解决办法：

加强帐号/口令策略安全配置，增强当前服务器用户口令强度，并加强对特权用户远程登录的控制和管理，使用SSH加密方式对服务器进行远程管理，以防用户/口令信息泄露。

员工密码安全意识薄弱，可以对员工进行安全培训

5.      目标系统管理员访问控制存在安全隐患

解决办法：

管理员（内部员工）访问目标系统应设定严格的访问控制措施，如基于IP地址，MAC，只允许管理员（内部员工）在设定的IP地址对系统进行操作，避免因管理员（内部员工）帐户/密码泄漏给系统带来的威胁。

3.1电信和网络安全

6.      防火墙没有启用足够的抗攻击等防护功能

解决办法：

启用防火墙必要的抗攻击功能。

1、可在根据日志审计的统计数据辅助设置开启抗攻击功能的阀值,FW上每个访问控制规则的日志也要接入，但防火墙抗网络攻击的能力和范围有限。

2.或者在防火墙前面架设电信级IPS，可抵御大部分网络攻击和拒绝服务攻击

3.2安全管理与实践

7.      部分设备还没有开启日志审计功能，使得潜在的攻击事件不具备追溯性

解决办法：

尽快部署专业日志审计服务器实现对设备日志的收集、存放和审计。

8.      互联网区没有划分安全域

解决办法：

启用核心交换机第三层功能，根据业务需求划分VLAN，并在VLAN之间实施适当的访问控制。

1. 在交换机上根据业务类型或者功能划分VLAN，可缓解业务高峰时的网络风暴的威胁，但须事先做好路由规划

2. 在各个安全域边界架设网络防火墙来防止因单一安全区域的蠕虫木马的扩散。

3. 在交换机上启用IP策略设定和禁止内部访问外部陌生地址.

3.3应用和系统开发安全

9.      操作系统没有关闭默认启动的冗余服务

解决办法：

根据业务需要，只开启必须的服务，关闭冗余的服务。避免冗余服务所带来的安全隐患

10.              数据库监听器配置

解决办法：

修改监听器配置，为监听器配置口令，这样对监听器进行操作时必须先输入口令进行认证；修改监听器配置参数，将“ADMIN_RESTRICTIONS”设为“ON”，这样在监听器运行时将禁止通过命令对监听器进行任何修改，必须手动修改监听器配置文件listener.ora才可以对监听器配置进行修改。

11.              数据库当前没有启用审计

解决办法：

启用数据库的审计功能或者部署专业的数据库审计系统对数据库系统管理、安全管理、数据维护、用户登录等事件进行审计，并由专人负责数据库的审计管理。

为了避免数据库开启监听功能后带来的性能问题，可以部署数据库安全审计设备。

12.              管理服务器存在高风险漏洞

解决办法

对用于集中对应用服务器和数据库服务器进行远程管理的PC服务器安装最新的安全补丁。

1.       在网络中架设补丁分发管理系统

2.       在网络中架设漏洞扫描器，可及时了解网络中的设备的漏洞情况

3.       对麦咖啡企业级防火软件设定管理密码，防止他人更改安全设置

13.              目标系统登录密码安全策略控制不严

解决办法

此次目标系统中应提高密码复杂度的要求，对用户密码进行检查，以提高用户密码的安全级别，如必须是数字和字母的组合等；定义可尝试输入密码的次数和对尝试输入密码采取相应安全策略，如连续输入3次错误密码，将锁定用户一小时等，防止恶意人员对用户的密码暴力破解。

14.              目标WEB系统异常输入检验机制存在缺陷

解决办法

根据实际情况对输入参数进行严格检查，包括输入字符的长度、类型，并对一些特殊字符进行过滤。在WEB服务器前面架设WEB应用防火墙可以定义非法字符的过滤策略。

15.              交换机使用默认的SNMP连接串

解决办法

设置一个具备一定复杂度的SNMP连接串。

1.       在交换机上修改。命令参考：

Router(config)#snmp-server community public/private RO

2.  在网络中架设漏洞扫描器可以检测出该漏洞

3.4加密

16.              目标系统的通信未采取加密措施

解决办法

对目标WEB数据传输进行加密，如采用https方式。更高安全级别考虑，建议考虑使用SSL vpn或HTTPS解决方案。

 一.    目标系统安全加固解决办法总结

渗透测试发现的问题中，大多数是可以通过对现有的网络设备、安全设备、WEB数据库、WEB服务器、中间件等进行配置优化调节来解决的。但是仍然有几个问题是目前无法通过现有网络资源解决的，我们总结了一下大概有以下三点：

         加密：可以对目标的数据传输进行加密

         应用与系统安全：目标WEB系统异常输入检验机制

         应用与系统安全：数据库安全审计

3.1       加密

目前解决目标数据传输进行加密有两种办法：

在WEB应用系统软件上面开启HTTPS传输功能。

HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。它的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议要比http协议安全。

但是我认为在WEB应用软件上面开启这项功能并不适用目标的员工办公系统以及为客户提供服务的系统。因为HTTPS服务器是需要对传输的数据加密和解压的，大规模的部署势必会严重影响WEB服务器的运行性能，最终导致服务器拒绝服务。

在WEB应用服务器前架设 SSL VPN加速器。

总结

古话说的好“堡垒最容易从内部突破”此次渗透案例正是诠释了这句话的