web服務(wù)器安全設(shè)置

Web服務(wù)器攻擊常利用Web服務(wù)器軟件和配置中的漏洞，web服務(wù)器安全也是我們現(xiàn)在很多人關(guān)注的一點(diǎn)，那么你知道web服務(wù)器安全設(shè)置嗎?下面是我整理的一些關(guān)于web服務(wù)器安全設(shè)置的相關(guān)資料，供你參考。

創(chuàng)新互聯(lián)網(wǎng)站建設(shè)公司是一家服務(wù)多年做網(wǎng)站建設(shè)策劃設(shè)計(jì)制作的公司,為廣大用戶(hù)提供了做網(wǎng)站、成都網(wǎng)站制作，成都網(wǎng)站設(shè)計(jì)，廣告投放，成都做網(wǎng)站選創(chuàng)新互聯(lián)，貼合企業(yè)需求，高性?xún)r(jià)比，滿(mǎn)足客戶(hù)不同層次的需求一站式服務(wù)歡迎致電。

web服務(wù)器安全設(shè)置一、IIS的相關(guān)設(shè)置

刪除默認(rèn)建立的站點(diǎn)的虛擬目錄，停止默認(rèn)web站點(diǎn)，刪除對(duì)應(yīng)的文件目錄c:inetpub，配置所有站點(diǎn)的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制， 帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴(kuò)展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴(kuò)展。對(duì)于php和cgi，推薦使用isapi方式解析，用exe解析對(duì)安全和性能有所影響。用戶(hù)程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給客戶(hù)。

對(duì)于數(shù)據(jù)庫(kù)，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個(gè)mdb的擴(kuò)展映射，將這個(gè)映射使用一個(gè)無(wú)關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來(lái)防止數(shù)據(jù)庫(kù)被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改403錯(cuò)誤頁(yè)面，將其轉(zhuǎn)向到其他頁(yè)，可防止一些掃描器的探測(cè)。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。

對(duì)于用戶(hù)站點(diǎn)所在的目錄，在此說(shuō)明一下，用戶(hù)的FTP根目錄下對(duì)應(yīng)三個(gè)文件佳，wwwroot，database，logfiles，分別存放站點(diǎn)文件，數(shù)據(jù)庫(kù)備份和該站點(diǎn)的日志。如果一旦發(fā)生入侵事件可對(duì)該用戶(hù)站點(diǎn)所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫(xiě)入權(quán)限。因?yàn)槭翘摂M主機(jī)平常對(duì)腳本安全沒(méi)辦法做到細(xì)致入微的地步。

方法

用戶(hù)從腳本提升權(quán)限：

web服務(wù)器安全設(shè)置二、ASP的安全設(shè)置

設(shè)置過(guò)權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運(yùn)行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過(guò)wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶(hù)的權(quán)限，重新啟動(dòng)IIS即可生效。但不推薦該方法。

另外，對(duì)于FSO由于用戶(hù)程序需要使用，服務(wù)器上可以不注銷(xiāo)掉該組件，這里只提一下FSO的防范，但并不需要在自動(dòng)開(kāi)通空間的虛擬商服務(wù)器上使用，只適合于手工開(kāi)通的站點(diǎn)。可以針對(duì)需要FSO和不需要FSO的站點(diǎn)設(shè)置兩個(gè)組，對(duì)于需要FSO的用戶(hù)組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動(dòng)服務(wù)器即可生效。

對(duì)于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會(huì)發(fā)現(xiàn)海陽(yáng)木馬已經(jīng)在這里失去了作用!

web服務(wù)器安全設(shè)置三、PHP的安全設(shè)置

默認(rèn)安裝的php需要有以下幾個(gè)注意的問(wèn)題：

C:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認(rèn)是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

web服務(wù)器安全設(shè)置四、MySQL安全設(shè)置

如果服務(wù)器上啟用MySQL數(shù)據(jù)庫(kù)，MySQL數(shù)據(jù)庫(kù)需要注意的安全設(shè)置為：

刪除mysql中的所有默認(rèn)用戶(hù)，只保留本地root帳戶(hù)，為root用戶(hù)加上一個(gè)復(fù)雜的密碼。賦予普通用戶(hù)updatedeletealertcreatedrop權(quán)限的時(shí)候，并限定到特定的數(shù)據(jù)庫(kù)，尤其要避免普通客戶(hù)擁有對(duì)mysql數(shù)據(jù)庫(kù)操作的權(quán)限。檢查mysql.user表，取消不必要用戶(hù)的shutdown_priv,reload_priv,process_priv和File_priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的 其它 信息出去。可以為mysql設(shè)置一個(gè)啟動(dòng)用戶(hù)，該用戶(hù)只對(duì)mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫(kù)的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫(kù)的數(shù)據(jù)信息)。對(duì)于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。

Serv-u安全問(wèn)題：

安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動(dòng)模式端口范圍(4001—4003)在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時(shí)調(diào)度，攔截“FTP bounce”攻擊和FXP，對(duì)于在30秒內(nèi)連接超過(guò)3次的用戶(hù)攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫(xiě)字母，高級(jí)中設(shè)置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動(dòng)用戶(hù)：在系統(tǒng)中新建一個(gè)用戶(hù)，設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼，不屬于任何組。將servu的安裝目錄給予該用戶(hù)完全控制權(quán)限。建立一個(gè)FTP根目錄，需要給予這個(gè)用戶(hù)該目錄完全控制權(quán)限，因?yàn)樗械膄tp用戶(hù)上傳，刪除，更改文件都是繼承了該用戶(hù)的權(quán)限，否則無(wú)法操 作文 件。另外需要給該目錄以上的上級(jí)目錄給該用戶(hù)的讀取權(quán)限，否則會(huì)在連接的時(shí)候出現(xiàn)530 Not logged in, home directory does not exist。比如在測(cè)試的時(shí)候ftp根目錄為d:soft，必須給d盤(pán)該用戶(hù)的讀取權(quán)限，為了安全取消d盤(pán)其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動(dòng)就沒(méi)有這些問(wèn)題，因?yàn)閟ystem一般都擁有這些權(quán)限的。

web服務(wù)器安全設(shè)置五、數(shù)據(jù)庫(kù)服務(wù)器的安全設(shè)置

對(duì)于專(zhuān)用的MSSQL數(shù)據(jù)庫(kù)服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對(duì)外只開(kāi)放1433和5631端口。對(duì)于MSSQL首先需要為sa設(shè)置一個(gè)強(qiáng)壯的密碼，使用混合身份驗(yàn)證,加強(qiáng)數(shù)據(jù)庫(kù)日志的記錄,審核數(shù)據(jù)庫(kù)登陸事件的”成功和失敗”.刪除一些不需要的和危險(xiǎn)的OLE自動(dòng)存儲(chǔ)過(guò)程(會(huì)造成 企業(yè)管理 器中部分功能不能使用),這些過(guò)程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊(cè)表訪問(wèn)過(guò)程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統(tǒng)存儲(chǔ)過(guò)程，如果認(rèn)為還有威脅，當(dāng)然要小心drop這些過(guò)程，可以在測(cè)試機(jī)器上測(cè)試，保證正常的系統(tǒng)能完成工作，這些過(guò)程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實(shí)例可防止對(duì)1434端口的探測(cè),可修改默認(rèn)使用的1433端口。除去數(shù)據(jù)庫(kù)的guest賬戶(hù)把未經(jīng)認(rèn)可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫(kù),因?yàn)閷?duì)他們guest帳戶(hù)是必需的。另外注意設(shè)置好各個(gè)數(shù)據(jù)庫(kù)用戶(hù)的權(quán)限，對(duì)于這些用戶(hù)只給予所在數(shù)據(jù)庫(kù)的一些權(quán)限。在程序中不要用sa用戶(hù)去連接任何數(shù)據(jù)庫(kù)。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的，千萬(wàn)不要這么做，否則你只能重裝MSSQL了。

Web安全問(wèn)題解答

很多新手都覺(jué)得自己的電腦web經(jīng)常被木馬侵襲，所以下面我為大家?guī)?lái)電腦基礎(chǔ)知識(shí)學(xué)習(xí)之Web安全問(wèn)題，讓你了解下如何安全的保護(hù)好自己的電腦。

1、什么叫Web應(yīng)用系統(tǒng)?

答：Web應(yīng)用系統(tǒng)就是利用各種動(dòng)態(tài)Web技術(shù)開(kāi)發(fā)的，基于B/S(瀏覽器/服務(wù)器)模式的事務(wù)處理系統(tǒng)。用戶(hù)直接面對(duì)的是客戶(hù)端瀏覽器，使用Web應(yīng)用系統(tǒng)時(shí)，用戶(hù)通過(guò)瀏覽器發(fā)出的請(qǐng)求，其之后的事務(wù)邏輯處理和數(shù)據(jù)的邏輯運(yùn)算由服務(wù)器與數(shù)據(jù)庫(kù)系統(tǒng)共同完成，對(duì)用戶(hù)而言是完全透明的。運(yùn)算后得到的結(jié)果再通過(guò)網(wǎng)絡(luò)傳輸給瀏覽器，返回給用戶(hù)。比如：ERP系統(tǒng)、CRM系統(tǒng)以及常見(jiàn)的網(wǎng)站系統(tǒng)(如電子政務(wù)網(wǎng)站、企業(yè)網(wǎng)站等)都是Web應(yīng)用系統(tǒng)。

2、為什么Google把我的網(wǎng)站列為惡意網(wǎng)站

答：Google在對(duì)網(wǎng)站內(nèi)容進(jìn)行搜索時(shí)，同時(shí)也會(huì)檢查是否含有惡意軟件或代碼(這些惡意軟件或代碼可能威脅該網(wǎng)站的訪問(wèn)者)。如果該網(wǎng)站存在這樣的惡意軟件或代碼，就會(huì)在用戶(hù)搜索到該網(wǎng)站時(shí)，加上一個(gè)標(biāo)記：“該網(wǎng)站可能含有惡意軟件，有可能會(huì)危害您的電腦”。這將會(huì)使網(wǎng)站信譽(yù)受損，并導(dǎo)致潛在的用戶(hù)流失。

3、Web威脅為什么難以防范

答：針對(duì)Web的攻擊已經(jīng)成為全球安全領(lǐng)域最大的挑戰(zhàn)，主要原因有如下兩點(diǎn)：

1. 企業(yè)業(yè)務(wù)迅速更新，需要大量的Web應(yīng)用快速上線(xiàn)。而由于資金、進(jìn)度、意識(shí)等方面的影響，這些應(yīng)用沒(méi)有進(jìn)行充分安全評(píng)估。

2. 針對(duì)Web的攻擊會(huì)隱藏在大量正常的業(yè)務(wù)行為中，而且使用各種變形偽裝手段，會(huì)導(dǎo)致傳統(tǒng)的防火墻和基于特征的入侵防御系統(tǒng)無(wú)法發(fā)現(xiàn)和阻止這種攻擊。

4、黑客為什么要篡改網(wǎng)站頁(yè)面

答：當(dāng)黑客獲取網(wǎng)站的控制權(quán)限后，往往會(huì)更改網(wǎng)站頁(yè)面，可能的動(dòng)機(jī)有：

1. 宣稱(chēng)政治主張;

2. 炫耀技術(shù)，建立“聲望”;

3. 宣泄情緒;

4. 經(jīng)濟(jì)利益，通過(guò)網(wǎng)站釋放木馬，從而獲取經(jīng)濟(jì)利益。

5、黑客實(shí)施網(wǎng)站掛馬的目的是什么

答：網(wǎng)站掛馬的主要目的是控制訪問(wèn)該網(wǎng)站的用戶(hù)的計(jì)算機(jī)，從而可以進(jìn)一步獲取用戶(hù)的計(jì)算機(jī)隱私信息而獲利，或者將這些用戶(hù)的計(jì)算機(jī)作為“肉雞”，對(duì) 其它 服務(wù)器或網(wǎng)絡(luò)進(jìn)行DDos攻擊。

6、為什么我網(wǎng)站的數(shù)據(jù)庫(kù)表內(nèi)容被大量替換?

答：如果排除了管理員誤操作的可能性，則可能是網(wǎng)站服務(wù)器被自動(dòng)化攻擊工具(如SQL注入工具等)攻擊的結(jié)果。目前已經(jīng)有自動(dòng)化的工具對(duì)網(wǎng)站進(jìn)行攻擊，如果網(wǎng)站存在漏洞的話(huà)，攻擊工具能夠獲得對(duì)網(wǎng)站數(shù)據(jù)庫(kù)訪問(wèn)的權(quán)限。如果發(fā)現(xiàn)這種情況，應(yīng)該仔細(xì)核查網(wǎng)站服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器日志，找出更改記錄。

7、在Web威脅防御中防火墻的優(yōu)點(diǎn)和不足

答：防火墻可以過(guò)濾掉非業(yè)務(wù)端口的數(shù)據(jù)，防止非Web服務(wù)出現(xiàn)的漏洞，目前市場(chǎng)上可選擇的防火墻品牌也較多。但對(duì)于目前大量出現(xiàn)在應(yīng)用層面上的SQL注入和XSS漏洞，防火墻無(wú)法過(guò)濾，因而無(wú)法保護(hù)Web服務(wù)器所面臨的應(yīng)用層威脅。

8、常見(jiàn)發(fā)布系統(tǒng)之IIS

答：IIS 是Internet Information Server的縮寫(xiě)，是由微軟開(kāi)發(fā)的一種Web服務(wù)器(Web server)產(chǎn)品，用以支持HTTP、FTP和SMTP服務(wù)發(fā)布。 它主要運(yùn)行在微軟的 操作系統(tǒng) 之上，是最流行的Web服務(wù)器軟件之一。

9、常見(jiàn)Web服務(wù)器之Apache

答：Apache是Web服務(wù)器軟件。它可以運(yùn)行在幾乎所有廣泛使用的計(jì)算機(jī)平臺(tái)上。Apache源于NCSAhttpd服務(wù)器，經(jīng)過(guò)多次修改，已成為世界上最流行的Web服務(wù)器軟件之一。

10、Apache是不是比IIS要安全

答：早期的IIS在安全性方面存在著很大的問(wèn)題，如果使用默認(rèn)設(shè)置，黑客可以輕松趁虛而入。不過(guò)在IIS6中，微軟公司對(duì)其安全方面進(jìn)行了大幅改進(jìn)。只要保證操作系統(tǒng)補(bǔ)丁更新及時(shí)，就可以將網(wǎng)站安全系數(shù)盡可能地提高。

Apache在安全方面一直做得比較好，更主要的原因是很多用戶(hù)都是在linux系統(tǒng)下使用Apache。相對(duì)于微軟的操作系統(tǒng)，Linux系統(tǒng)被發(fā)布的安全按漏洞更少一些。

從技術(shù)角度講，兩個(gè)Web服務(wù)器的安全性沒(méi)有本質(zhì)區(qū)別，一個(gè)完整的Web系統(tǒng)的安全性更取決于Web程序的安全性以及Web服務(wù)器配置的正確性。

11、什么叫應(yīng)用防火墻

答：應(yīng)用防火墻的概念在上個(gè)世紀(jì)九十年代就已經(jīng)被提出，但在最近幾年才真正走向成熟和應(yīng)用。應(yīng)用防火墻的概念與網(wǎng)絡(luò)防火墻相對(duì)，網(wǎng)絡(luò)防火墻關(guān)注網(wǎng)絡(luò)層的訪問(wèn)控制，應(yīng)用防火墻則關(guān)注應(yīng)用層數(shù)據(jù)的過(guò)濾與控制。

12、什么叫網(wǎng)站防篡改系統(tǒng)

答：網(wǎng)站防篡改系統(tǒng)通過(guò)實(shí)時(shí)監(jiān)控來(lái)保證Web系統(tǒng)的完整性，當(dāng)監(jiān)控到Web頁(yè)面被異常修改后能夠自動(dòng)恢復(fù)頁(yè)面。網(wǎng)站放篡改系統(tǒng)由于其設(shè)計(jì)理念的限制，對(duì)靜態(tài)頁(yè)面的防護(hù)能力比較好，對(duì)動(dòng)態(tài)頁(yè)面的防護(hù)則先天不足。

13、我的Web服務(wù)器被訪問(wèn)速度變慢，經(jīng)常出現(xiàn)連接失敗的現(xiàn)象，可能是什么原因造成的呢?

答：這可能有兩個(gè)方面的情況，一種是網(wǎng)絡(luò)方面的原因，如運(yùn)營(yíng)商的線(xiàn)路故障，或帶寬消耗型的DDOS攻擊;另外一種情況是服務(wù)器方面的原因，如感染病毒，或資源消耗型的拒絕服務(wù)攻擊。

14、我的Web服務(wù)器部署了木馬查殺軟件，為什么還被掛了木馬?

答：所謂的網(wǎng)頁(yè)被掛馬，很多情況下并不是有木馬程序或代碼被放到了Web服務(wù)器上，而是有一段跳轉(zhuǎn)代碼(本身不包含攻擊信息)被放在了Web服務(wù)器上網(wǎng)頁(yè)中。當(dāng)遠(yuǎn)程用戶(hù)訪問(wèn)帶有跳轉(zhuǎn)代碼的頁(yè)面時(shí)，將會(huì)執(zhí)行這段代碼，從另外一個(gè)地址下載并執(zhí)行木馬。所以，即使在Web服務(wù)器上部署了木馬查殺軟件，也會(huì)由于木馬本身并不存在于服務(wù)器上，而無(wú)法避免網(wǎng)站被掛馬。

15、我的Web服務(wù)器前端部署了入侵防御產(chǎn)品設(shè)備，入侵防御產(chǎn)品設(shè)備中包含了幾百條的SQL注入攻擊防御特征庫(kù)，為什么我的Web系統(tǒng)還是被SQL注入攻擊成功了呢?

答：SQL注入是一種沒(méi)有固定特征的攻擊行為，對(duì)安全設(shè)備來(lái)說(shuō)，就是屬于變種極多的攻擊行為。所以，基于數(shù)據(jù)特征的SQL注入檢測(cè) 方法 是沒(méi)有辦法窮盡所有組合的，會(huì)存在大量的誤報(bào)、漏報(bào)可能。如果采用的入侵防御產(chǎn)品設(shè)備采用的是基于數(shù)據(jù)特征的檢測(cè)方法，即使包含了數(shù)百條SQL注入特征庫(kù)，也會(huì)有漏報(bào)出現(xiàn)。

16、黑客為什么喜歡攻擊網(wǎng)站?

答：Web業(yè)務(wù)已經(jīng)成為當(dāng)前互聯(lián)網(wǎng)最為流行的業(yè)務(wù)，大量的在線(xiàn)應(yīng)用業(yè)務(wù)都依托于Web服務(wù)進(jìn)行。并且一些大型網(wǎng)站的日訪問(wèn)量可達(dá)百萬(wàn)之巨，不論是直接攻擊網(wǎng)站(如網(wǎng)絡(luò)銀行，在線(xiàn)游戲服務(wù)器)還是通過(guò)網(wǎng)站掛馬竊取訪問(wèn)者信息，都可以使黑客獲得直接的經(jīng)濟(jì)利益。另外一方面，網(wǎng)站是機(jī)構(gòu)的網(wǎng)絡(luò)形象，通過(guò)攻擊篡改網(wǎng)站頁(yè)面，也可以得到最大范圍的名聲傳播。對(duì)于那些企圖出名的黑客，攻擊網(wǎng)站是一項(xiàng)不錯(cuò)的選擇。

17、如何判斷自己的Web服務(wù)器是否已經(jīng)成為肉雞?

答：如果發(fā)現(xiàn)自己的Web服務(wù)器上開(kāi)啟了一些奇怪的進(jìn)程，發(fā)現(xiàn)Web服務(wù)器總是有大量從內(nèi)往外的連接，發(fā)現(xiàn)Web服務(wù)器不定時(shí)系統(tǒng)緩慢，諸如此類(lèi)的現(xiàn)象，可使用木馬清除軟件進(jìn)行檢查和查殺。

細(xì)分攻擊形式：

18、目前國(guó)內(nèi)Web應(yīng)用系統(tǒng)存在哪些最突出的安全問(wèn)題?

答：Web應(yīng)用程序的漏洞是很難避免的，系統(tǒng)的安全隱患主要在三方面：

首先是網(wǎng)絡(luò)運(yùn)維人員或安全管理人員對(duì)Web系統(tǒng)的安全狀況不清楚。哪些頁(yè)面存在漏洞，哪些頁(yè)面已經(jīng)被掛馬，他們不能夠清晰的掌握，從而及時(shí)采取改正 措施 ;

其次，在安全設(shè)備的部署方面，沒(méi)有選用專(zhuān)業(yè)的、針對(duì)Web業(yè)務(wù)攻擊的防御產(chǎn)品對(duì)網(wǎng)站進(jìn)行保護(hù)，而是寄托于防火墻這種訪問(wèn)控制類(lèi)的網(wǎng)關(guān)安全設(shè)備;

另外，從安全響應(yīng)來(lái)看，Web安全事件發(fā)生后的應(yīng)急與處理也存在欠缺。沒(méi)有相應(yīng)的頁(yè)面恢復(fù)系統(tǒng)，也沒(méi)有處理Web安全事件的專(zhuān)業(yè)安全服務(wù)團(tuán)隊(duì)。很多單位沒(méi)有制定實(shí)時(shí)監(jiān)控的網(wǎng)站安全管理制度。

19、什么叫SQL注入

答：SQL注入就是利用現(xiàn)有應(yīng)用程序，將惡意的SQL命令注入到網(wǎng)站后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力。SQL注入利用的是正常的HTTP服務(wù)端口，表面上看來(lái)和正常的Web訪問(wèn)沒(méi)有區(qū)別，隱蔽性極強(qiáng)，不易被發(fā)現(xiàn)。

20、SQL注入有哪些危害

答：SQL注入的主要危害包括：

? 未經(jīng)授權(quán)狀況下操作數(shù)據(jù)庫(kù)中的數(shù)據(jù);

? 惡意篡改網(wǎng)頁(yè)內(nèi)容;

? 私自添加系統(tǒng)帳號(hào)或者是數(shù)據(jù)庫(kù)使用者帳號(hào);

? 網(wǎng)頁(yè)掛木馬;

21、什么叫XSS

答：跨站腳本攻擊(XSS)是攻擊者將惡意腳本提交到網(wǎng)站的網(wǎng)頁(yè)中，使得原本安全的網(wǎng)頁(yè)存在惡意腳本;或者是直接添加有惡意腳本的網(wǎng)頁(yè)并誘使用戶(hù)打開(kāi)，用戶(hù)訪問(wèn)網(wǎng)頁(yè)后，惡意腳本就會(huì)將用戶(hù)與網(wǎng)站的會(huì)話(huà)COOKIE及其它會(huì)話(huà)信息全部截留發(fā)送給攻擊者，攻擊者就可以利用用戶(hù)的COOKIE正常訪問(wèn)網(wǎng)站。攻擊者有時(shí)還會(huì)將這些惡意腳本以話(huà)題的方式提交到論壇中，誘使網(wǎng)站管理員打開(kāi)這個(gè)話(huà)題，從而獲得管理員權(quán)限，控制整個(gè)網(wǎng)站。跨站腳本漏洞主要是由于沒(méi)有對(duì)所有用戶(hù)的輸入進(jìn)行有效的驗(yàn)證所造成的，它影響所有的Web應(yīng)用程序框架。

22、XSS有哪些危害

答：XSS攻擊的危害包括：

? 盜取各類(lèi)用戶(hù)帳號(hào)，如機(jī)器登錄帳號(hào)、用戶(hù)網(wǎng)銀帳號(hào)、各類(lèi)管理員帳號(hào);

? 控制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力;

? 盜竊企業(yè)重要的具有商業(yè)價(jià)值的資料;

? 非法轉(zhuǎn)賬;

? 強(qiáng)制發(fā)送電子郵件;

? 網(wǎng)站掛馬;

? 控制受害者機(jī)器向其它網(wǎng)站發(fā)起攻擊。

23、什么叫Shellcode

答：Shellcode實(shí)際是一段代碼(也可以是填充數(shù)據(jù))，可以用來(lái)發(fā)送到服務(wù)器，利用已存在的特定漏洞造成溢出，通稱(chēng)“緩沖區(qū)溢出攻擊”中植入進(jìn)程的代碼。這段代碼可以是導(dǎo)致常見(jiàn)的惡作劇目的的彈出一個(gè)消息框彈出，也可以用來(lái)刪改重要文件、竊取數(shù)據(jù)、上傳木馬病毒并運(yùn)行，甚至是出于破壞目的的格式化硬盤(pán)等等。

24、什么叫網(wǎng)站漏洞

答：隨著B(niǎo)/S模式被廣泛的應(yīng)用，用這種模式編寫(xiě)Web應(yīng)用程序的程序員也越來(lái)越多。但由于開(kāi)發(fā)人員的水平和 經(jīng)驗(yàn) 參差不齊，相當(dāng)一部分的開(kāi)發(fā)人員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶(hù)的輸入數(shù)據(jù)或者是頁(yè)面中所攜帶的信息(如Cookie)進(jìn)行必要的合法性判斷，導(dǎo)致了攻擊者可以利用這個(gè)編程漏洞來(lái)入侵?jǐn)?shù)據(jù)庫(kù)或者攻擊Web應(yīng)用程序的使用者，由此獲得一些重要的數(shù)據(jù)和利益。

25、什么叫木馬

答：木馬(Trojan)這個(gè)名字來(lái)源于古希臘 傳說(shuō) ，在互聯(lián)網(wǎng)時(shí)代它通常是指通過(guò)一段特定的程序(木馬程序)來(lái)控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶(hù)端，即控制端，另一個(gè)是服務(wù)端，即被控制端。木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務(wù)一旦運(yùn)行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計(jì)算機(jī)增加口令，瀏覽、移動(dòng)、復(fù)制、刪除文件，修改注冊(cè)表，更改計(jì)算機(jī)配置等。

26、什么叫網(wǎng)站掛馬

答：“掛馬” 就是黑客入侵了一些網(wǎng)站后，將自己編寫(xiě)的網(wǎng)頁(yè)木馬嵌入被黑網(wǎng)站的主頁(yè)中。當(dāng)訪問(wèn)者瀏覽被掛馬頁(yè)面時(shí)，自己的計(jì)算機(jī)將會(huì)被植入木馬，黑客便可通過(guò)遠(yuǎn)程控制他們的計(jì)算機(jī)來(lái)實(shí)現(xiàn)不可告人的目的。網(wǎng)頁(yè)木馬就是將木馬和網(wǎng)頁(yè)結(jié)合在一起，打開(kāi)網(wǎng)頁(yè)的同時(shí)也會(huì)運(yùn)行木馬。最初的網(wǎng)頁(yè)木馬原理是利用IE瀏覽器的ActiveX控件，運(yùn)行網(wǎng)頁(yè)木馬后會(huì)彈出一個(gè)控件下載提示，只有點(diǎn)擊確認(rèn)后才會(huì)運(yùn)行其中的木馬。這種網(wǎng)頁(yè)木馬在當(dāng)時(shí)網(wǎng)絡(luò)安全意識(shí)普遍不高的情況下還是有一點(diǎn)威脅的，但是其缺點(diǎn)顯而易見(jiàn)，就是會(huì)出現(xiàn)ActiveX控件下載提示。現(xiàn)在很少會(huì)有人去點(diǎn)擊那莫名其妙的ActiveX控件下載確認(rèn)窗口了。在這種情況下，新的網(wǎng)頁(yè)木馬誕生了。這類(lèi)網(wǎng)頁(yè)木馬通常利用IE瀏覽器的漏洞，在運(yùn)行的時(shí)候沒(méi)有絲毫提示，因此隱蔽性極高。

27、什么叫DOS./DDOS攻擊?

答：DoS即Denial Of Service，拒絕服務(wù)的縮寫(xiě)。DoS是指利用網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷來(lái)耗盡被攻擊對(duì)象的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)或資源訪問(wèn)，使目標(biāo)系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰。在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備。這些被大量消耗的服務(wù)資源包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)空間容量、開(kāi)放的進(jìn)程或者允許的連接。這種攻擊會(huì)導(dǎo)致資源的匱乏，無(wú)論計(jì)算機(jī)的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬有多高，都無(wú)法避免這種攻擊帶來(lái)的后果。

DDoS(Distributed Denial Of Service)又把DoS又向前發(fā)展了一大步，這種分布式拒絕服務(wù)攻擊是黑客利用在已經(jīng)被侵入并已被控制的、不同的高帶寬主機(jī)(可能是數(shù)百，甚至成千上萬(wàn)臺(tái))上安裝大量的DoS服務(wù)程序，它們等待來(lái)自中央攻擊控制中心的命令。中央攻擊控制中心再適時(shí)啟動(dòng)全體受控主機(jī)的DoS服務(wù)進(jìn)程，讓它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求，形成一股DoS洪流沖擊目標(biāo)系統(tǒng)，猛烈地DoS攻擊同一個(gè)網(wǎng)站。被攻擊的目標(biāo)網(wǎng)站會(huì)很快失去反應(yīng)而不能及時(shí)處理正常的訪問(wèn)甚至系統(tǒng)癱瘓崩潰。

28、什么叫網(wǎng)絡(luò)釣魚(yú)

答：網(wǎng)絡(luò)釣魚(yú)(Phishing?，又名釣魚(yú)法或釣魚(yú)式攻擊)是通過(guò)傳播“聲稱(chēng)來(lái)自于銀行或其他知名機(jī)構(gòu)”的欺騙信息，意圖引誘受害者泄漏出敏感信息(如用戶(hù)名、口令、帳號(hào) ID 、 ATM PIN 碼或信用卡詳細(xì)信息)的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚(yú)攻擊將受害者引誘到一個(gè)與其目標(biāo)網(wǎng)站非常相似的釣魚(yú)網(wǎng)站上，并獲取受害者在此網(wǎng)站上輸入的個(gè)人敏感信息。通常這個(gè)攻擊過(guò)程不會(huì)讓受害者警覺(jué)。它是“社會(huì)工程攻擊”的一種形式。

29、什么叫網(wǎng)絡(luò)蠕蟲(chóng)

答：一般認(rèn)為：蠕蟲(chóng)病毒是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它除具有病毒的一些共性外，同時(shí)具有自己的一些特征。如：不利用文件寄生(有的只存在于內(nèi)存中)、對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及與黑客技術(shù)相結(jié)合，等等。蠕蟲(chóng)病毒主要的破壞方式是大量的復(fù)制自身，然后在網(wǎng)絡(luò)中傳播，嚴(yán)重占用有限的網(wǎng)絡(luò)資源，最終引起整個(gè)網(wǎng)絡(luò)的癱瘓，使用戶(hù)不能通過(guò)網(wǎng)絡(luò)進(jìn)行正常的工作。每一次蠕蟲(chóng)病毒的爆發(fā)都會(huì)給全球經(jīng)濟(jì)造成巨大損失，因此它的危害性是十分巨大的。有一些蠕蟲(chóng)病毒還具有更改用戶(hù)文件、將用戶(hù)文件自動(dòng)當(dāng)附件轉(zhuǎn)發(fā)的功能，更是嚴(yán)重的地危害到用戶(hù)的 系統(tǒng)安全 。

30、什么叫僵尸網(wǎng)絡(luò)

答：僵尸網(wǎng)絡(luò)(英文名稱(chēng)叫BotNet)，是互聯(lián)網(wǎng)上受到黑客集中控制的一群計(jì)算機(jī)，往往被黑客用來(lái)發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊。如：分布式拒絕服務(wù)攻擊(DDoS)、海量垃圾郵件等。同時(shí)，黑客控制的這些計(jì)算機(jī)所保存的信息也都可以被黑客隨意“取用”。因此，不論是對(duì)網(wǎng)絡(luò)安全運(yùn)行還是用戶(hù)數(shù)據(jù)安全的保護(hù)，僵尸網(wǎng)絡(luò)都是極具威脅的隱患。然而，發(fā)現(xiàn)一個(gè)僵尸網(wǎng)絡(luò)是非常困難的，因?yàn)楹诳屯ǔ＿h(yuǎn)程、隱蔽地控制分散在網(wǎng)絡(luò)上的“僵尸主機(jī)”，這些主機(jī)的用戶(hù)往往并不知情。因此，僵尸網(wǎng)絡(luò)是目前互聯(lián)網(wǎng)上最受黑客青睞的作案工具。

31、什么是ARP攻擊

答：ARP是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化為MAC地址的協(xié)議。在網(wǎng)絡(luò)中，當(dāng)A主機(jī)需要向B主機(jī)發(fā)送報(bào)文時(shí)，會(huì)先查詢(xún)本地的ARP緩存表，找到與B主機(jī)IP地址對(duì)應(yīng)的MAC地址后，進(jìn)行數(shù)據(jù)傳輸。如果未找到，則會(huì)發(fā)送一個(gè)廣播ARP請(qǐng)求報(bào)文，請(qǐng)求對(duì)應(yīng)B主機(jī)IP的B回應(yīng)MAC地址。這個(gè)廣播包會(huì)被整個(gè)廣播域中所有主機(jī)收到，但只有B主機(jī)會(huì)發(fā)現(xiàn)IP地址對(duì)應(yīng)自己，才會(huì)將MAC地址回應(yīng)給A。此時(shí)A收到這個(gè)回應(yīng)并更新自己的ARP緩存，進(jìn)行下一步的數(shù)據(jù)傳輸。ARP攻擊應(yīng)當(dāng)叫做ARP欺騙，就是冒充網(wǎng)關(guān)地址對(duì)網(wǎng)絡(luò)中主機(jī)給出ARP查詢(xún)回應(yīng)，使得本來(lái)是A-網(wǎng)關(guān)的數(shù)據(jù)走向，變成A-攻擊者-網(wǎng)關(guān)。

32、ARP攻擊的危害有哪些?

答：ARP攻擊的危害主要有兩個(gè)方面。從ARP攻擊的原理來(lái)看，這種攻擊使得受害主機(jī)的所有網(wǎng)絡(luò)數(shù)據(jù)都將通過(guò)攻擊者進(jìn)行轉(zhuǎn)發(fā)。這樣一來(lái)，要竊取信息或控制流量就變得輕而易舉。另一方面，由于ARP緩存會(huì)不斷刷新，有的時(shí)候，真正的網(wǎng)關(guān)會(huì)偶爾“清醒”。當(dāng)真正的網(wǎng)關(guān)參與到數(shù)據(jù)包轉(zhuǎn)發(fā)中來(lái)時(shí)，由于做了一個(gè)切換動(dòng)作，可能會(huì)有頻繁的短暫掉線(xiàn)現(xiàn)象。所以，如果Web服務(wù)器所在網(wǎng)絡(luò)中發(fā)生了ARP攻擊，將導(dǎo)致Web服務(wù)器不可訪問(wèn)。

細(xì)分攻擊介質(zhì)：

33、WEB應(yīng)用系統(tǒng)(網(wǎng)站)會(huì)面臨來(lái)自哪些方面的安全問(wèn)題

答：網(wǎng)站面臨的安全問(wèn)題是方方面面的，主要可概括為以下四個(gè)方面：

1)操作系統(tǒng)、后臺(tái)數(shù)據(jù)庫(kù)的安全問(wèn)題

這里指操作系統(tǒng)和后臺(tái)數(shù)據(jù)庫(kù)的漏洞，配置不當(dāng)，如弱口令等等，導(dǎo)致黑客、病毒可以利用這些缺陷對(duì)網(wǎng)站進(jìn)行攻擊。

2)Web發(fā)布系統(tǒng)的漏洞

Web業(yè)務(wù)常用的發(fā)布系統(tǒng)(即Web服務(wù)器)，如IIS、Apache等，這些系統(tǒng)存在的安全漏洞，會(huì)給入侵者可乘之機(jī)。

3)Web應(yīng)用程序的漏洞

主要指Web應(yīng)用程序的編寫(xiě)人員，在編程的過(guò)程中沒(méi)有考慮到安全的因素，使得黑客能夠利用這些漏洞發(fā)起對(duì)網(wǎng)站的攻擊，比如SQL注入、跨站腳本攻擊等等。

4)自身網(wǎng)絡(luò)的安全狀況

網(wǎng)站服務(wù)器所處的網(wǎng)絡(luò)安全狀況也影響著網(wǎng)站的安全，比如網(wǎng)絡(luò)中存在的DoS攻擊等，也會(huì)影響到網(wǎng)站的正常運(yùn)營(yíng)。

34、Web程序漏洞是怎么形成的

答：Web站點(diǎn)之所以存在如此眾多的安全漏洞，是由下列所示的這些原因造成的：

1、 大部分的中小型網(wǎng)站都是使用某個(gè)建站模塊建設(shè)的，而這些通用的建站模塊不僅本身存在各種安全漏洞，同時(shí)一些使用它們的建站人員根本沒(méi)有在建站完成后對(duì)站點(diǎn)進(jìn)行安全加固。

2、 Web站點(diǎn)開(kāi)發(fā)人員對(duì)安全不夠重視，在編寫(xiě)網(wǎng)頁(yè)時(shí)，沒(méi)有對(duì)用戶(hù)的輸入進(jìn)行驗(yàn)證，沒(méi)有對(duì)數(shù)據(jù)的大小、類(lèi)型和字符串進(jìn)行規(guī)范，沒(méi)有限制API函數(shù)對(duì)系統(tǒng)資源的使用，以及對(duì)Web服務(wù)器沒(méi)有進(jìn)行相應(yīng)的資源限制，引起拒絕服務(wù)攻擊。

3、 管理員對(duì)Web服務(wù)器主機(jī)系統(tǒng)及Web應(yīng)用程序本身配置不當(dāng)，一些中小企業(yè)自己管理的Web站點(diǎn)根本沒(méi)有足夠的技術(shù)人員來(lái)管理它們的安全。

4、 當(dāng)Web站點(diǎn)是托管在某個(gè)電信機(jī)房時(shí)，對(duì)它們進(jìn)行的遠(yuǎn)程管理存在安全風(fēng)險(xiǎn)。

5、 Web站點(diǎn)管理員本身技術(shù)水平的限制，對(duì)各種針對(duì)Web站點(diǎn)的安全攻擊不了解，也沒(méi)有端正工作態(tài)度，沒(méi)能對(duì)站點(diǎn)進(jìn)行認(rèn)真的安全加固，以及進(jìn)行日常的安全檢查。

6、 Web站點(diǎn)所處網(wǎng)絡(luò)大環(huán)境的安全設(shè)計(jì)不合理，以及沒(méi)有將安全防范工作融入到站點(diǎn)整個(gè)生命周期的各個(gè)階段。

7、 企業(yè)領(lǐng)導(dǎo)不夠重視，在Web站點(diǎn)的安全防范方面投入的資金太少或不合理，沒(méi)有制定一個(gè)有效的Web站點(diǎn)安全防范策略，明確Web站點(diǎn)日常管理流程，也沒(méi)有對(duì)Web站點(diǎn)的管理人員和工作人員進(jìn)行不斷的安全培訓(xùn)。

35、黑客主要利用哪些方法對(duì)網(wǎng)站進(jìn)行數(shù)據(jù)竊取和修改

答：黑客需要使用擁有一定權(quán)限的用戶(hù)帳戶(hù)才能對(duì)網(wǎng)站進(jìn)行數(shù)據(jù)竊取和修改，所以可能造成用戶(hù)權(quán)限泄漏或提升的漏洞，都可以被黑客利用來(lái)進(jìn)行攻擊，如SQL注入，溢出漏洞、暴力猜解等。

36、目前對(duì)Web服務(wù)器威脅較大的SQL注入工具有哪些?

答：網(wǎng)上常見(jiàn)的SQL注入工具有“啊D SQL注入工具”、pangolin、NBSI、HDSI、“管中窺豹注入工具”等。

37、目前對(duì)Web服務(wù)器威脅較大的XSS攻擊工具有哪些?

答：網(wǎng)上常見(jiàn)的XSS攻擊工具有sessionIE、Webscan、XSS Inject Scanner 等。

38、怎樣應(yīng)對(duì)Web業(yè)務(wù)安全事件

答：應(yīng)對(duì)Web業(yè)務(wù)安全事件，從根本上的解決辦法就是對(duì)Web應(yīng)用程序源代碼進(jìn)行代碼檢查和漏洞修復(fù)，但是這會(huì)影響正常Web業(yè)務(wù)運(yùn)行，而且費(fèi)用較高。比較有效的解決方案是通過(guò)專(zhuān)業(yè)的Web業(yè)務(wù)安全檢查工具或服務(wù)來(lái)檢查網(wǎng)站安全狀況，部署專(zhuān)業(yè)的Web安全產(chǎn)品。比如基于行為檢測(cè)的入侵防御產(chǎn)品。同時(shí)在管理上，要求網(wǎng)管人員實(shí)時(shí)對(duì)網(wǎng)站進(jìn)行監(jiān)測(cè)，一旦發(fā)現(xiàn)網(wǎng)頁(yè)被篡改等問(wèn)題立刻進(jìn)行頁(yè)面恢復(fù)、刪除惡意腳本等工作。

39、如何防御SQL注入

答：要想從根本上解決XSS攻擊，就要對(duì)Web應(yīng)用程序源代碼進(jìn)行檢查，發(fā)現(xiàn)安全漏洞進(jìn)行修改。但是這種方法在實(shí)際中給用戶(hù)帶來(lái)了不便，如：需要花費(fèi)大量的人力財(cái)力、可能無(wú)法找到當(dāng)時(shí)的網(wǎng)站開(kāi)發(fā)人員、需要網(wǎng)站下線(xiàn)等。對(duì)代碼進(jìn)行修改后，由于增加了過(guò)濾條件和功能，同時(shí)也給服務(wù)器帶來(lái)了計(jì)算壓力。通常的解決方法是在數(shù)據(jù)庫(kù)服務(wù)器前端部署入侵防御產(chǎn)品。SQL注入攻擊具有變種多、隱蔽性強(qiáng)等特點(diǎn)，傳統(tǒng)的特征匹配檢測(cè)方式不能有效地進(jìn)行防御，需要采用“基于攻擊手法的行為監(jiān)測(cè)”的入侵防御產(chǎn)品才能夠精確地檢測(cè)到SQL注入攻擊。

40、如何防御XSS

答：要想從根本上解決XSS攻擊，就要對(duì)Web應(yīng)用程序源代碼進(jìn)行檢查，發(fā)現(xiàn)安全漏洞進(jìn)行修改。但是這種方法在實(shí)際中給用戶(hù)帶來(lái)了不便，如：需要花費(fèi)大量的人力財(cái)力;可能無(wú)法找到當(dāng)時(shí)的網(wǎng)站開(kāi)發(fā)人員、需要網(wǎng)站下線(xiàn)等。對(duì)代碼進(jìn)行修改后，由于增加了過(guò)濾條件和功能，同時(shí)也給服務(wù)器帶來(lái)了計(jì)算壓力。通常的解決方法是在數(shù)據(jù)庫(kù)服務(wù)器前端部署入侵防御產(chǎn)品。XSS攻擊具有變種多、隱蔽性強(qiáng)等特點(diǎn)，傳統(tǒng)的特征匹配檢測(cè)方式不能有效地進(jìn)行防御，需要采用基于攻擊手法的行為監(jiān)測(cè)的入侵防御產(chǎn)品產(chǎn)品才能夠精確地檢測(cè)到XSS攻擊。

41、如何發(fā)現(xiàn)網(wǎng)站掛馬

答：服務(wù)器被掛馬，通常情況下，若出現(xiàn)諸如“彈出頁(yè)面”，則可以比較容易發(fā)現(xiàn)，發(fā)現(xiàn)防病毒軟件告警之類(lèi)，則可以發(fā)現(xiàn)服務(wù)器被掛馬;由于漏洞不斷更新，掛馬種類(lèi)時(shí)刻都在變換，通過(guò)客戶(hù)端的反映來(lái)發(fā)現(xiàn)服務(wù)器是否被掛馬往往疏漏較大;正確的做法是經(jīng)常性的檢查服務(wù)器日志，發(fā)現(xiàn)異常信息;經(jīng)常檢查網(wǎng)站代碼，借助于專(zhuān)業(yè)的檢測(cè)工具來(lái)發(fā)現(xiàn)網(wǎng)頁(yè)木馬會(huì)大大提高工作效率和準(zhǔn)確度。

什么是 Web安全？Web應(yīng)用漏洞的防御實(shí)現(xiàn)

什么是 Web安全？

Web安全是計(jì)算機(jī)術(shù)語(yǔ)。隨著Web2.0、社交網(wǎng)絡(luò)等一系列新型的互聯(lián)網(wǎng)產(chǎn)品誕生問(wèn)世，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來(lái)越廣泛，企業(yè)信息化的過(guò)程中各種應(yīng)用都架設(shè)在Web平臺(tái)上，Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的窺探，接踵而至的就是Web安全威脅的凸顯。

黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁(yè)內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁(yè)中植入惡意代碼，使得網(wǎng)站訪問(wèn)者受到侵害。

Web安全的現(xiàn)狀及原因

目前，很多業(yè)務(wù)都依賴(lài)于互聯(lián)網(wǎng)，無(wú)論是網(wǎng)上銀行、網(wǎng)上購(gòu)物、還是網(wǎng)絡(luò) 游戲 等，惡意攻擊者們出于各種不良目的，對(duì)Web 服務(wù)器進(jìn)行攻擊，想方設(shè)法通過(guò)各種手段獲取他人的個(gè)人賬戶(hù)信息謀取利益。正是如此，Web業(yè)務(wù)平臺(tái)最容易遭受攻擊。

而針對(duì)Web服務(wù)器的攻擊也是五花八門(mén)，常見(jiàn)的有掛馬、SQL注入、緩沖區(qū)溢出、嗅探、利用IIS等針對(duì)Webserver漏洞進(jìn)行攻擊。

一方面，由于TCP/IP的設(shè)計(jì)是沒(méi)有考慮安全問(wèn)題的，網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)是沒(méi)有任何安全防護(hù)。攻擊者們可利用系統(tǒng)漏洞造成系統(tǒng)進(jìn)程緩沖區(qū)溢出，攻擊者可能獲得或者提升自己在有漏洞的系統(tǒng)上的用戶(hù)權(quán)限來(lái)運(yùn)行任意程序，甚至安裝和運(yùn)行惡意代碼，竊取機(jī)密數(shù)據(jù)。

而應(yīng)用層面的軟件在開(kāi)發(fā)過(guò)程中也沒(méi)有過(guò)多考慮到安全的問(wèn)題，這使得程序本身存在很多漏洞，諸如緩沖區(qū)溢出、SQL注入等等流行的應(yīng)用層攻擊，這些都屬于在軟件研發(fā)過(guò)程中疏忽了對(duì)安全的考慮所致。

另一方面，個(gè)人用戶(hù)由于好奇心，被攻擊者利用木馬或病毒程序進(jìn)行攻擊，攻擊者將木馬或病毒程序捆綁在一些誘人的圖片、音視頻或免費(fèi)軟件等文件中，然后將這些文件置于某些網(wǎng)站當(dāng)中，再引誘用戶(hù)去單擊或下載運(yùn)行，或通過(guò)電子郵件附件和QQ、MSN等即時(shí)聊天軟件，將這些捆綁了木馬或病毒的文件發(fā)送給用戶(hù)，讓用戶(hù)打開(kāi)或運(yùn)行這些文件。

Web安全的三個(gè)細(xì)分

Web安全主要分為:1、保護(hù)服務(wù)器及其數(shù)據(jù)的安全。2、保護(hù)服務(wù)器和用戶(hù)之間傳遞的信息的安全。3、保護(hù)Web應(yīng)用客戶(hù)端及其環(huán)境安全這三個(gè)方面。

Web應(yīng)用防火墻

Web應(yīng)用安全問(wèn)題本質(zhì)上源于軟件質(zhì)量問(wèn)題。但Web應(yīng)用相較傳統(tǒng)的軟件，具有其獨(dú)特性。Web應(yīng)用往往是某個(gè)機(jī)構(gòu)所獨(dú)有的應(yīng)用，對(duì)其存在的漏洞，已知的通用漏洞簽名缺乏有效性；

需要頻繁地變更以滿(mǎn)足業(yè)務(wù)目標(biāo)，從而使得很難維持有序的開(kāi)發(fā)周期；需要全面考慮客戶(hù)端與服務(wù)端的復(fù)雜交互場(chǎng)景，而往往很多開(kāi)發(fā)者沒(méi)有很好地理解業(yè)務(wù)流程；人們通常認(rèn)為Web開(kāi)發(fā)比較簡(jiǎn)單，缺乏經(jīng)驗(yàn)的開(kāi)發(fā)者也可以勝任。

Web應(yīng)用安全，理想情況下應(yīng)該在軟件開(kāi)發(fā)生命周期遵循安全編碼原則，并在各階段采取相應(yīng)的安全措施。

然而，多數(shù)網(wǎng)站的實(shí)際情況是：大量早期開(kāi)發(fā)的Web應(yīng)用，由于 歷史 原因，都存在不同程度的安全問(wèn)題。對(duì)于這些已上線(xiàn)、正提供生產(chǎn)的Web應(yīng)用，由于其定制化特點(diǎn)決定了沒(méi)有通用補(bǔ)丁可用，而整改代碼因代價(jià)過(guò)大變得較難施行或者需要較長(zhǎng)的整改周期。

這種現(xiàn)狀，專(zhuān)業(yè)的Web安全防護(hù)工具是一種合理的選擇。WEB應(yīng)用防火墻（以下簡(jiǎn)稱(chēng)WAF）正是這類(lèi)專(zhuān)業(yè)工具，提供了一種安全運(yùn)維控制手段：基于對(duì)HTTP/HTTPS流量的雙向分析，為Web應(yīng)用提供實(shí)時(shí)的防護(hù)。

Web應(yīng)用漏洞的防御實(shí)現(xiàn)

對(duì)于常見(jiàn)的Web應(yīng)用漏洞，應(yīng)該從3個(gè)方面入手進(jìn)行防御：

1、對(duì) Web應(yīng)用開(kāi)發(fā)者而言

大部分Web應(yīng)用常見(jiàn)漏洞都是在Web應(yīng)用開(kāi)發(fā)中，由于開(kāi)發(fā)者沒(méi)有對(duì)用戶(hù)輸入的參數(shù)進(jìn)行檢測(cè)或者檢測(cè)不嚴(yán)格造成的。所以，Web應(yīng)用開(kāi)發(fā)者應(yīng)該樹(shù)立很強(qiáng)的安全意識(shí)，開(kāi)發(fā)中編寫(xiě)安全代碼；

對(duì)用戶(hù)提交的URL、查詢(xún)關(guān)鍵字、HTTP頭、POST數(shù)據(jù)等進(jìn)行嚴(yán)格的檢測(cè)和限制，只接受一定長(zhǎng)度范圍內(nèi)、采用適當(dāng)格式及編碼的字符，阻塞、過(guò)濾或者忽略其它的任何字符。通過(guò)編寫(xiě)安全的Web應(yīng)用代碼，可以消除絕大部分的Web應(yīng)用安全問(wèn)題。

2、對(duì)Web網(wǎng)站管理員而言

作為負(fù)責(zé)網(wǎng)站日常維護(hù)管理工作Web管理員，應(yīng)該及時(shí)跟蹤并安裝最新的、支撐Web網(wǎng)站運(yùn)行的各種軟件的安全補(bǔ)丁，確保攻擊者無(wú)法通過(guò)軟件漏洞對(duì)網(wǎng)站進(jìn)行攻擊。

除了軟件本身的漏洞外，Web服務(wù)器、數(shù)據(jù)庫(kù)等不正確的配置也可能導(dǎo)致Web應(yīng)用安全問(wèn)題。Web網(wǎng)站管理員應(yīng)該對(duì)網(wǎng)站各種軟件配置進(jìn)行仔細(xì)檢測(cè)，降低安全問(wèn)題的出現(xiàn)可能。

此外，Web管理員還應(yīng)該定期審計(jì)Web服務(wù)器日志，檢測(cè)是否存在異常訪問(wèn)，及早發(fā)現(xiàn)潛在的安全問(wèn)題。

3、使用網(wǎng)絡(luò)防攻擊設(shè)備

前兩種都是預(yù)防方式，相對(duì)來(lái)說(shuō)很理想化。在現(xiàn)實(shí)中，Web應(yīng)用系統(tǒng)的漏洞仍舊不可避免：部分Web網(wǎng)站已經(jīng)存在大量的安全漏洞，而Web開(kāi)發(fā)者和網(wǎng)站管理員并沒(méi)有意識(shí)到或發(fā)現(xiàn)這些安全漏洞。

由于Web應(yīng)用是采用HTTP協(xié)議，普通的防火墻設(shè)備無(wú)法對(duì)Web類(lèi)攻擊進(jìn)行防御，因此需要使用入侵防御設(shè)備來(lái)實(shí)現(xiàn)安全防護(hù)。

如何保證Web服務(wù)器安全？

一、在代碼編寫(xiě)時(shí)就要進(jìn)行漏洞測(cè)試。

二、對(duì)Web服務(wù)器進(jìn)行持續(xù)的監(jiān)控。

三、設(shè)置蜜罐，將攻擊者引向錯(cuò)誤的方向。

四、專(zhuān)人對(duì)Web服務(wù)器的安全性進(jìn)行測(cè)試。

在Web服務(wù)器的攻防戰(zhàn)上，這一個(gè)原則也適用。筆者建議，如果企業(yè)對(duì)于Web服務(wù)的安全比較高，如網(wǎng)站服務(wù)器上有電子商務(wù)交易平臺(tái)，此時(shí)最好設(shè)置一個(gè)專(zhuān)業(yè)的團(tuán)隊(duì)。他們充當(dāng)攻擊者的角色，對(duì)服務(wù)器進(jìn)行安全性的測(cè)試。這個(gè)專(zhuān)業(yè)團(tuán)隊(duì)主要執(zhí)行如下幾個(gè)任務(wù)。　

一是測(cè)試Web管理團(tuán)隊(duì)對(duì)攻擊行為的反應(yīng)速度。如可以采用一些現(xiàn)在比較流行的攻擊手段，對(duì)自己的Web服務(wù)器發(fā)動(dòng)攻擊。當(dāng)然這個(gè)時(shí)間是隨機(jī)的。預(yù)先Web管理團(tuán)隊(duì)并不知道。現(xiàn)在要評(píng)估的是，Web管理團(tuán)隊(duì)在多少時(shí)間之內(nèi)能夠發(fā)現(xiàn)這種攻擊的行為。這也是考驗(yàn)管理團(tuán)隊(duì)全天候跟蹤的能力。一般來(lái)說(shuō)，這個(gè)時(shí)間越短越好。應(yīng)該將這個(gè)時(shí)間控制在可控的范圍之內(nèi)。即使攻擊最后沒(méi)有成功，Web管理團(tuán)隊(duì)也應(yīng)該及早的發(fā)現(xiàn)攻擊的行為。畢竟有沒(méi)有發(fā)現(xiàn)、與最終有沒(méi)有取得成功，是兩個(gè)不同的概念。

二是要測(cè)試服務(wù)器的漏洞是否有補(bǔ)上。畢竟大部分的攻擊行為，都是針對(duì)服務(wù)器現(xiàn)有的漏洞所產(chǎn)生的。現(xiàn)在這個(gè)專(zhuān)業(yè)團(tuán)隊(duì)要做的就是，這些已發(fā)現(xiàn)的漏洞是否都已經(jīng)打上了安全補(bǔ)丁或者采取了對(duì)應(yīng)的安全措施。有時(shí)候我們都沒(méi)有發(fā)現(xiàn)的漏洞是無(wú)能為力，但是對(duì)于這些已經(jīng)存在的漏洞不能夠放過(guò)。否則的話(huà)，也太便宜那些攻擊者了。

新聞標(biāo)題：與web服務(wù)器安全有關(guān)的 與web服務(wù)器安全有關(guān)的措施有
文章起源：http://www.chinadenli.net/article32/dohjopc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App設(shè)計(jì)、網(wǎng)站收錄、品牌網(wǎng)站建設(shè)、品牌網(wǎng)站設(shè)計(jì)、App開(kāi)發(fā)、全網(wǎng)營(yíng)銷(xiāo)推廣

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)