网络攻防之8安全防护对策课件

1、申明：本资料属于百安信息系统安全俱乐部所有，仅限于个人学习之用，请勿用于其它商业目的！欢迎访问百安信息系统安全专业论坛百安论坛：/ 牛牛文库文档分享安全防护对策 II 牛牛文库文档分享- 付发明讲师介绍联系 电话： EMAIL: xdicry QQ: 4534455 MSN: kper4 牛牛文库文档分享回顾上次课程的回顾：安全检测工具;Windump;常见后门的清除方法; 牛牛文库文档分享关于日志Windows2000的系统日志文件：应用程序日志文件：%systemroot%system32configAppEvent.EVT 系统日志文件：%systemroot%system32confi

2、gSysEvent.EVT 安全日志文件：%systemroot%system32configSecEvent.EVT配置注册表：修改日志存放位置、大小、及自行覆盖。a修改注册表（EventMessageFile，MaxSize)：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog b利用WMI(Windows Management Instrumentation)管理脚本。经常查询及备份系统日志。 牛牛文库文档分享关于日志设定日志最大25MB,并允许日志自行覆盖14天前的日志： strComputer = .Set objWMI

3、Service = GetObject(winmgmts: _& impersonationLevel=impersonate,(Security)! & _strComputer & rootcimv2) 获得VMI对象Set colLogFiles = objWMIService.ExecQuery _(Select * from Win32_NTEventLogFile)For each objLogfile in colLogFilesstrLogFileName = objLogfile.NameSet wmiSWbemObject = GetObject _(winmgmts:im

4、personationLevel=Impersonate!.rootcimv2: _& Win32_NTEventlogFile.Name= & strLogFileName & )wmiSWbemObject.MaxFileSize = 2500000000wmiSWbemObject.OverwriteOutdated = 14wmiSWbemObject.Put_ Next 牛牛文库文档分享关于日志备份application日志的代码：backuplog.vbsstrComputer = .Set objWMIService = GetObject(winmgmts: _& impers

5、onationLevel=impersonate,(Backup)! & _strComputer & rootcimv2)Set colLogFiles = objWMIService.ExecQuery _(Select * from Win32_NTEventLogFile where LogFileName=Application)For Each objLogfile in colLogFileserrBackupLog = objLogFile.BackupEventLog(f:application.evt) If errBackupLog 0 ThenWscript.Echo

6、The Application event log could not be backed up.else Wscript.Echo success backup logEnd IfNext 牛牛文库文档分享关于日志删除日志：strComputer = .Set objWMIService = GetObject(winmgmts: _& impersonationLevel=impersonate,(Backup)! & _strComputer & rootcimv2)dim mylogs(3)mylogs(1)=applicationmylogs(2)=systemmylogs(3)=s

7、ecurityfor Each logs in mylogsSet colLogFiles = objWMIService.ExecQuery _(Select * from Win32_NTEventLogFile where LogFileName=&logs&)For Each objLogfile in colLogFilesobjLogFile.ClearEventLog()Nextnext 牛牛文库文档分享应用层安全概述.windows 终端服务。速度快，反映灵敏，系统自带功能。.VNC。opensource 软件，体积小，可以实现跨平台使用，功能相对较少。.PcAnyWhere。

8、支持多种协议，配置较为烦琐，具有文件传输功能。. Remote administrator 。以服务形式实现功能，可直接进入命令行，可以远程传输文件，远程关机。速度较慢。关于远程管理工具 牛牛文库文档分享应用层安全概述FTP 服务器： a. windows FTP 服务器； b.Server_U FTP 服务器； c.雷电FTP 服务器；MAIL 服务器: a.Exchange Server； 用Windows 安全性来认证用户，与windows 紧密 相连。跨平台能力不足，消耗内存较大。 b.IMAIL； 完备的系统管理功能，系统运行时实时监控功能，跨平台功能支持不足，注册表保存用户信息。

9、c.WebEasyMail； 与 IIS紧密结合，提供WEB管理及IE收发邮件功能 牛牛文库文档分享应用层安全概述关于代码的安全 动态网页中对数据库的连接存在不安全代码，导致应用程序存在注入漏洞。如下例： select * from admin where name=&request(“username)& 提交username=webuser; drop database admin时，变成： select * from bbs where id1；drop database bbs如何防止？1 .正确处理并过滤不需要的字符 &;*?() $nr 2 URLScan 及其他通用防注入代码。

10、牛牛文库文档分享关于网页木马 如何防止网页木马 1.注意 microsoft internet explorer 安全更新。2.禁止浏览可疑网站及网页。3.安装第三方防病毒软件，并经常更新。关于CGI应用的安全检测Whisker： perl 语言实现的 cgi 漏洞扫描器，Anti-IDS策略，扫描漏洞数据库可以很好的更新。 Libwhisker是一个用perl编写的由Whisker使用的程序库 Nikto如何快速的查找webshell ? 牛牛文库文档分享Metasploit Framework - Metasploit Framework By HD Moore和Spoonm “开放漏洞攻

11、击技术框架”，它提供了一个可任意扩展的平台，任何人可以编写新的漏洞攻击程序插入到平台中，因此它可以和任何现有的漏洞攻击工具相媲美。 Msf Console 及 Msf Web 两种控制接口。功能强大的扩充功能 什么是 Exploit?什么是PayLoad? 强大的适应性和多平台的功能性，控制简单，容易上手。 Metasploit Framework 使用环境及配置 1.全局环境及临时环境。2.PayLoad 的选择。 牛牛文库文档分享Metasploit Framework 牛牛文库文档分享MSF 框架的使用方法Metasploit Framework 选择exploit 模块Set/Check Option选择Target选择 PayLoadSet PayLoadGo exploit! 牛牛文库文档分享Metasploit Framework 牛牛文库文档分享Metasploit Framework 牛牛文库文档分享Metasploit Framework 牛牛文库文档分享