如何進(jìn)行WEB安全性測(cè)試？

一般來(lái)說(shuō)，一個(gè)WEB應(yīng)用包括WEB服務(wù)器運(yùn)行的操作系統(tǒng)、WEB服務(wù)器、WEB應(yīng)用邏輯、數(shù)據(jù)庫(kù)幾個(gè)部分，其中任何一個(gè)部分出現(xiàn)安全漏洞，都會(huì)導(dǎo)致整個(gè)系統(tǒng)的安全性問題。\x0d\x0a對(duì)操作系統(tǒng)來(lái)說(shuō)，最關(guān)鍵的操作系統(tǒng)的漏洞，Windows上的RPC漏洞、緩沖區(qū)溢出漏洞、安全機(jī)制漏洞等等；\x0d\x0a對(duì)WEB服務(wù)器來(lái)說(shuō)，WEB服務(wù)器從早期僅提供對(duì)靜態(tài)HTML和圖片進(jìn)行訪問發(fā)展到現(xiàn)在對(duì)動(dòng)態(tài)請(qǐng)求的支持，早已是非常龐大的系統(tǒng)。\x0d\x0a對(duì)應(yīng)用邏輯來(lái)說(shuō)，根據(jù)其實(shí)現(xiàn)的語(yǔ)言不同、機(jī)制不同、由于編碼、框架本身的漏洞或是業(yè)務(wù)設(shè)計(jì)時(shí)的不完善，都可能導(dǎo)致安全上的問題。\x0d\x0a對(duì)WEB的安全性測(cè)試是一個(gè)很大的題目，首先取決于要達(dá)到怎樣的安全程度。不要期望網(wǎng)站可以達(dá)到100%的安全，須知，即使是美國(guó)國(guó)防部，也不能保證自己的網(wǎng)站100%安全。對(duì)于一般的用于實(shí)現(xiàn)業(yè)務(wù)的網(wǎng)站，達(dá)到這樣的期望是比較合理的：\x0d\x0a1、能夠?qū)γ艽a試探工具進(jìn)行防范；\x0d\x0a2、能夠防范對(duì)cookie攻擊等常用攻擊手段；\x0d\x0a3、敏感數(shù)據(jù)保證不用明文傳輸；\x0d\x0a4、能防范通過文件名猜測(cè)和查看HTML文件內(nèi)容獲取重要信息；\x0d\x0a5、能保證在網(wǎng)站收到工具后在給定時(shí)間內(nèi)恢復(fù)，重要數(shù)據(jù)丟失不超過1個(gè)小時(shí)；

創(chuàng)新互聯(lián)建站是一家企業(yè)級(jí)云計(jì)算解決方案提供商,超15年IDC數(shù)據(jù)中心運(yùn)營(yíng)經(jīng)驗(yàn)。主營(yíng)GPU顯卡服務(wù)器，站群服務(wù)器，成都服務(wù)器托管，海外高防服務(wù)器，機(jī)柜大帶寬，動(dòng)態(tài)撥號(hào)VPS，海外云手機(jī)，海外云服務(wù)器，海外服務(wù)器租用托管等。

如何保障Web服務(wù)器安全

不但企業(yè)的門戶網(wǎng)站被篡改、資料被竊取，而且還成為了病毒與木馬的傳播者。有些Web管理員采取了一些措施，雖然可以保證門戶網(wǎng)站的主頁(yè)不被篡改，但是卻很難避免自己的網(wǎng)站被當(dāng)作肉雞，來(lái)傳播病毒、惡意插件、木馬等等。筆者認(rèn)為，這很大一部分原因是管理員在Web安全防護(hù)上太被動(dòng)。他們只是被動(dòng)的防御。為了徹底提高Web服務(wù)器的安全，筆者認(rèn)為，Web安全要主動(dòng)出擊。具體的來(lái)說(shuō)，需要做到如下幾點(diǎn)。 一、在代碼編寫時(shí)就要進(jìn)行漏洞測(cè)試 現(xiàn)在的企業(yè)網(wǎng)站做的越來(lái)越復(fù)雜、功能越來(lái)越強(qiáng)。不過這些都不是憑空而來(lái)的，是通過代碼堆積起來(lái)的。如果這個(gè)代碼只供企業(yè)內(nèi)部使用，那么不會(huì)帶來(lái)多大的安全隱患。但是如果放在互聯(lián)網(wǎng)上使用的話，則這些為實(shí)現(xiàn)特定功能的代碼就有可能成為攻擊者的目標(biāo)。筆者舉一個(gè)簡(jiǎn)單的例子。在網(wǎng)頁(yè)中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼來(lái)發(fā)動(dòng)攻擊，來(lái)獲取管理員的密碼等等破壞性的動(dòng)作。有時(shí)候訪問某些網(wǎng)站還需要有某些特定的控件。用戶在安裝這些控件時(shí)，其實(shí)就有可能在安裝一個(gè)木馬(這可能訪問者與被訪問者都沒有意識(shí)到)。 為此在為網(wǎng)站某個(gè)特定功能編寫代碼時(shí)，就要主動(dòng)出擊。從編碼的設(shè)計(jì)到編寫、到測(cè)試，都需要認(rèn)識(shí)到是否存在著安全的漏洞。筆者在日常過程中，在這方面對(duì)于員工提出了很高的要求。各個(gè)員工必須對(duì)自己所開發(fā)的功能負(fù)責(zé)。至少現(xiàn)在已知的病毒、木馬不能夠在你所開發(fā)的插件中有機(jī)可乘。通過這層層把關(guān)，就可以提高代碼編寫的安全性。 二、對(duì)Web服務(wù)器進(jìn)行持續(xù)的監(jiān)控 冰凍三尺、非一日之寒。這就好像人生病一樣，都有一個(gè)過程。病毒、木馬等等在攻擊Web服務(wù)器時(shí)，也需要一個(gè)過程。或者說(shuō)，在攻擊取得成功之前，他們會(huì)有一些試探性的動(dòng)作。如對(duì)于一個(gè)采取了一定安全措施的Web服務(wù)器，從攻擊開始到取得成果，至少要有半天的時(shí)間。如果Web管理員對(duì)服務(wù)器進(jìn)行了全天候的監(jiān)控。在發(fā)現(xiàn)有異常行為時(shí)，及早的采取措施，將病毒與木馬阻擋在門戶之外。這種主動(dòng)出擊的方式，就可以大大的提高Web服務(wù)器的安全性。 筆者現(xiàn)在維護(hù)的Web服務(wù)器有好幾十個(gè)。現(xiàn)在專門有一個(gè)小組，來(lái)全天候的監(jiān)控服務(wù)器的訪問。平均每分鐘都可以監(jiān)測(cè)到一些試探性的攻擊行為。其中99%以上的攻擊行為，由于服務(wù)器已經(jīng)采取了對(duì)應(yīng)的安全措施，都無(wú)功而返。不過每天仍然會(huì)遇到一些攻擊行為。這些攻擊行為可能是針對(duì)新的漏洞，或者采取了新的攻擊方式。在服務(wù)器上原先沒有采取對(duì)應(yīng)的安全措施。如果沒有及時(shí)的發(fā)現(xiàn)這種行為，那么他們就很有可能最終實(shí)現(xiàn)他們的非法目的。相反，現(xiàn)在及早的發(fā)現(xiàn)了他們的攻擊手段，那么我們就可以在他們采取進(jìn)一步行動(dòng)之前，就在服務(wù)器上關(guān)掉這扇門，補(bǔ)上這個(gè)漏洞。 筆者在這里也建議，企業(yè)用戶在選擇互聯(lián)網(wǎng)Web服務(wù)器提供商的時(shí)候，除了考慮性能等因素之外，還要評(píng)估服務(wù)提供商能否提供全天候的監(jiān)控機(jī)制。在Web安全上主動(dòng)出擊，及時(shí)發(fā)現(xiàn)攻擊者的攻擊行為。在他們采取進(jìn)一步攻擊措施之前，就他們消除在萌芽狀態(tài)。 三、設(shè)置蜜罐，將攻擊者引向錯(cuò)誤的方向 在軍隊(duì)中，有時(shí)候會(huì)給軍人一些偽裝，讓敵人分不清真?zhèn)巍Ｆ鋵?shí)在跟病毒、木馬打交道時(shí)，本身就是一場(chǎng)無(wú)硝煙的戰(zhàn)爭(zhēng)。為此對(duì)于Web服務(wù)器采取一些偽裝，也能夠?qū)⒐粽咭蝈e(cuò)誤的方向。等到供給者發(fā)現(xiàn)自己的目標(biāo)錯(cuò)誤時(shí)，管理員已經(jīng)鎖定了攻擊者，從而可以及早的采取相應(yīng)的措施。筆者有時(shí)候?qū)⑦@種主動(dòng)出擊的行為叫做蜜罐效應(yīng)。簡(jiǎn)單的說(shuō)，就是設(shè)置兩個(gè)服務(wù)器。其中一個(gè)是真正的服務(wù)器，另外一個(gè)是蜜罐。現(xiàn)在需要做的是，如何將真正的服務(wù)器偽裝起來(lái)，而將蜜罐推向公眾。讓攻擊者認(rèn)為蜜罐服務(wù)器才是真正的服務(wù)器。要做到這一點(diǎn)的話，可能需要從如下幾個(gè)方面出發(fā)。 一是有真有假，難以區(qū)分。如果要瞞過攻擊者的眼睛，那么蜜罐服務(wù)器就不能夠做的太假。筆者在做蜜罐服務(wù)器的時(shí)候，80%以上的內(nèi)容都是跟真的服務(wù)器相同的。只有一些比較機(jī)密的信息沒有防治在蜜罐服務(wù)器上。而且蜜罐服務(wù)器所采取的安全措施跟真的服務(wù)器事完全相同的。這不但可以提高蜜罐服務(wù)器的真實(shí)性，而且也可以用來(lái)評(píng)估真實(shí)服務(wù)器的安全性。一舉兩得。 二是需要有意無(wú)意的將攻擊者引向蜜罐服務(wù)器。攻擊者在判斷一個(gè)Web服務(wù)器是否值得攻擊時(shí)，會(huì)進(jìn)行評(píng)估。如評(píng)估這個(gè)網(wǎng)站的流量是否比較高。如果網(wǎng)站的流量不高，那么即使被攻破了，也沒有多大的實(shí)用價(jià)值。攻擊者如果沒有有利可圖的話，不會(huì)花這么大的精力在這個(gè)網(wǎng)站服務(wù)器上面。如果要將攻擊者引向這個(gè)蜜罐服務(wù)器的話，那么就需要提高這個(gè)蜜罐服務(wù)器的訪問量。其實(shí)要做到這一點(diǎn)也非常的容易。現(xiàn)在有很多用來(lái)交互流量的團(tuán)隊(duì)。只要花一點(diǎn)比較小的投資就可以做到這一點(diǎn)。 三是可以故意開一些后門讓攻擊者來(lái)鉆。作為Web服務(wù)器的管理者，不僅關(guān)心自己的服務(wù)器是否安全，還要知道自己的服務(wù)器有沒有被人家盯上。或者說(shuō)，有沒有被攻擊的價(jià)值。此時(shí)管理者就需要知道，自己的服務(wù)器一天被攻擊了多少次。如果攻擊的頻率比較高，管理者就高興、又憂慮。高興的是自己的服務(wù)器價(jià)值還蠻大的，被這么多人惦記著。憂慮的是自己的服務(wù)器成為了眾人攻擊的目標(biāo)。就應(yīng)該抽取更多的力量來(lái)關(guān)注服務(wù)器的安全。 四、專人對(duì)Web服務(wù)器的安全性進(jìn)行測(cè)試 俗話說(shuō)，靠人不如靠自己。在Web服務(wù)器的攻防戰(zhàn)上，這一個(gè)原則也適用。筆者建議，如果企業(yè)對(duì)于Web服務(wù)的安全比較高，如網(wǎng)站服務(wù)器上有電子商務(wù)交易平臺(tái)，此時(shí)最好設(shè)置一個(gè)專業(yè)的團(tuán)隊(duì)。他們充當(dāng)攻擊者的角色，對(duì)服務(wù)器進(jìn)行安全性的測(cè)試。這個(gè)專業(yè)團(tuán)隊(duì)主要執(zhí)行如下幾個(gè)任務(wù)。 一是測(cè)試Web管理團(tuán)隊(duì)對(duì)攻擊行為的反應(yīng)速度。如可以采用一些現(xiàn)在比較流行的攻擊手段，對(duì)自己的Web服務(wù)器發(fā)動(dòng)攻擊。當(dāng)然這個(gè)時(shí)間是隨機(jī)的。預(yù)先Web管理團(tuán)隊(duì)并不知道。現(xiàn)在要評(píng)估的是，Web管理團(tuán)隊(duì)在多少時(shí)間之內(nèi)能夠發(fā)現(xiàn)這種攻擊的行為。這也是考驗(yàn)管理團(tuán)隊(duì)全天候跟蹤的能力。一般來(lái)說(shuō)，這個(gè)時(shí)間越短越好。應(yīng)該將這個(gè)時(shí)間控制在可控的范圍之內(nèi)。即使攻擊最后沒有成功，Web管理團(tuán)隊(duì)也應(yīng)該及早的發(fā)現(xiàn)攻擊的行為。畢竟有沒有發(fā)現(xiàn)、與最終有沒有取得成功，是兩個(gè)不同的概念。 二是要測(cè)試服務(wù)器的漏洞是否有補(bǔ)上。畢竟大部分的攻擊行為，都是針對(duì)服務(wù)器現(xiàn)有的漏洞所產(chǎn)生的。現(xiàn)在這個(gè)專業(yè)團(tuán)隊(duì)要做的就是，這些已發(fā)現(xiàn)的漏洞是否都已經(jīng)打上了安全補(bǔ)丁或者采取了對(duì)應(yīng)的安全措施。有時(shí)候我們都沒有發(fā)現(xiàn)的漏洞是無(wú)能為力，但是對(duì)于這些已經(jīng)存在的漏洞不能夠放過。否則的話，也太便宜那些攻擊者了。

如何提高WEB系統(tǒng)的安全性

服務(wù)器是網(wǎng)絡(luò)環(huán)境中為客戶機(jī)提供各種服務(wù)的、特殊的計(jì)算機(jī)系統(tǒng)，在網(wǎng)絡(luò)中具有非常重要的地位，服務(wù)器安全性顯得尤為重要。Web服務(wù)器安全漏洞 Web服務(wù)器上的漏洞可以從以下幾方面考慮： a.在Web服務(wù)器上你不讓人訪問的秘密文件、目錄或重要數(shù)據(jù)。 b.從遠(yuǎn)程用戶向服務(wù)器發(fā)送信息時(shí)。特別是信用卡之類東西時(shí)，中途遭不法分子非法攔截。 c.Web服務(wù)器本身存在一些漏洞，使得一些人能侵入到主機(jī)系統(tǒng)，破壞一些重要的數(shù)據(jù)，甚至造成系統(tǒng)癱瘓。 d.CGI安全方面的漏洞有： （1）有意或無(wú)意在主機(jī)系統(tǒng)中遺漏Bugs給非法黑客創(chuàng)造條件。 （2）用CGI腳本編寫的程序當(dāng)涉及到遠(yuǎn)程用戶從瀏覽器中輸入表格（Form），并進(jìn)行檢索（Search index），或form-mail之類在主機(jī)上直接操作命令時(shí)，或許會(huì)給Web主機(jī)系統(tǒng)造成危險(xiǎn)。提高系統(tǒng)安全性和穩(wěn)定性 a.限制在Web服務(wù)器開賬戶，定期刪除一些斷進(jìn)程的用戶。 b.對(duì)在Web服務(wù)器上開的賬戶，在口令長(zhǎng)度及定期更改方面作出要求，防止被盜用。 c.盡量使FTP、MAIL等服務(wù)器與之分開，去掉ftp,sendmail，tftp，NIS，NFS，finger，netstat等一些無(wú)關(guān)的應(yīng)用。 d.在Web服務(wù)器上去掉一些絕對(duì)不用的如SHELL之類的解釋器，即當(dāng)在你的CGI的程序中沒用到PERL時(shí)。就盡量把PERL在系統(tǒng)解釋器中刪除掉。 e.定期查看服務(wù)器中的日志logs文件。分析一切可疑事件。

web服務(wù)器安全措施有哪些

1.web代碼層面 主要是防注（sql injection）防跨（xss），能用的措施就是現(xiàn)成的代碼產(chǎn)品打好補(bǔ)丁，自己實(shí)現(xiàn)的代碼做好安全審計(jì)。防患于未然可以上WAF

2.服務(wù)框架層面 主要是防止系統(tǒng)本身的漏洞和錯(cuò)誤或遺漏的配置性漏洞。及時(shí)更新補(bǔ)丁，學(xué)習(xí)相應(yīng)安全配置。防0day的話上ips

3.流量壓力測(cè)試層面 主要是防cc，ddos等，做域名導(dǎo)向或者上CDN吧

文章標(biāo)題：web服務(wù)器安全性怎么做 web服務(wù)器安全性怎么做分析
網(wǎng)站地址：http://www.chinadenli.net/article42/dddchhc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供搜索引擎優(yōu)化、網(wǎng)站排名、網(wǎng)站維護(hù)、微信公眾號(hào)、虛擬主機(jī)、企業(yè)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)