• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

手把手教你 企业服务器安全性能测试

发布: 2008-6-02 10:10 | 作者: 网络转载 | 来源: 测试时代编辑整理 | 查看: 230次 | 进入软件测试论坛讨论

领测软件测试网  对于企业而言,服务器的重要性是不言而喻的。因此管理员们往往以维持服务器的稳定、高效地运行作为自己的工作目标,但是对于服务器的安全性往往考虑得较少,至少对于某些管理员是这样的。

    最近笔者进行了两例服务器的安全测试,下面把这两例测试过程写下来,希望对大家有所启示。

  测试工具:

  1.S扫描器(一种速度极快的多线程命令行下的扫描工具)

  2.SQL登陆器

  3.DNS溢出工具

  4.cmd(微软命令行工具)

  4.scansql.exe(SQL弱口令扫描工具)

  一、SQL Server弱口令测试

  1.缘由:

  SQL Server是很多中小型企业、事业单位的首选数据库系统,由于一些管理员的疏忽或者安全意识淡薄,总是以数据库默认的用户SA登录数据库,并且采用了默认的空密码或者设置了若口令。

  2.测试:

  以笔者本机IP为中心,随机选取了一个IP段进行测试。

  第一步:在命令提示符下运行s扫描器,输入一个IP段:

  s syn 61.178.*.1 61.178.*.254 1433 扫描到13个开了1433端口的服务器。(图1)

    第二步:把扫描结果保存为一个文本文件,然后用scansql.exe工具对这些IP进行若口令检测,检测到2个弱口令的IP。然后打开SQL连接器,输入其中一个若口令I,账户"sa“空密码连接成功如图2。然后敲命令”dir c:“,可以执行,如图3。这样就等于获得了一个具有system权限的shell(比管理员权限还高!),至此这台数据库服务器沦陷。(图2)(图3)

    总结:虽然从上面这个IP段得到的存在SQL弱口令的服务器并不多,但如果存在弱口令并且被攻击者者利用,那对数据库服务器的打击将是毁灭性的,管理员们一定要加固数据库的口令。

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/

TAG: 服务器 企业 手把手 性能测试


关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网