1. 综述
企业暴露面收敛管理是需要通过"平台+人+流程"服务的方式,帮助企业发现、识别、监测在互联网上具备公网地址的资产,这些资产提供诸如WEB、FTP、EMAIL、数据库等互联网服务,包括:
基础信息:如IP地址、端口、服务名称和版本、操作系统类型和版本、应用框架类型和版本,
业务信息:业务系统归属、责任人、手机号、邮箱等信息。
风险信息:主机漏洞、WEB漏洞、基线检查、病毒、行为基线、弱口令等信息。
通过监控资产的变化情况,并提供直观的报表呈现,能够帮助企业有序、高效地管理互联网资产,为企业的正常发展和稳定运行提供有效的安全保障。
1.1 必要性分析
自身风险
随着企业数字资产的数量和种类迅速增加,互联网暴露面也随之扩大,这增加了资产管理的挑战以及资产安全隐患的风险。及时发现风险并采取措施对暴露的资产进行管控,可以有效地消除潜在隐患。
(1)不知道是否有资产已经被控制成为攻击源
(2)不知道托管了未备案网站或恶意网站
(3)不知道自己有多少资产暴露在公网和分布情况如何
(4)不知道内部人员私搭公网可访问服务器带来安全隐患
(5)不知道管理员私自开放不允许开放的高风险端口,造成安全隐患
合规要求
《网络安全法》、《个人信息保护法》、《数据安全法》以及《**行业管理办法》等推动各行业对信息基础设施的网络安全风险防控的重视程度空前。
HW行动、净网行动、禁止挖矿行为等国家活动,都是以实战方式检验企业安全成效,互联网暴露面作为“进不来”的首要环节,越少的暴露面大多数情况下也代表被攻破的可能性越低。
1.2 参考规范
《中华人民共和国网络安全法》
ISO/IEC 13335-1: 2004 信息技术-安全技术-信息技术安全管理指南
GB/T 20984-2007信息安全技术信息安全风险评估规范
GB/T 19715.1-2005 信息技术-信息技术安全管理指南
GB/T 19716-2005 信息技术-信息安全管理实用规则
1.3 保密协议
互联网暴露面资产核查服务的保密范围,包括实施过程的保密性和输出成果的保密性。对服务过程中获知的任何客户系统信息均属秘密信息,不得泄露给第三方单位或个人,不得利用这些信息进行任何侵害客户的行为;对服务的报告提交不得扩散给未经授权的第三方单位或个人。
2. 建设架构
互联网暴露面的收敛最简单的要数技术层面,难的是在管理层面如何构建一套管理制度,并且让全部的人都遵守并且执行,形成“常态化”、“实战化”的暴露面收敛。
确立管理手段,再辅以技术手段可实现事半功倍的效果,技术手段上主要选择速度快【资产扫描速度】、准确的高【特征库准确】,采取多种探测手段来进行发现,实战过程中会发现应用的默认端口是会进行修改的来规避扫描、会采用防火墙来封禁某些IP、会采取修改系统版本来规避系统版本漏洞等。
2.1 技术手段
采取工具+人工的方式对移动端、服务端的互联网暴露面进行监控,结合外部威胁情报,对发现的资产进行风险风险,结合管理制度要求,实现互联网暴露面资产和风险的闭环处置。
2.2 管理手段
结合企业实际工作环境,对标国际及行业安全管理标准以及最佳安全管理实践,采取PDCA循环,编写独属于企业的互联网暴露面管理规范,编写内容包括监控周期、监控范围、监控流程以及考核指标等,编写文件包含多层级,指导文件、实操文件以及记录文件,实现每个层级人员都可找到对应的工作职责。
3. 实施步骤
准备阶段:确认互联网暴露面资产核查服务的范围,主要是哪些IP、责任人、业务系统等;结合实际业务情况需求,确定资产风险和资产信息扫描实施的时间,设备接入点,设备IP地址。
实施阶段:互联网暴露面资产监测和识别,业界主要采用NMAP/商业扫描工具/OpenVAS等进行目标范围内的资产探测扫描。对扫描结果进行分析,进行分析汇总。
重复阶段:对实施阶段发现的问题下发给对应业务系统责任人进行整改,并进行重复发现,确认是否整改完成。
4. 实施内容
4.1 资产收集
采取调研表、访谈等方式对涉及的业务系统部门进行核查,协助完成业务系统涉及的资产的梳理。
4.2 风险发现
利用工具及平台对目标范围内的资产进行全面的信息探测扫描,监测并识别资产信息包括:IP地址存活情况、端口服务开放情况、操作系统类型及版本、应用框架类型及版本、IP地址与域名对应关系等
4.3 未知资产纳管
采取资产指纹、人工核对等对新发现的资产进行对比,实现影子资产的纳管;
实现已管理和未管理资产数据的快速稽核比对,提供清晰明确的稽核比对结果报告,及时发现未纳管的资产,并协助快速完成资产的纳管工作;对于未知资产的纳管可以采取EDR等安全软件来帮忙资产的纳管,最终实现全量资产的纳管。
4.4 处置流程
风险管理流程(图)
资产管理流程(图)
5. 附录:平台建设要求
5.1 易用性设计
平台应采用以下措施确保系统的方便易用:
-
安装部署易用性
系统采用易于一站式安装向导,无需手工填写配置文件,最大程度上简化了安装配置的复杂度。同时系统具备丰富的中文提示信息,提示安装部署过程状态。
-
专业化UI设计
由专业UI设计人员进行系统门户界面及功能界面的设计。遵循业内的UI设计规范,采用风格一致的中文用户界面。并设置导航栏等内容。系统能在浏览器中完成基本管理任务,对用户输入错误应尽早发现和提醒。系统具备完善的联机帮助,每一步操作均可找到详细的说明。对于业务熟练并且熟悉电脑操作的普通用户,通过现场培训,即可熟练掌握应用系统基本功能的操作。
-
系统操作易用性
系统采用向导式配置界面。只需要在向导中填写相关的属性和参数要求,就可以顺利完成诸如关联分析规则配置、安全基线检查配置等复杂的策略配置功能。
5.2 可维护性设计
平台具备良好的可维护特性,方便运维人员的日常维护和使用。
-
系统自监控管理
平台提供自管理和监控功能,实时监控平台各个组件的运行状态、性能等情况。维护人员可以了解平台总体状况。
-
系统自维护性
平台具备在线升级协议及版本的功能,在不中断业务的情况下支持对本系统进行在线升级、对修改后的系统版本进行在线升级;平台运行过程中所发生的任何错误均具备错误编号,可在维护手册中查到错误处理方法与步骤。
-
系统易维护性
平台软件从设计初就考虑到易维护性,对某一个模块的修改,不影响其他模块的正常运行。并采用构件化设计思想,系统框架与业务逻辑分离,具备开放的体系结构。
5.3 可扩展性设计
平台支持HA的高可用性架构,采用B/S架构,在网络可达的情况下可以直接管理网元设备。
5.4 可测试性设计
平台在提交软件时均进行过详细的功能及性能测试,并提供可度量的功能和性能指标。内部有专业的测试工程师进行平台测试工作。每次新功能测试完成后,提供详细的测试文档,包括测试的用例、方法及其结果等,交付联通在线人员作验收测试。
5.5 高可靠性设计
-
应用软件可靠性
平台的前端管理模块、分析服务采用主备方式(也可通过集群设备做负载分担),从而保证展示模块与核心模块不存在单点故障,提高系统可靠性。
平台采用先进的J2EE框架,系统框架层次清晰,从而保证了代码的可靠性。另外使用Hibernate框架实现数据持久化的操作,简化系统与数据库的操作,并提供了系统数据操作的可靠性。
平台由专业的测试团队进行严格测试,层层把关,确保系统质量。测试团队对系统的单元测试、集成测试、性能测试等提供了如JUnit、LoadRunner、QuickTest、SoapUI等专业测试框架以及测试工具等的支持,有效了保障了平台的可靠性和对需求的符合度。
-
存储的可靠性
平台中所有服务器本地磁盘均使用RAID1技术,实现本次磁盘1:1镜像。存储阵列还可提供双控制器、RAID0+1镜像、HOTSPARE磁盘等技术实现了控制器冗余热备及磁盘的1:1镜像热备和故障磁盘在线热备盘自动替换,使整个系统的存储达到了很高的可靠性。
-
网络可靠性
整个系统中有较多的计算机设备和网络设备,网卡、网线、网线接头等故障是导致系统不稳定、出现故障的主要原因之一。为了杜绝系统单点故障,最大限度地将网络故障减至最小,大幅度降低系统故障率,整个系统采用双网双平面组网结构,任何一台服务器的单块网卡、网线或单台网络交换机、防火墙、路由器故障网络都将自动切换,保证网络通信正常。
5.6 高可用性设计
Web/应用服务器HA设计
平台使用心跳模块监测主备服务器间的网络是否可用,以及使用服务/状态模块监测网络安全运营管理系统的服务组件状态(包括Web/应用/分析服务)和系统状态(系统CPU利用率、内存利用率、磁盘利用率)是否异常。当监测到主服务器网络异常或服务组件/系统状态异常,系统自动切换到备份服务器,启动备份服务器上的各服务组件(Web/应用服务),并使用同样的IP地址(eth0:0虚拟IP。主备切换时,IP地址资源也会进行切换)对外提供服务器。
5.7 可移植性设计
平台采用了高可移植性技术,避免系统在多种平台下部署运行时的重复开发工作,保证系统的一致性,确保系统可以在多种平台下稳定可靠的运行。
5.8 可追踪性设计
平台在软件研发中遵循CMMI软件开发过程模型。系统每一个功能实现都可以在设计与需求文件中跟踪到相应的设计与需求内容;需求文件中的每一个需求都可以能跟踪到该需求所涉及的设计元素及最终的功能实现。同时,应用系统出现异常错误报告时,系统提供了详细的异常上下文信息。
5.9 系统安全性设计
平台的自身安全性设计包含以下方面的内容:
数据传输安全。系统所有组件之间通讯采用加密方式确保安全的通信。
安全域划分,并实施严格的安全策略。
采集安全设计。通过安全协议采集安全信息。
权限及数据管理安全。
主机安全加固。保证系统服务器自身安全。
恶意代码防护。编码安全防止恶意攻击。
灾难恢复与业务持续性。
5.10 系统存储备份设计
平台的数据采用专门的存储阵列进行存储,也可通过云资源的方式进行热备存储,包括原始数据、统计数据、审计分析数据、认证数据等。数据采用RAID1方式存储。
信通院安全资产管理平台的数据备份提供对系统关键数据的全备份,业务数据的备份与恢复。系统升级、修改等非常规操作文件的备份。
6. 附录:高危端口信息
| 1 | 高危端口号(默认) | 5984(TCP)、6984(TCP) |
| 协议或服务 | CouchDB(数据库) | |
| 端口用途说明 | CouchDB 默认会在 5984 端口(HTTP)和 6984 端口(HTTPS)开放 Restful 的API 接口,用于数据库的管理功能 |
|
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 未授权导致的任意指令执行 | |
| 2 | 高危端口号(默认) | 6379(TCP) |
| 协议或服务 | Redis(数据库) | |
| 端口用途说明 | Redis 默认管理和服务端口 | |
| 端口类别 | 管理类端口 | |
| 风险描述 | 可能会存在未授权访问,或者进行弱口令爆破;获得访问权限后,可能存在任意文件写 入导致获取系统远程控制权限。 |
|
| 3 | 高危端口号(默认) | 111(TCP/UDP)、2049(TCP/UDP) |
| 协议或服务 | NFS(Network File System),网络文件系统 | |
| 端口用途说明 | 用于远程文件传输 | |
| 端口类别 | 业务类端口(用户访问端口、平台交互端口) | |
| 风险描述 | 权限配置不当 | |
| 4 | 高危端口号(默认) | 512(TCP)、513(TCP)、514(TCP) |
| 协议或服务 | Linux rexec/rlogin/rsh(远程登录和命令执行) | |
| 端口用途说明 | 主要用于再指定的远程linux 系统主机执行命令,向远程服务器发出执行命令的请求 | |
| 端口类别 | 管理类端口、业务类端口(用户访问端口、平台交互端口) | |
| 风险描述 | 可爆破,rlogin 登陆 | |
| 5 | 高危端口号(默认) | 27017(TCP)、27018(TCP)、27019(TCP) |
| 协议或服务 | MongoDB(数据库) | |
| 端口用途说明 | 用于MongoDB 数据库的远程管理和服务,以及集群间通信 | |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 爆破,未授权访问 | |
| 6 | 高危端口号(默认) | 1433(TCP)、1434(UDP) |
| 协议或服务 | SQLServer(数据库) | |
| 端口用途说明 | SQL Server 是Microsoft 公司推出的关系型数据库管理系统。1433(默认)端口用于数据库远程管理和连接,1434(默认)用于命名服务 | |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 提权,弱口令,爆破;早期版本还存在远程命令执行漏洞 | |
| 7 | 高危端口号(默认) | 4242(TCP) |
| 协议或服务 | OpenTSDB(分布式时序数据库) | |
| 端口用途说明 | OpenTSDB 是一款分布式、可伸缩的时间序列数据库。4242(默认)端口为 opentsdb 数据库的Web 管理和API 接口端口 |
|
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 存在信息泄漏风险 | |
| 8 | 高危端口号(默认) | 4899(TCP) |
| 协议或服务 | RADMIN(Remote Administrator) | |
| 端口用途说明 | 远程桌面控制软件服务端口,具有远程控制功能 | |
| 端口类别 | 管理类端口 | |
| 风险描述 | 远程管理服务端口 | |
| 9 | 高危端口号(默认) | 5631(TCP)、5632(TCP) |
| 协议或服务 | PCAnywhere(远程控制) | |
| 端口用途说明 | 远程桌面控制软件服务端口,具有远程控制功能 | |
| 端口类别 | 管理类端口 | |
| 风险描述 | 远程管理服务端口 | |
| 10 | 高危端口号(默认) | 22(TCP) |
| 协议或服务 | SSH (Secure Shell),安全外壳协议 | |
| 应用场景或应用组件 | 远程登录、SSH 端口转发 | |
| 端口用途说明 | SSH 协议的服务连接端口,可用于进行远程操作维护 | |
| 端口类别 | 管理类端口 | |
| 11 | 高危端口号(默认) | 23(TCP) |
| 协议或服务 | Telnet ( 远程终端协议) | |
| 应用场景或应用组件 | 远程登录 | |
| 端口用途说明 | Telnet 协议的服务连接端口,可用于进行远程操作维护 | |
| 端口类别 | 管理类端口 | |
| 12 | 高危端口号(默认) | 161(UDP) |
| 协议或服务 | SNMP(Simple Network Management Protocol,简单网络管理协议) | |
| 端口用途说明 | 可用于对网络设备进行远程信息读取、管理和配置 | |
| 端口类别 | 管理类端口 | |
| 风险描述 | 爆破默认团队字符串,导致信息泄漏 | |
| 13 | 高危端口号(默认) | 1521(TCP) |
| 协议或服务 | Oracle(甲骨文数据库) | |
| 端口用途说明 | Oracle 是甲骨文公司的一款关系数据库管理系统。该端口端口用于数据库远程管理和连接 | |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 暴力破解、信息泄漏、远程命令执行 | |
| 14 | 高危端口号(默认) | 3306(TCP) |
| 协议或服务 | MySQL(数据库) | |
| 端口用途说明 | MySQL 是一款开源关系数据库管理系统。该端口端口用于数据库远程管理和连接 | |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 暴力破解、信息泄漏、远程命令执行 | |
| 15 | 高危端口号(默认) | 5000(TCP) |
| 协议或服务 | Sybase(数据库) | |
| 端口用途说明 | 美国Sybase 公司研制的一种关系型数据库系统。该端口用于数据库远程管理和连接 | |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 暴力破解、信息泄漏、远程命令执行 | |
| 16 | 高危端口号(默认) | 50000(TCP) |
| 协议或服务 | DB2(数据库) | |
| 端口用途说明 | IBM DB2 是美国 IBM 公司开发的一套关系型数据库管理系统,它主要的运行环境为 UNIX(包括 IBM 自家的AIX)、Linux、IBM i(旧称 OS/400)、z/OS,以及 Windows 服务器版本。该端口用于数据库远程管理和连接 |
|
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 暴力破解、信息泄漏 | |
| 17 | 高危端口号(默认) | 5432(TCP) |
| 协议或服务 | PostgreSQL(数据库) | |
| 应用场景或应用组件 | 数据库服务器 | |
| 端口用途说明 | PostgreSQL 是一款开源关系数据库管理系统。该端口用于数据库远程管理和连接 | |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 18 | 高危端口号(默认) | 3389(TCP) |
| 协议或服务 | Windows RDP(远程桌面协议) | |
| 端口用途说明 | 用于访问服务器的远程桌面服务,提供基于图形界面的远程操作维护功能。 | |
| 端口类别 | 管理类端口 | |
| 风险描述 | 暴力破解,远程控制 | |
| 19 | 高危端口号(默认) | 5800(TCP),5900(TCP) |
| 协议或服务 | VNC(Virtual Network Console),虚拟网络控制台 | |
| 应用场景或应用组件 | 远程桌面和远程控制软件 | |
| 端口用途说明 | VNC 是一款远程桌面和远程控制软件,5800 和 5900(默认)端口均为 VNC 服务启 动端口或远端控制端口 |
|
| 端口类别 | 管理类端口 | |
| 20 | 高危端口号(默认) | 50070(TCP)、50470(TCP)、8020(TCP)、9000(TCP)、50075(TCP)、 50475(TCP)、50010(TCP)、1019(TCP)、50020(TCP)、50090(TCP) |
| 协议或服务 | Hadoop HDFS | |
| 端口用途说明 | Hadoop HDFS 是Hadoop 的分布式文件系统(Hadoop Distributed File System), 实现大规模数据可靠的分布式读写。这些端口用于HDFS 的管理和内外部通信端口 |
|
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 非授权访问、信息泄露 | |
| 21 | 高危端口号(默认) | 8088(TCP)、8090(TCP)、8050(TCP)、8025(TCP)、8030(TCP)、8141 (TCP)、45454(TCP)、8042(TCP)、10200(TCP)、8188(TCP)、8190 (TCP)、19888(TCP) |
| 协议或服务 | Hadoop Yarn | |
| 端口用途说明 | Hadoop YARN 是 Hadoop 集群的资源管理系统;这些端口是 Hadoop YARN 的管理 和内外部通信端口 |
|
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 非授权访问、信息泄露 | |
| 22 | 高危端口号(默认) | 16000(TCP)、16010(TCP)、16020(TCP)、16030(TCP)、60000(TCP)、 60010(TCP)、60020(TCP)、60030(TCP) |
| 协议或服务 | Apache HBase | |
| 端口用途说明 | HBase 是一个开源的、分布式的、版本化的 NoSQL 数据库(也即非关系型数据库),它利用 Hadoop 分布式文件系统(Hadoop Distributed File System,HDFS)提供 分布式数据存储。这些端口是HBase 的管理和内外部通信端口 |
|
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 非授权访问、信息泄露 | |
| 23 | 高危端口号(默认) | 10000(TCP)、9999(TCP)、9083(TCP)、10500(TCP)、10002(TCP)、 10001(TCP)、10501(TCP)、10502(TCP)、50111(TCP)、15551(TCP)、 15004(TCP) |
| 协议或服务 | Apache Hive | |
| 端口用途说明 | Hive 是基于Hadoop 的一个数据仓库工具,用来进行数据提取、转化、加载,这是一种可以存储、查询和分析存储在 Hadoop 中的大规模数据的机制。这些端口是 Hive 的 管理和内外部通信端口 |
|
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 非授权访问、信息泄露 | |
| 24 | 高危端口号(默认) | 10020(TCP)、19888(TCP)、13562(TCP)、19890(TCP) |
| 协议或服务 | Hadoop MapReduce | |
| 端口用途说明 | Hadoop 是一个处理、存储和分析海量的分布式、非结构化数据的开源框架。这些端口是Hadoop 用于实现MapReduce 功能的内外部通信端口 | |
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 非授权访问、信息泄露 | |
| 25 | 高危端口号(默认) | 2888(TCP)、3888(TCP)、2181(TCP) |
| 协议或服务 | Apache ZooKeeper | |
| 端口用途说明 | ZooKeeper 是一个分布式的,开放源码的分布式应用程序协调服务,是Google 的 Chubby 一个开源的实现,是 Hadoop 和 Hbase 的重要组件。这些端口是 ZooKeeper 的管理和内外部通信端口 |
|
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 非授权访问、信息泄露 | |
| 26 | 高危端口号(默认) | 9092(TCP) |
| 协议或服务 | Apache Kafka | |
| 端口用途说明 | Apache Kafka 是一套高吞吐量的分布式发布订阅消息系统。9092(默认)端口为 Kafka 组件的服务端口 |
|
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 用于对外提供服务,存在远程窃取服务信息风险 | |
| 27 | 高危端口号(默认) | 135-139(TCP/UDP)、445(TCP) |
| 协议或服务 | NetBIOS/SMB | |
| 端口用途说明 | 用于Windows 自带的一系列远程服务,包括文件共享、打印机共享,远程注册表、远 程 IPC 等 |
|
| 端口类别 | 管理类端口、业务类端口(用户访问端口) | |
| 风险描述 | 信息泄漏、未授权访问、文件上传;同时该组端口上存在大量高危漏洞,如 ms08-067, ms17-010 等,可直接导致远程命令执行 |
|
| 28 | 高危端口号(默认) | 61616(TCP) |
| 协议或服务 | ActiveMQ | |
| 端口用途说明 | ActiveMQ 是由 Apache 出品的一款开源消息中间件,旨在为应用程序提供高效、可 扩展、稳定、安全的企业级消息通信。 |
|
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | 信息泄漏、远程命令执行等 | |
| 29 | 高危端口号(默认) | 11211(TCP/UDP) |
| 协议或服务 | Memcached(缓存系统) | |
| 端口用途说明 | Memcached 是一套常用的key-value 缓存系统,由于它本身没有权限控制模块,所 以对公网开放的Memcached 服务很容易被攻击者扫描发现,攻击者通过命令交互可 |
|
| 直接读取Memcached 中的敏感信息。 | ||
| 端口类别 | 业务类端口(用户访问端口、平台交互端口) | |
| 30 | 高危端口号(默认) | 3690(TCP) |
| 协议或服务 | SVN(Subversion),开放源代码的版本控制系统 | |
| 端口用途说明 | SVN 是一套开源的源代码版本控制系统。该端口为 svn server 服务默认端,通过该端 口可以同步管理源代码 |
|
| 端口类别 | 业务类端口(用户访问端口) | |
| 风险描述 | 未授权访问,信息泄露 | |
| 31 | 高危端口号(默认) | 4848(TCP) |
| 协议或服务 | GlassFish(应用服务器) | |
| 应用场景或应用组件 | App 服务器-Admin HTTP | |
| 端口用途说明 | Glassfish 是Oracle 开发的官方Java EE 容器,该端口/用于登录管理控制台 | |
| 端口类别 | 管理类端口 | |
| 32 | 高危端口号(默认) | 9060(TCP)、9043(TCP)、2809(TCP)、9810(TCP)、9402(TCP)、9403 (TCP)、9353(TCP)、5557(TCP)、9633(TCP)、5558(TCP)、5578(TCP)、 9100(TCP)、9401(TCP)、7276(TCP)、7286(TCP)、5060(TCP)、5061 (TCP)、8880(TCP)、8008(TCP) |
| 协议或服务 | WebSphere(应用服务器) | |
| 端口用途说明 | IBM WebSphere Application Server(WAS)是由 IBM 开发并发行的一种应用服务 器。这些端口用于WebSphere 的管理和内部通信 |
|
| 端口类别 | 管理类端口、业务类端口(平台交互端口) | |
| 风险描述 | Java 反序列化、弱口令、控制台爆破 | |
| 33 | 高危端口号(默认) | 7001(TCP)、8001(TCP)、5556(TCP)、7002(TCP) |
| 协议或服务 | WebLogic(WEB 应用系统) | |
| 应用场景或应用组件 | 基于 JAVAEE 架构的中间件 | |
| 端口用途说明 | WebLogic 是美国 Oracle 公司出品的一个基于 JAVAEE 架构的中间件。这些端口用于 WebLogic 的管理和内部通信 |
|
| 端口类别 | 管理类端口、业务类端口(用户访问端口) | |
| 34 | 高危端口号(默认) | 9990(TCP)、9999(TCP) |
| 协议或服务 | JBoss (应用服务器) | |
| 端口用途说明 | JBoss 是一个基于 J2EE 的开放源代码的应用服务器。9990、9999 是 JBoss 的管理接 口 |
|
| 端口类别 | 管理类端口 | |
| 风险描述 | 反序列化、控制台弱口令、暴力破解 | |
| 35 | 高危端口号(默认) | 8009(TCP) |
| 协议或服务 | Tomcat AJP | |
| 端口用途说明 | Tomcat 是一个免费的开源Servlet 容器;其所提供的AJP 服务端口可以用与于支持该 协议的中间件进行连接。 |
|
| 端口类别 | 业务类端口(平台交互端口) | |
| 风险描述 | 存在高危漏洞导致任意文件读取 | |
| 36 | 高危端口号(默认) | 8080(TCP) |
| 协议或服务 | Jenkins(软件项目持续集成工具) | |
| 端口用途说明 | Jenkins 是一个开源的、提供友好操作界面的持续集成(CI)工具,主要用于持续、自动 的构建/测试软件项目、监控外部任务的运行。 |
|
| 端口类别 | 管理类端口 | |
| 风险描述 | 反序列化 | |
| 37 | 高危端口号(默认) | 1080(TCP)、3128(TCP)、808(TCP) |
| 协议或服务 | HTTP/Socks 代理服务 | |
| 端口用途说明 | 代理是一种特殊的网络服务,允许一个终端(一般为客户端)通过这个服务与另一个终 端(一般为服务器)进行非直接的连接。 |
|
| 端口类别 | 业务类端口(用户访问端口) | |
| 风险描述 | 暴力破解、内网渗透 | |
| 38 | 高危端口号(默认) | 1900(UDP) |
| 协议或服务 | SSDP(Simple Service Discovery Protocol),简单服务发现协议 | |
| 端口用途说明 | 简单服务发现协议是一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之 一。简单服务发现协议提供了在局部网络里面发现设备的机制。 |
|
| 端口类别 | 业务类端口(平台交互端口) | |
| 风险描述 | 反射放大攻击利用端口 | |
| 39 | 高危端口号(默认) | 123(UDP) |
| 协议或服务 | NTP(Network Time Protoco)网络时间协议 | |
| 端口用途说明 | 用于同步日期和时间信息 | |
| 端口类别 | 业务类端口(平台交互端口) | |
| 风险描述 | 反射放大攻击利用端口 | |
| 40 | 高危端口号(默认) | 389(TCP/UDP) |
| 协议或服务 | LDAP(Lightweight Directory Access Protocol),轻量目录访问协议 | |
| 端口用途说明 | 轻量级目录访问协议(LDAP)是一种用于访问目录服务的业界标准方法。目录服务是一个关于分布式环境中的多个系统和服务的资源信息的存储库;它提供对这些资源的客 户机和服务器访问。 |
|
| 端口类别 | 业务类端口(用户访问端口、平台交互端口) | |
| 风险描述 | LDAP 注入、未授权访问、弱口令 | |
| 41 | 高危端口号(默认) | 873(TCP) |
| 协议或服务 | Rsync (remote sync)数据镜像备份工具 | |
| 端口用途说明 | linux 系统下的数据镜像备份工具,可以远程同步,支持本地复制,或者与其他SSH、 rsync 主机同步。 |
|
| 端口类别 | 业务类端口(用户访问端口、平台交互端口) | |
| 风险描述 | 匿名访问、文件上传、信息泄漏 | |
| 42 | 高危端口号(默认) | 2601(TCP)、2604(TCP) |
| 协议或服务 | Zebra (开源路由软件) | |
| 应用场景或应用组件 | 路由器软件 | |
| 端口用途说明 | Zebra 是一款开源路由软件;2601 和 2604 端口为该软件的管理控制端口 | |
| 端口类别 | 管理类端口 | |
| 43 | 高危端口号(默认) | 9200(TCP)、9300(TCP) |
| 协议或服务 | ElasticSearch (Lucene 的搜索服务器) | |
| 端口用途说明 | Elasticsearch 是一个分布式的免费开源搜索和分析引擎,适用于包括文本、数字、地理空间、结构化和非结构化数据等在内的所有类型的数据。9200 和 9300 是它的默认 API 访问端口 |
|
| 端口类别 | 业务类端口(平台交互端口) | |
| 风险描述 | 信息泄漏、数据篡改 | |
| 44 | 高危端口号(默认) | 20(TCP)、21(TCP) |
| 协议或服务 | FTP(File Transfer Protocol),文件传输协议 | |
| 端口用途说明 | FTP 是用于在网络上进行文件传输的一套标准协议。默认使用 21 端口传输信令,PASV 模式默认使用 20 端口传输数据 |
|
| 端口类别 | 业务类端口(用户访问端口、平台交互端口) | |
| 风险描述 | 未授权访问、弱口令、暴力破解、部分服务器版本存在包括远程命令执行在内的高危漏 洞 |
|
| 45 | 高危端口号(默认) | 69(UDP) |
| 协议或服务 | TFTP (Trivial File Transfer Protocol),简单文件传送协议 | |
| 端口用途说明 | TCP/IP 协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议,提供不 复杂、开销不大的文件传输服务 |
|
| 端口类别 | 业务类端口(用户访问端口、平台交互端口) | |
| 风险描述 | 未授权访问、信息泄漏 | |
| 46 | 高危端口号(默认) | 110(TCP) |
| 协议或服务 | POP3(Post Office Protocol - Version 3),邮局协议版本 3 | |
| 端口用途说明 | POP3,全名为“Post Office Protocol - Version 3”,即“邮局协议版本 3”。本协 议主要用于支持使用客户端远程管理在服务器上的电子邮件。 |
|
| 端口类别 | 业务类端口(用户访问端口) | |
| 风险描述 | 暴力破解、信息泄漏 | |
| 47 | 高危端口号(默认) | 25(TCP) |
| 协议或服务 | SMTP(Simple Mail Transfer Protocol),简单邮件传输协议 | |
| 应用场景或应用组件 | 利用 25 端口,黑客可以寻找SMTP 服务器,用来转发垃圾邮件。 | |
| 端口用途说明 | 25 端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。 | |
| 端口类别 | 业务类端口(用户访问端口) | |
| 48 | 高危端口号(默认) | 143(TCP) |
| 协议或服务 | IMAP(Internet Message Access Protocol),邮件访问协议 | |
| 端口用途说明 | 主要作用是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息,下载邮件等 | |
| 端口类别 | 业务类端口(用户访问端口) | |
| 风险描述 | 暴力破解、信息泄漏 | |
| 49 | 高危端口号(默认) | 1194(TCP) |
| 协议或服务 | 虚拟专用通道 | |
| 端口用途说明 | 一款基于SSL 的开源 VPN 软件。1194 是它的默认服务端口 | |
| 端口类别 | 业务类端口(用户访问端口、平台交互端口) | |
| 风险描述 | 信息泄漏、内网渗透 | |
| 50 | 高危端口号(默认) | 1723(TCP) |
| 协议或服务 | PPTP(Point-to-Point Tunneling Protocol),点对点隧道协议 | |
| 端口用途说明 | PPTP 是在PPP 协议的基础上开发的一种新的加强型安全协议,支持多协议虚拟专用网,能够经过密码验证协议(PAP)、可扩展认证协议(EAP)等方法加强安全性。可使远程用户经过拨入 ISP、经过直接链接 Internet 或其余网络安全地访问企业网。 | |
| 端口类别 | 业务类端口(用户访问端口、平台交互端口) | |
| 风险描述 | 暴力破解、信息泄漏、内网渗透 | |
| 51 | 高危端口号(默认) | 500(UDP)、4500(UDP) |
| 协议或服务 | IPSEC(Internet Protocol Security),互联网安全协议 | |
| 端口用途说明 | 互联网安全协议(英语:Internet Protocol Security,缩写为 IPsec),是一个协议簇,通过对 IP 协议的分组进行加密和认证来保护 IP 协议的网络传输协议族。常用于对 VPN 流量的加密。 |
|
| 端口类别 | 业务类端口(用户访问端口、平台交互端口) | |
| 风险描述 | 内网渗透 | |
| 52 | 高危端口号(默认) | 80(TCP)、8080(TCP)、443(TCP)、8443(TCP) |
| 协议或服务 | HTTP/HTTPS | |
| 端口用途说明 | HTTP 协议是超文本传输协议的缩写。它是从 WEB 服务器传输超文本标记语言(HTML) 到本地浏览器的传送协议。 |
|
| 端口类别 | 业务类端口(用户访问端口) | |
| 风险描述 | Web 类漏洞 | |
| 53 | 高危端口号(默认) | 9080(TCP)、9443(TCP) |
| 协议或服务 | WebSphere(应用服务器) | |
| 端口用途说明 | IBM WebSphere Application Server(WAS)是由 IBM 开发并发行的一种应用服务 器。这些端口用于WebSphere 的默认Web 服务端口 |
|
| 端口类别 | 业务类端口(用户访问端口) | |
| 风险描述 | Web 类漏洞 | |
| 54 | 高危端口号(默认) | 53(TCP/UDP) |
| 协议或服务 | DNS(Domain Name System),域名系统 | |
| 端口用途说明 | DNS 服务是进行域名和与之相对应的 IP 地址转换的服务。供用户通过域名找到服务器 对应的 IP 地址。 |
|
| 端口类别 | 业务类端口(用户访问端口) | |
| 风险描述 | 信息泄漏、反射放大攻击 | |
| 55 | 高危端口号(默认) | 179(TCP) |
| 协议或服务 | BGP(Border Gateway Protocol),边界网关协议 | |
| 端口用途说明 | BGP 协议是一种是运行于 TCP 上的一种自治系统的路由协议。BGP 对等体之间通过该 端口会话交互数据,如维持连接等。 |
|
| 端口类别 | 业务类端口(路由协议端口) | |
| 风险描述 | 发布虚假消息建立邻居、恶意修改消息内容和顺序导致BGP 对等体失效 |
学习更多技术,关注我:
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论