一些難懂的專業描述的實際含義:
- 未提供鑒別信息復雜度校驗功能(即密碼強度顯示功能)。
- 未提供登錄失敗處理功能(即登陸失敗指定次數之后鎖定一段時間用戶的功能)。
- 未采用密碼技術保證通信過程中數據的完整性(即需要使用SSL,亦即至少登陸使用https鏈接)。
- 在通信雙方建立連接之前,未利用密碼技術進行會話初始化驗證(同上,使用SSL)。
- 未對通信過程中的敏感信息字段進行加密(同上,使用SSL)。
- 未采取措施對鑒別信息和重要業務數據在傳輸過程中完整性受到的破壞進行檢測(同上,使用SSL)。
- 應用系統未提供自動保護功能(文件斷點續傳)。
- 未采用加密或其他保護措施實現鑒別信息的存儲保密性(密碼加密存儲)。
- 存在跨站腳本高風險漏洞(Cross Site Scripting,主要指直接將數據顯示在頁面中,未使用HtmlEncode處理顯示的文本)。
我們的測評問題中暴露的一些值得大家注意的問題(括號中為我的補充說明):
- 數據庫服務器操作系統未重命名administrator帳號,SQL Server數據庫未重命名sa帳號(不要使用sa)。
- WEB服務器和數據庫服務器操作系統帳戶口令長度小於8位,均未設置口令強度策略,帳戶勾選了密碼永不過期屬性。
- 服務器操作系統和SQL Server數據庫未設置用戶權限表,未依據安全策略控制用戶對資源的訪問。
- 數據庫服務器操作系統僅開啟對登錄事件、帳戶登錄事件成功的審計;SQL Server數據庫僅對失敗的登錄進行審計,未啟用c2審核跟蹤。
- WEB服務器和數據庫服務器開啟了Remote Registry服務,數據庫服務器補丁未更新至最新,未采取措施保持系統補丁得到及時更新。
- 未限制單個用戶對服務器和數據庫系統資源的最大或最小使用限度。
- 數據庫服務器未安裝防病毒軟件。WEB服務器安裝360殺毒軟件,不支持防惡意代碼的統一管理。
- 操作系統和數據庫系統存在補丁未更新等高風險漏洞。
- 操作系統管理員與SQL Server數據庫管理員不為同一人,但SQL Server數據庫直接使用Windows身份驗證,以administrator登錄,不輸入口令即可登錄,未實現操作系統和數據庫系統特權用戶的權限分離(禁用BUILTIN用戶即可)。
- 未對上傳文件大小、上傳文件格式提出要求,可上傳exe等格式的文件(文件上傳模塊設計漏洞,比較好的解決方法是使用上傳控件)。
- 應用系統存在URL旁路情況,低權限用戶登錄后,可通過輸入高權限用戶才可訪問的網址訪問相關內容(權限設計的漏洞,補救方法可以考慮使用實現IHttpModule接口的類來統一處理)。
- 已對重要信息進行備份,但未做過數據恢復性測試。