盖到与信息安全直接相关的所有主体、客体及它们之间的操作。
c)应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;
(1)检查应用系统,查看系统是否有由授权主体配置访问控制策略的功能。
方法:
以root身份登陆系统,选择[数据库]选项卡,查看是否能够配置对各个数据库的访问策略。
例如,可进行以下步骤配置用户对数据库test的访问策略。
步骤1:
检查“test”数据库的权限。
步骤2:
点击如图按键即可针对不同用户对数据库“test”的权限进行编辑。
测试结果:
系统有由授权主体配置访问控制策略的功能。
(2)如果系统有由授权主体配置访问控制策略的功能,则以该授权主体用户登录系统,查看某个特定用户的权限。
以该用户身份登录系统,进行在权限范围内和权限范围外的一些操作,查看是否成功。
步骤1:
添加用户。
选择[权限]->[添加新用户],添加一个名为[add_user123]的新用户,不为其创建数据库,不对其赋予任何特殊权限。
步骤2:
退出当前登陆,以新建用户add_user123身份登入系统,尝试对数据库进行添加、删除、查询等操作,查看add_user123是否具有相应权限。
无法查看日志信息,无法查看权限设置,无新建数据库权限
可查询数据库information_schema和newtest,但无删除数据库权限:
可浏览查看数据库:
测试结果:
进行在权限范围内的操作,成功;权限范围外的操作,则失败。
(3)以该授权主体用户登录系统,修改上述特定用户的权限。
以该用户身份登录系统,查看该用户的权限是否与刚修改过的权限保持一致,验证用户权限管理功能是否有效。
方法:
以root身份登陆系统,修改刚才新建用户add_user的权限,例如:
取消add_user访问“test”数据库的权限,然后以add_user123身份登入系统,查看add_user123是否有权访问“newtest”数据库。
步骤1:
以add_user123身份登入系统,查看当前可以访问的数据库。
步骤2:
以root身份登陆系统,取消非root用户对“newtest”数据库的所有权限。
步骤3:
再次以add_user123身份登入系统,查看当前可以访问的数据库是否包含“newtest”数据库。
测试结果:
权限管理正确。
(4)检查应用系统,查看系统是否有默认用户,如果有,是否限制了默认用户的访问权限。
步骤:
选择[权限]项,查看系统中存在的用户(除了add_user123为新增用户,其他用户没有进行任何更改)。
(5)如果有默认帐户,以默认帐户(默认密码)登录系统,并进行合法及非法操作,测试系统是否对默认帐户访问权限进行了限制。
方法:
以任一默认账户身份登陆,检查此身份是否可以进行权限变更、用户增删等操作。
测试结果:
该系统存在默认用户。
且限制了其访问权限。
d)应授予不同帐户为完成各自承担任务所需的最小权限,在它们之间形成相互制约的关系。
(1)访谈系统管理员,询问系统所有帐户是否只拥有完成自承担任务所需的最小权限,相互之间是否形成相互制约关系。
测试结果:
系统所有帐户应只拥有完成自己承担任务所需的最小权限。
(2)检查应用系统,查看不同帐户的权限是否分离(如管理员不能审计、审计员不能管理、安全员不能审计和管理等、审计员不能修改自己的行为日志等)。
权限之间是否相互制约。
步骤1:
选择[权限]项,查看系统中的root用户被赋予的权限。
步骤2:
查看root用户的权限。
测试结果:
root用户拥有所有权限,未实现权限分离。
(3)以管理员身份进行审计操作,查看是否成功。
以审计员身份进行删除/增加用户、设定用户权限的操作(也可进行一些其他管理员进行的操作),查看是否成功。
步骤:
以root身份登陆系统,查看权限,以及二进制日志。
测试结果:
管理员身份进行审计操作,成功。
说明管理员拥有审计员的权限。
(4)以拥有其他权限的用户身份登录,查看其权限是否受到限制。
方法:
以add_user123身份或其他非root身份登入系统,查看其是否具有增加用户、删除用户、设定用户权限等权限。
测试结果:
用户权限受到限制。
没有增加用户、删除用户、设定用户权限等权限。
(视图中无【权限】选项)
e)应具有对重要信息资源设置敏感标记的功能;
f)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
方法:
访问管理员查看是否有敏感标记功能以及是否依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
测试结果:
无敏感标记功能。
3)安全审计
本项要求包括:
a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
(1)访谈安全审计员,询问是否有安全审计功能,对事件进行审计的选择要求和策略是什么。
(2)检查应用系统的审计策略(审计记录),查看审计策略(或记录)是否覆盖到每个用户。
都对哪些安全事件进行审计。
(3)多次以任意用户身份登录系统,进行一些操作,包括重要的安全相关操作或事件(如用户标识与鉴别、自主访问控制的所有操作记录(如用系统管理员身份改变用户权限,增加或删除用户),用户的行为(如删除数据、多次登录失败等))。
(4)用审计人员的身份登录系统,查看系统对上述用户的重要操作或事件是否进行审计。
以下步骤以root用户为例,测试root用户变更add_user访问权限时,系统日志有无记录。
步骤1:
以root身份登入系统,为add_user用户增加对“test”数据库的SELECT,INSERT,UPDATE,DELETE权限。
步骤2:
选中[二进制日志]选项卡,查看最近更新的日志,图例中为mysql-bin.00001.选中后点击[执行]按钮。
步骤3:
查看日志信息。
测试结果:
应有安全审计功能、对事件进行审计的选择要求和策略。
审计策略(审计记录)应覆盖到每个用户。
对任意用户操作的审计记录功能应有效。
b)应保证无法删除、修改或覆盖审计记录;
(1)访谈安全审计员,询问应用系统对审计日志的处理方式有哪些。
(2)以普通用户身份试图删除、修改或覆盖自身的审计记录,查看能否成功。
试图删除、修改其他人的审计记录,查看能否成功。
(3)如果审计记录能够导入,则导出审计记录并进行修改后导入系统,查看能否覆盖以前的审计记录。
步骤:
以非root用户身份登入系统,尝试查看并删除、修改或覆盖自身的审计记录。
下图显示普通用户无法查看日志记录(视图中无[日志]选项)。
测试结果:
普通用户无法删除、修改或覆盖自身的审计记录;如果审计记录能够导入,则导出审计记录并进行修改后导入系统,应不能覆盖以前的审计记录。
b)应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;
方法:
以root身份登录,查看二进制日志。
看是否能够修改审计记录。
测试结果:
无修改审计记录的选项。
c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;
(1)以审计员身份登录系统,检查审计记录内容是否包括事件发生的日期、时间、发起者信息、事件类型、事件相关描述信息、事件的结果等。
步骤:
以root身份登入系统,选中[二进制日志]选项卡,查看日志信息包含的内容。
测试结果:
审计记录内容包括事件发生的日期、时间、发起者信息、事件类型、事件相关描述信息、事件的结果等。
d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
查看二进制日志,看是否有报表和分析的选项。
测试结果:
没有对审计记录数据进行统计、查询、分析及生成审计报表的功能。
4)通信完整性
本项要求包括:
a)应采用校验码技术保证通信过程中数据的完整性。
(1)询问安全管理员应用系统是否有数据在传输过程中进行完整性保证的操作,具体采取什么措施。
(2)应检查设计、验收文档,查看其是否有通信完整性的说明,如果有则查看是否采用校验码技术保证通信完整性。
测试结果:
系统有数据在传输过程中进行完整性保证的措施。
5)通信保密性
本项要求包括:
a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证;
(1)询问安全管理员系统在通信双方建立连接之前采用什么技术进行会话初始化验证。
(2)应检查设计、验收文档,查看其是否有通信保密性的说明,如果有则查看是否有利用密码技术进行通信会话初始化验证的说明。
测试结果:
对初始化验证措施有文档说明。
b)应对通信过程中的敏感信息字段进行加密。
(1)询问安全管理员应用系统的敏感信息字段在通信过程中是否采取保密措施,具体采取什么措施。
(2)应检查设计、验收文档,查看其是否有通信保密性的说明,如果有则查看是否有对通信过程中的敏感信息字段进行加密的说明。
测试结果:
系统的敏感信息字段在通信过程中应采取保密措施;对保密措施应有文档说明。
6)软件容错
本项要求包括:
a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的;
(1)访谈管理员,询问是否有保证软件具有容错能力的措施,具体采取哪些措施。
(2)在应用终端输入不同(如数据格式或长度等符合、不符合软件设定的要求)的数据,包括登录标识与鉴别数据、其他操作数据等,查看系统的反应。
以下步骤以增加用户为例。
步骤:
在浏览器地址栏输入http:
//目标主机IP地址/dede/login.php,依次展开[系统]->[系统用户管理]->[增加管理员],在[用户密码]设置处输入“-9'、'a-z'、'A-Z'、'.'、'@'、'_'、'-'、'!
'”以外的字符,测试系统是否能增加此用户。
测试结果:
有保证软件具有容错能力的措施;有数据格式、长度等格式控制。
b)在故障发生时,应用系统应能够继续提供一部分保护功能,确保能够实施必要的措施。
(1)询问管理员应用系统是否发生过故障,故障发生时是否能够继续提供一部分功能保证实施必要的措施。
测试结果:
系统故障发生时有能够继续提供一部分功能保证实施必要的措施。
7)资源控制
本项要求包括:
a)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
(1)访谈应用系统管理员,询问业务系统是否有资源控制的措施,具体措施有哪些。
(2)登录应用系统服务器,查看应用系统属性是否设置了连接超时限制。
方法:
以某一用户身份登陆phpMyAdmin,长时间不作任何操作,查看系统反应。
测试结果:
有资源控制的措施;应用系统服务器有连接超时限制。
b)应能够对应用系统的最大并发会话连接数进行限制;
(1)询问管理员应用系统同时最多支持多少个并发会话连接?
是否有限制?
(2)登录应用系统服务器,查看系统是否设置了参数限制最大并发会话连接数。
步骤1:
浏览器地址栏键入[目标主机IP地址/phpmyadmin],选择[权限]项,查看各个用户被赋予的权限。
步骤2:
查看每小时服务器最大连接数max_connections。
测试结果:
系统没有设置参数限制最大并发会话连接数。
c)应能够对单个帐户的多重并发会话进行限制。
(1)询问管理员单个帐户同时可以发起多少个并发会话,是否有限制?
(2)登录应用系统服务器,查看系统是否对单个帐户的多重并发会话进行限制。
(3)以超过单个帐户规定的并发会话连接数连接系统,测试能否成功。
步骤:
查看每个数据库用户的最大连接数maxuser_connections。
测试结果:
对单个帐户同时可以发起的并发会话应有限制;对单个帐户的多重并发会话没有
升级会员 