信息系統(tǒng)脆弱性評估報(bào)告
《信息系統(tǒng)脆弱性評估報(bào)告》由會員分享,可在線閱讀,更多相關(guān)《信息系統(tǒng)脆弱性評估報(bào)告(78頁珍藏版)》請?jiān)谘b配圖網(wǎng)上搜索。
密 級: 內(nèi)部 文檔編號: 2007002目編號 : 2007002 息 系統(tǒng) 脆弱性 評估報(bào)告 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 1 頁 共 79 頁 目 錄 1 概述 .......................................................................................................... 3 2 風(fēng)險值分布 ................................................................................................ 4 機(jī)資產(chǎn) ................................................................................................................... 4 具評估分析布情況 ............................................................................................. 4 工評估 ............................................................................................................. 39 透測試 ............................................................................................................. 64 理評估 ............................................................................................................. 65 機(jī)資產(chǎn)最終風(fēng)險值 ........................................................................................... 66 絡(luò)資產(chǎn) ................................................................................................................. 67 具評估 ............................................................................................................. 67 工評估 ............................................................................................................. 68 理 評估 ............................................................................................................. 70 絡(luò)設(shè)備最終風(fēng)險值 ........................................................................................... 70 全資產(chǎn) ................................................................................................................. 71 理評估 ............................................................................................................. 71 全資產(chǎn)最終風(fēng)險值 ........................................................................................... 71 儲資產(chǎn) ................................................................................................................. 72 理評估 ............................................................................................................. 72 儲資產(chǎn)最終風(fēng)險值 ........................................................................................... 73 據(jù)資產(chǎn) ................................................................................................................. 73 具評估 ............................................................................................................. 73 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 2 頁 共 79 頁 理評估 ............................................................................................................. 74 據(jù)資產(chǎn)最終風(fēng)險值 ........................................................................................... 75 障資產(chǎn) ................................................................................................................. 75 理評估 ............................................................................................................. 75 障資產(chǎn)最終風(fēng)險值 ........................................................................................... 76 路資產(chǎn) ................................................................................................................. 76 理評估 ............................................................................................................. 76 路資產(chǎn)最終風(fēng)險值 ........................................................................................... 77 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 3 頁 共 79 頁 1 概述 根據(jù)《 人民政府信息化工作辦公室關(guān)于印發(fā) 的通知》文件精神, 信息安全測評中心承擔(dān)了 地稅局?征管信息系統(tǒng)?的風(fēng)險評估工作。我中心以建立符合我省情況的風(fēng)險評估方法、積累風(fēng)險評估工作經(jīng)驗(yàn)、培養(yǎng)隊(duì)伍、協(xié)助 地稅局更深入地了解其信息系統(tǒng)安全現(xiàn)狀為目標(biāo) ,通過文檔分析、現(xiàn)場訪談、問卷調(diào)查、技術(shù)評估等方法,對地稅局?征管信息系統(tǒng)?進(jìn)行了全面的信息安全風(fēng)險評估。 脆弱性是資產(chǎn)本身存在的,如果沒有被相應(yīng)的威脅利用,單純的脆弱性本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健,嚴(yán)重的威脅也不會導(dǎo)致安全事件發(fā)生,并造成損失。即,威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。 資產(chǎn)的脆弱性具有隱蔽性,有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn),這是脆弱性識別中最為困難的部分。 不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施 的 安全措施本身就可能是一個 脆弱性 。 脆弱性識別是風(fēng)險評估中 最重要的一個環(huán)節(jié)。脆弱性識別可以以資產(chǎn)為核心, 針對每一項(xiàng)需要保護(hù)的資產(chǎn) ,識別可能被 威脅利用的 弱點(diǎn) ,并對脆弱性的嚴(yán)重程度進(jìn)行評估 ;也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識別,然后與資產(chǎn)、威脅對應(yīng)起來 。 脆弱性識別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn),也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。對應(yīng)用在不同環(huán)境中的相同的弱點(diǎn),其脆弱性嚴(yán)重程度是不同的,評估者應(yīng)從組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。 信息 系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。 脆弱性 識別 時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的 所 有 者 、 使用者 ,以及 相關(guān)業(yè)務(wù)領(lǐng)域 和軟硬件方面的專業(yè)人員 等 。脆弱性 識別 所采用的方法主要 有 :問卷調(diào)查、工具 檢 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 4 頁 共 79 頁 測 、 人工核 查、文檔查 閱 、滲透 性 測試等。 通過對 地稅局信息系統(tǒng)的脆弱性分析,可更深入的了解本系統(tǒng)的薄弱環(huán)節(jié),為提高系統(tǒng)的安全性打下堅(jiān)實(shí)的基礎(chǔ)。 2 風(fēng)險值分布 根據(jù)國家風(fēng)險評估估計(jì),把 信息 資產(chǎn)分為硬件資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、文檔資產(chǎn)、人員資產(chǎn)。 結(jié)合資產(chǎn)相關(guān)性,我們風(fēng)險的分布劃分成: 1、 主機(jī)資產(chǎn)(主機(jī) +系統(tǒng)軟件 +應(yīng)用軟件) 2、 網(wǎng)絡(luò)資產(chǎn)(網(wǎng)絡(luò)設(shè)備) 3、 安全資產(chǎn)(安全設(shè)備 +安全軟件) 4、 存儲資產(chǎn) 5、 數(shù)據(jù)資產(chǎn) 6、 保障資產(chǎn) 機(jī)資產(chǎn) 具評估分析布情況 ? 洞名稱 風(fēng)險級別 漏洞概要 5 相關(guān)端口 備注 000 程緩沖區(qū)溢出漏洞 4 000 程緩沖區(qū)溢出 80 誤報(bào) 紅色代碼 X 版本檢測 80 誤報(bào) 務(wù)支持 法 3 擊 80 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 5 頁 共 79 頁 應(yīng)用 選器 3 測試 慮器。 80 檢測 否開啟 3 檢查是否安裝了 80 路由跟蹤測試 1 務(wù)器類型和版本 1 服務(wù)器類型和版本 80 柄枚舉 1 檢測 版本。 80 務(wù)器目錄掃描 1 目錄掃描器 80 風(fēng)險級別 漏洞個數(shù) 5 0 4 0 3 3 2 0 1 4 ? 洞名稱 風(fēng)險級別 漏洞概要 5 相關(guān)端口 備注 式串 4 of a 對 32771 誤報(bào) 據(jù)庫服 4 2769 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 6 頁 共 79 頁 務(wù)器 a 查 務(wù)是否存在。 處理遠(yuǎn)程溢出漏洞 4 檢測 本 5 25 錄溢出 4 檢測 版本號 25 項(xiàng) 4 檢測版本號 25 誤報(bào) 程頭緩沖溢出 4 檢查版本 25 務(wù)檢查 4 檢查是否運(yùn)行了某項(xiàng)務(wù) 32774 務(wù)檢測 4 檢查是否運(yùn)行了某項(xiàng)務(wù) 32769 由于類型轉(zhuǎn)化引起沖區(qū)溢出 4 由于類型轉(zhuǎn)化引起沖區(qū)溢出 25 X 顯示管理控制協(xié)議 3 檢測 否啟用 議 177 到 管道通過確認(rèn)的漏洞 3 檢查 版本號 25 件擴(kuò)展 (敗遠(yuǎn)程堆溢出漏洞 3 檢查你的 s 是否容易受到全局的堆碰撞漏洞的攻擊。 21 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 7 頁 共 79 頁 查 3 檢查是否運(yùn)行了 512 務(wù)檢測 3 檢查是否運(yùn)行了某項(xiàng)務(wù) 32771 理的默認(rèn)通訊名稱 2 理的默認(rèn)通訊名稱 161 查 2 of 查是否使用了 務(wù) 13 繼 2 if be as a 查遠(yuǎn)程 務(wù)器是否可被作為 繼使用 25 務(wù)檢測 2 of a of a 查是否運(yùn)行了某項(xiàng) 務(wù) 32769 務(wù)檢測 2 of a of a 查是否運(yùn)行了32770 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 8 頁 共 79 頁 某項(xiàng) 務(wù) 務(wù)檢查 2 of a 查是否運(yùn)行了某項(xiàng) 務(wù) 32777 令 2 查 25 定向檢查 2 定向檢查 25 檢 測 401 試模式弱點(diǎn) 2 檢測? 項(xiàng) 25 出 2 檢測當(dāng)前的 務(wù) 32770 口開放 2 檢查? 口是否開放 7 查 2 檢查是否運(yùn)行了 務(wù) 513 務(wù)漏洞 2 檢查是否運(yùn)行了 務(wù) 514 務(wù)檢查 2 檢查是否運(yùn)行了 23 務(wù)檢測 2 檢查是否運(yùn)行了某項(xiàng)務(wù) 32772 通過 取操作系 2 經(jīng)由 舉操作系 161 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 9 頁 共 79 頁 統(tǒng)類型 統(tǒng) 通過 2 通過 23 DE 1 if is 定是否運(yùn)行了6112 獲取 用列表 1 11 獲取 用列表 1 2769 獲取 用列表 1 2770 獲取 用列表 1 2771 獲取 用列表 1 2772 獲取 用列表 1 2773 獲取 用列表 1 2774 獲取 用列表 1 2777 獲取 用列表 1 2782 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 10 頁 共 79 頁 取 用列表 1 2802 獲取 用列表 1 3577 獲取 用列表 1 9492 獲取 用列表 1 9835 獲取 用列表 1 2188 獲取 用列表 1 4846 獲取 用列表 1 5928 獲取 用列表 1 6076 獲取 用列表 1 6950 獲取 用列表 1 7008 獲取 用列表 1 7470 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 11 頁 共 79 頁 獲取 用列表 1 9097 獲取 用列表 1 9196 獲取 用列表 1 1608 獲取 用列表 1 1647 獲取 用列表 1 2449 獲取 用列表 1 3397 獲取 用列表 1 4153 獲取 用列表 1 4159 獲取 用列表 1 92 獲取 用列表 1 93 獲取 用列表 1 82 獲取 用列表 1 83 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 12 頁 共 79 頁 務(wù)器旗幟 5 泄漏 1 務(wù)器的類型和版本 21 務(wù)正在運(yùn)行 1 of 111 1 務(wù)器的類型和版本 25 路由跟蹤測試 1 操作系統(tǒng)識別 1 檢測遠(yuǎn)程操作系統(tǒng)版本 0 務(wù)檢測 1 檢查是否運(yùn)行了某項(xiàng)務(wù) 692 本查詢 1 與端口 1541 或 1521 聯(lián)接 , 發(fā)布一個 本命令 1521 間戳請求 1 執(zhí)行 間戳請求 0 風(fēng)險級別 漏洞個數(shù) 5 0 4 7 3 5 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 13 頁 共 79 頁 2 20 1 46 ? 洞名稱 風(fēng)險級別 漏洞概要 5 相關(guān)端口 備注 式串 4 of a 對 32771 誤報(bào) 據(jù)庫服務(wù)器 4 of a 查 務(wù)是否存在。 32769 處理遠(yuǎn)程溢出漏洞 4 檢測 本 5 25 錄溢出 4 檢測 版本號 25 項(xiàng) 4 檢測版本號 25 誤報(bào) 程頭緩沖溢出 4 檢查版本 25 務(wù)檢查 4 檢查是否運(yùn)行了某項(xiàng)務(wù) 32774 務(wù)檢測 4 檢查是否運(yùn)行了某項(xiàng)務(wù) 32769 由于類型轉(zhuǎn)化引起沖區(qū)溢出 4 由于類型轉(zhuǎn)化引起沖區(qū)溢出 25 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 14 頁 共 79 頁 X 顯示管理控制協(xié)議 3 檢測 否啟用 議 177 到 3 檢查 版本號 25 件擴(kuò)展 (敗遠(yuǎn)程堆溢出漏洞 3 檢查你的 s 是否容易受到全局的堆碰撞漏洞的攻擊。 21 查 3 檢查是否運(yùn)行了 512 務(wù)檢測 3 檢查是否運(yùn)行了某項(xiàng)務(wù) 32771 理的默認(rèn)通訊名稱 2 理的默認(rèn)通訊名稱 161 查 2 of 查是否使用了 務(wù) 13 繼 2 if be as a 查遠(yuǎn)程 務(wù)器是否可被作為 繼使用 25 務(wù)檢測 2 2769 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 15 頁 共 79 頁 a of a 查是否運(yùn)行了某項(xiàng) 務(wù) 務(wù)檢測 2 of a of a 查是否運(yùn)行了某項(xiàng) 務(wù) 32770 務(wù)檢查 2 of a 查是否運(yùn) 行了某項(xiàng) 務(wù) 32777 令 2 查 25 定向檢查 2 定向檢查 25 檢測 401 試模式弱點(diǎn) 2 檢測? 項(xiàng) 25 出 2 檢測當(dāng)前的 務(wù) 32770 口開放 2 檢查? 口是否開放 7 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 16 頁 共 79 頁 查 2 檢查是否運(yùn)行了 務(wù) 513 務(wù)漏洞 2 檢查是否運(yùn)行了 務(wù) 514 務(wù)檢查 2 檢查是否運(yùn)行了 23 務(wù)檢測 2 檢查是否運(yùn)行了某項(xiàng)務(wù) 32772 通過 取操作系統(tǒng)類型 2 經(jīng)由 舉操作系統(tǒng) 161 通過 2 通過 23 DE 1 if is 定是否運(yùn)行了6112 獲取 用列表 1 11 獲取 用列表 1 2769 獲取 用列表 1 2770 獲取 用列表 1 2771 獲取 用列表 1 2772 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 17 頁 共 79 頁 取 用列表 1 2773 獲取 用列表 1 2774 獲取 用列表 1 2777 獲取 用列表 1 2778 獲取 用列表 1 3449 獲取 用列表 1 3297 獲取 用列表 1 7624 獲取 用列表 1 7734 獲取 用列表 1 0365 獲取 用列表 1 0425 獲取 用列表 1 0462 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 18 頁 共 79 頁 獲取 用列表 1 2711 獲取 用列表 1 8883 獲取 用列表 1 8933 獲取 用列表 1 51 獲取 用列表 1 52 獲取 用列表 1 92 獲取 用列表 1 93 務(wù)器旗幟 5 泄漏 1 務(wù)器的類型和版本 21 務(wù)正在運(yùn)行 1 of 111 類型和版本 1 務(wù)器的類型和版本 25 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 19 頁 共 79 頁 路由跟蹤測試 1 操作系統(tǒng)識別 1 檢測遠(yuǎn)程操作系統(tǒng)版本 0 務(wù)檢測 1 檢查是否運(yùn)行了某項(xiàng)務(wù) 692 本查詢 1 與端口 1541 或 1521 聯(lián)接 , 發(fā)布一個 本命令 1521 間戳請求 1 執(zhí)行 間戳請求 0 風(fēng)險級別 漏洞個數(shù) 5 0 4 10 3 5 2 20 1 37 ? 洞名稱 風(fēng)險級別 漏洞概要信息 相關(guān)端口 備注 000 程緩沖區(qū)溢出漏洞 4 000 程緩沖區(qū)溢出 80 誤報(bào) 務(wù)支持 法 3 擊 80 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 20 頁 共 79 頁 測 3 查 5900 應(yīng)用 選器 3 測試 慮器。 80 享資源列表 3 獲得遠(yuǎn)程共享資源列表 445 認(rèn)證機(jī)制的漏洞 3 檢測 否存在 5800 檢測 否開啟 3 檢查是否安裝了 80 端服務(wù)啟用 3 連接遠(yuǎn)程終端服務(wù)器 3389 本地用戶信息:密碼從不過期 3 列出從未登陸的當(dāng)?shù)赜脩? 445 本地用戶信息:從未登陸過的用戶 3 列出從未使用過的當(dāng)?shù)赜脩? 445 本地用戶信息:從未改變密碼 3 列出那些擁有特殊權(quán)限的當(dāng)?shù)赜脩? 445 用主機(jī) 出當(dāng)?shù)赜脩裘? 3 列出用戶名 445 陸測試 (通用弱口令檢查 ) 3 試圖登陸遠(yuǎn)程主機(jī) 445 舉服務(wù) (通過2 of 45 源路由包漏洞 2 發(fā)送松散源路由 探測 0 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 21 頁 共 79 頁 地局域網(wǎng)管理器信息 2 獲取遠(yuǎn)程網(wǎng)絡(luò)管理員的用戶名 445 本地用戶信息:帳戶被禁用 2 列出擁有特殊權(quán)限的當(dāng)?shù)赜脩? 445 冊表訪問 2 確定遠(yuǎn)程注冊表是否可訪問 445 路由 跟蹤測試 1 務(wù)器類型和版本 1 服務(wù)器類型和版本 80 得主機(jī)安全標(biāo)識( 1 獲得域的 45 柄枚舉 1 檢測 版本。 80 操作系統(tǒng)識別 1 檢測遠(yuǎn)程操作系統(tǒng)版本 0 全類型探測 1 檢查 全類型 5900 檢測 務(wù)是否正在運(yùn)行 1 檢查公開的端口 445 檢測 務(wù)是否正在運(yùn)行 1 檢查公開的端口 445 445 獲取密碼策略 1 檢查遠(yuǎn)程主機(jī)密碼策略 445 務(wù)器目錄掃描 1 目錄掃描器 80 使用 取主機(jī)信息 1 使用 主機(jī)獲取信息 137 間戳請求 1 執(zhí)行 間戳請求 0 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 22 頁 共 79 頁 風(fēng)險級別 漏洞個數(shù) 5 0 4 0 3 12 2 5 1 12 ? 洞名稱 風(fēng)險級別 漏洞概要信息 相關(guān)端口 備注 000 程緩沖區(qū)溢出漏洞 4 000 程緩沖區(qū)溢出 80 誤報(bào) 務(wù)支持 法 3 擊 80 應(yīng)用 選器 3 測試 慮器。 80 享資源列表 3 獲得遠(yuǎn)程共享資源列表 445 檢測 否開啟 3 檢查是否安裝了 80 端服務(wù)啟用 3 連接遠(yuǎn)程終端服務(wù)器 3389 本地用戶信息:密碼從不過期 3 列出從未登陸的當(dāng)?shù)赜脩? 445 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 23 頁 共 79 頁 本地用戶信息:從未登陸過的用戶 3 列出從未使用過的當(dāng)?shù)赜脩? 445 本地用戶信息:從未改變密碼 3 列出那些擁有特殊權(quán)限的當(dāng)?shù)赜脩? 445 用主機(jī) 出當(dāng)?shù)赜脩裘? 3 列出用戶名 445 陸測試 (通用弱口令檢查 ) 3 試圖登陸遠(yuǎn)程主機(jī) 445 源路由包漏洞 2 發(fā)送松散源路由 探測 0 地局域網(wǎng)管理器信息 2 獲取遠(yuǎn)程網(wǎng)絡(luò)管理員的用戶名 445 本地用戶信息:帳戶被禁用 2 列出擁有特殊權(quán)限的當(dāng)?shù)赜脩? 445 冊表訪問 2 確定遠(yuǎn)程注冊表 是否可訪問 445 路由跟蹤測試 1 務(wù)器類型和版本 1 服務(wù)器類型和版本 80 得主機(jī)安全標(biāo)識( 1 獲得域的 45 柄枚舉 1 檢測 版本。 80 操作系統(tǒng)識別 1 檢測遠(yuǎn)程操作系統(tǒng)版本 0 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 24 頁 共 79 頁 檢測 務(wù)是否正在運(yùn)行 1 檢查公開的端口 445 檢測 務(wù)是否正在運(yùn)行 1 檢查公開的端口 445 445 獲取密碼策略 1 檢查遠(yuǎn)程主機(jī)密碼策略 445 使用 取主機(jī)信息 1 使用 主機(jī)獲取信息 137 間戳請求 1 執(zhí)行 間戳請求 0 風(fēng)險級別 漏洞個數(shù) 緊急風(fēng)險 0 高風(fēng)險 0 中風(fēng)險 10 低風(fēng)險 4 信息風(fēng)險 10 ? 洞名稱 風(fēng)險級別 漏洞概要信息 相關(guān)端口 備注 000 程緩沖區(qū)溢出漏洞 4 000 程緩沖區(qū)溢出 80 誤報(bào) 務(wù)支持 法 3 擊 80 應(yīng)用 選 3 測試 慮 80 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 25 頁 共 79 頁 器 器。 享資源列表 3 獲得遠(yuǎn)程共享資源列表 445 檢測 否開啟 3 檢查是否安裝了 80 端服務(wù)啟用 3 連接遠(yuǎn)程終端服務(wù)器 3389 本地用戶信息:密碼從不過期 3 列出從未登陸的當(dāng)?shù)赜脩? 445 本地用戶信息:從未登陸過的用戶 3 列出從未使用 過的當(dāng)?shù)赜脩? 445 本地用戶信息:從未改變密碼 3 列出那些擁有特殊權(quán)限的當(dāng)?shù)赜脩? 445 用主機(jī) 出當(dāng)?shù)赜脩裘? 3 列出用戶名 445 陸測試 (通用弱口令檢查 ) 3 試圖登陸遠(yuǎn)程主機(jī) 445 源路由包漏洞 2 發(fā)送松散源路由 探測 0 地局域網(wǎng)管理器信息 2 獲取遠(yuǎn)程網(wǎng)絡(luò)管理員的用戶名 445 本地用戶信息:帳戶被禁用 2 列出擁有特殊權(quán)限的當(dāng)?shù)赜脩? 445 冊表訪問 2 確定遠(yuǎn)程注冊表是否可訪問 445 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 26 頁 共 79 頁 路由跟蹤測試 1 務(wù)器類型和版本 1 服務(wù)器類型和版本 80 得主機(jī)安全標(biāo)識( 1 獲得域的 45 柄枚舉 1 檢測 版本。 80 操作系統(tǒng)識別 1 檢測遠(yuǎn)程操作系統(tǒng)版本 0 檢測 務(wù)是否正在運(yùn)行 1 檢查公開的端口 445 檢測 務(wù)是否正在運(yùn)行 1 檢查公開的端口 445 445 獲取密碼策略 1 檢查遠(yuǎn)程主機(jī)密碼策略 445 使用 取主機(jī)信息 1 使 用 主機(jī)獲取信息 137 間戳請求 1 執(zhí)行 間戳請求 0 風(fēng)險級別 漏洞個數(shù) 5 0 4 0 3 10 2 4 1 10 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 27 頁 共 79 頁 ? 洞名稱 風(fēng)險級別 漏洞概要信息 相關(guān)端口 備注 000 程緩沖區(qū)溢出漏洞 4 000 程緩沖區(qū)溢出 80 誤報(bào) 紅色代碼 X 版本檢測 80 誤報(bào) 務(wù)支持 法 3 擊 80 享資源列表 3 獲得遠(yuǎn)程共享資源列表 445 檢測 否開啟 3 檢查是否安裝了 80 端服務(wù)啟用 3 連接遠(yuǎn)程終端服務(wù)器 3389 本地用戶信息:密碼從不過期 3 列出從未登陸的當(dāng)?shù)赜脩? 445 本地用戶信息:從未登陸過的用戶 3 列出從未使用過的當(dāng)?shù)赜脩? 445 本地用戶信息:從未改變密碼 3 列出那些擁有特殊權(quán)限的當(dāng)?shù)赜脩? 445 用主機(jī) 出當(dāng)?shù)赜脩裘? 3 列出用戶名 445 陸測試 (通用弱口令檢查 ) 3 試圖登陸遠(yuǎn)程主機(jī) 445 源路由包漏洞 2 發(fā)送松散源路由 探 0 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 28 頁 共 79 頁 測 地局域網(wǎng)管理器信息 2 獲取遠(yuǎn)程網(wǎng)絡(luò)管理員的用戶名 445 本地用戶信息:帳戶被禁用 2 列出擁有特殊權(quán)限的當(dāng)?shù)赜脩? 445 冊表訪問 2 確定遠(yuǎn)程注冊表是否可訪問 445 路由跟蹤測試 1 務(wù)器類型和版本 1 服務(wù)器類型和版本 80 得主機(jī)安全標(biāo)識( 1 獲得域 的 45 柄枚舉 1 檢測 版本。 80 操作系統(tǒng)識別 1 檢測遠(yuǎn)程操作系統(tǒng)版本 0 檢測 務(wù)是否正在運(yùn)行 1 檢查公開的端口 445 檢測 務(wù)是否正在運(yùn)行 1 檢查公開的端口 445 445 獲取密碼策略 1 檢查遠(yuǎn)程主機(jī)密碼策略 445 務(wù)器目錄掃描 1 目錄掃描器 80 使用 取主機(jī)信息 1 使用 主機(jī)獲取信息 137 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 29 頁 共 79 頁 風(fēng)險級別 漏洞個數(shù) 5 0 4 0 3 9 2 4 1 10 ? 洞名稱 風(fēng)險級別 漏洞概要信息 相關(guān)端口 備注 享資源列表 3 獲得遠(yuǎn)程共享資源列表 445 許空庫查詢 3 檢查 389 務(wù)設(shè)置 3 檢查 389 端服務(wù)啟用 3 連接遠(yuǎn)程終端服務(wù)器 3389 用主機(jī) 出當(dāng)?shù)赜脩裘? 3 列 出用戶名 445 利用 錄服務(wù)信息 3 使用 錄服務(wù)信息。 389 陸測試 (通用弱口令檢查 ) 3 試圖登陸遠(yuǎn)程主機(jī) 445 變量 2 許詢問變量 123 源路由包漏洞 2 發(fā)送松散源路由 探測 0 通過 域網(wǎng)管理器 2 獲得遠(yuǎn)程主機(jī)列表 445 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 30 頁 共 79 頁 獲取瀏覽列表 地局域網(wǎng)管理器信息 2 獲取遠(yuǎn)程網(wǎng)絡(luò)管理員的用戶名 445 務(wù)器探測 2 檢測 務(wù) 53 務(wù)列舉 2 列舉 遠(yuǎn)程的 務(wù) 1026 務(wù)列舉 2 列舉遠(yuǎn)程的 務(wù) 1028 務(wù)列舉 2 列舉遠(yuǎn)程的 務(wù) 1126 務(wù)列舉 2 列舉遠(yuǎn)程的 務(wù) 1132 務(wù)列舉 2 列舉遠(yuǎn)程的 務(wù) 1162 務(wù)列舉 2 列舉遠(yuǎn)程的 務(wù) 1324 務(wù)列舉 2 列舉遠(yuǎn)程的 務(wù) 135 務(wù)列舉 2 列舉遠(yuǎn)程的 務(wù) 1426 務(wù)列舉 2 列舉遠(yuǎn)程的 務(wù) 1446 務(wù)列舉 2 列舉遠(yuǎn)程的 務(wù) 1593 務(wù)列舉 2 列舉遠(yuǎn)程的 務(wù) 445 冊表訪問 2 確定遠(yuǎn)程注冊表是否可訪問 445 路由跟蹤測試 1 得主機(jī)安全標(biāo)識( 1 獲得域的 45 操作系統(tǒng)識別 1 檢測遠(yuǎn)程操作系統(tǒng)版本 0 檢測 務(wù)是否正在運(yùn)行 1 檢查公開的端口 445 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 31 頁 共 79 頁 檢測 務(wù)是否正在運(yùn)行 1 檢查公開的端口 445 445 使用 取主機(jī)信息 1 使用 主機(jī)獲取信息 137 間戳請求 1 執(zhí)行 間戳請求 0 風(fēng)險級別 漏洞個數(shù) 5 0 4 0 3 7 2 18 1 7 ? 洞名稱 風(fēng)險級別 漏洞概要信息 相關(guān)端口 備注 享資源列表 3 獲得遠(yuǎn)程共享資源列表 445 許空庫查詢 3 檢查 389 務(wù)設(shè)置 3 檢查 389 端服務(wù)啟用 3 連接遠(yuǎn)程終端服務(wù)器 3389 用主機(jī) 出當(dāng)?shù)赜脩裘? 3 列出用戶名 445 利用 錄服務(wù)信息 3 使用 錄服務(wù)信息。 389 地稅局信息系統(tǒng)脆弱性評估報(bào)告 第 32 頁 共 79 頁 變量 2 許詢問變量 123 源路由包漏洞 2 發(fā)送松散源路由 探測 0 通過 域網(wǎng)管理器獲取瀏覽列表 2 獲得遠(yuǎn)程主機(jī)列表 445 地局域網(wǎng)管理器信息 2 獲取遠(yuǎn)程網(wǎng)絡(luò)管理員的用戶名 445 務(wù)器探測 2 檢測 務(wù) 53 務(wù)列舉 2 列舉遠(yuǎn)程的 務(wù) 1026 務(wù)列舉 2 列舉遠(yuǎn)程的 務(wù) 1028 務(wù)列舉 2 列舉遠(yuǎn)程的 務(wù) 1058 務(wù)列舉 2 列- 1.請仔細(xì)閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
6 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 信息系統(tǒng) 脆弱 評估 報(bào)告
鏈接地址:http://m.szxfmmzy.com/p-59671.html