阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。 [说明] 图3—1是某互联网服务企业网络拓扑,该企业主要对外提供网站消息发布、在线销售管理服务,Web网站和在线销售管理服务系统采用JavaEE开发,中间件使用Weblogic,采用访问控制、

admin2017-11-28  51

问题 阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
[说明]
图3—1是某互联网服务企业网络拓扑,该企业主要对外提供网站消息发布、在线销售管理服务,Web网站和在线销售管理服务系统采用JavaEE开发,中间件使用Weblogic,采用访问控制、NAT地址转换、异常流量检测、非法访问阻断等网络安全措施。

[问题4]
该企业网络管理员收到某知名漏洞平台转发在线销售管理服务系统的漏洞报告,报告内容包括:
1.利用Java反序列化漏洞,可以上传jsp文件到服务器。
2.可以获取到数据库链接信息。
3.可以链接数据库,查看系统表和用户表,获取到系统管理员登录账号和密码信息,其中登录密码为明文存储。
4.使用系统管理员帐号登录销售管理服务系统后,可以操作系统的所有功能模块。
针对上述存在的多处安全漏洞,提出相应的改进措施。

选项

答案1.升级该漏洞的补丁 2.数据库链接信息加密保存 3.销售服务系统链接数据库的用户取消查询系统表的权限 4.用户密码信息加密保存 5.系统管理员权限过大,优化用户权限 6.过滤Wleblogic T3协议

解析 本题考查是否具有网络安全管理和解决问题的实际经验,熟悉常用网络安全设备的部署、功能等相关知识。此类题目要求考生对题目给出的网络拓扑结构和漏洞报告进行分析,按照要求回答相关问题。
[问题1]
防火墙一般作为网络边界防护设备,部署在网络的总出口处,本例中应部署在安全设备1的位置;入侵检测系统一般作为旁路部署,进行网络行为检测分析,本例中应部署在安全设备2的位置;入侵防御系统一般部署在业务服务器区域或者重要业务系统的网络出口处,主要进行应用层的安全防护,实时阻断网络攻击,本例中应部署在安全设备3的位置。
[问题2]
根据安全设备的主要功能和防范能力,结合问题2中给出的防范措施,防火墙主要可部署的有访问控制、NAT(网络地址转换)、DDoS攻击检测和阻止;IDS主要可部署的有包检测分析;IPS主要可部署的有异常流量阻断、Web应用防护。剩余的其他防范措施中,上文行为审计一般部署在上网行为管理系统上,数据库审计一般部署在安全审计系统上,服务器负载均衡一般部署在负载均衡系统上,漏洞扫描一般部署在漏洞扫描系统上。本题中,只列出防火墙、IDS、IPS的主要功能,并不是该类设备的全部功能,考生需要注意。
[问题3]
入侵防御系统一般串接在网络中,通过匹配特征库,对入侵活动和攻击性网络流量进行拦截,容易造成单点故障,会影响网络性能,特征库也需要及时更新,同时也存在一定的漏报率和误报率。
[问题4]
1.“利用Java反序列化漏洞,可以上传jsp文件到服务器。”针对该漏洞,应更新java类包,修补漏洞。另外,本例中中间件采用weblogic,而weblogic是通过T3协议来传输序列化的类,并且T3协议和Web协议共用同一个端口,利用Java反序列化漏洞,通过T3协议,很容易实现文件的上传,可以借助负载均衡等设备,只转发http协议,过滤T3协议,实现漏洞的封堵。
2.“可以获取到数据库链接信息。”针对该漏洞,应该加密数据库链接信息,存储在隐蔽位置最好,也可以将数据库链接交由weblogic管理,因为weblogic对数据库链接信息实行加密存储。
3.“可以链接数据库,查看系统表和用户表,获取到系统管理员登录账号和密码信息,其中登录密码为明文存储。”针对该漏洞,应该调整数据库用户权限,取消业务用户访问数据库系统表的权限,同时,数据库中,登录账号、密码等敏感信息要加密存储。
4.“使用系统管理员帐号登录销售管理服务系统后,可以操作系统的所有功能模块。”该漏洞中,系统管理员的权限过大,应该将系统中的管理权限和业务权限分离,优化系统权限管理。
转载请注明原文地址:https://kaotiyun.com/show/d1QZ777K
0

最新回复(0)