基础知识学习之Web安全百问百答(2)

　　4)自身网络的安全状况

　　网站服务器所处的网络安全状况也影响着网站的安全，比如网络中存在的DoS攻击等，也会影响到网站的正常运营。

　　34、Web程序漏洞是怎么形成的

　　答：Web站点之所以存在如此众多的安全漏洞，是由下列所示的这些原因造成的：

　　1、 大部分的中小型网站都是使用某个建站模块建设的，而这些通用的建站模块不仅本身存在各种安全漏洞，同时一些使用它们的建站人员根本没有在建站完成后对站点进行安全加固。

　　2、 Web站点开发人员对安全不够重视，在编写网页时，没有对用户的输入进行验证，没有对数据的大小、类型和字符串进行规范，没有限制API函数对系统资源的使用，以及对Web服务器没有进行相应的资源限制，引起拒绝服务攻击。

　　3、 管理员对Web服务器主机系统及Web应用程序本身配置不当，一些中小企业自己管理的Web站点根本没有足够的技术人员来管理它们的安全。

　　4、 当Web站点是托管在某个电信机房时，对它们进行的远程管理存在安全风险。

　　5、 Web站点管理员本身技术水平的限制，对各种针对Web站点的安全攻击不了解，也没有端正工作态度，没能对站点进行认真的安全加固，以及进行日常的安全检查。

　　6、 Web站点所处网络大环境的安全设计不合理，以及没有将安全防范工作融入到站点整个生命周期的各个阶段。

　　7、 企业领导不够重视，在Web站点的安全防范方面投入的资金太少或不合理，没有制定一个有效的Web站点安全防范策略，明确Web站点日常管理流程，也没有对Web站点的管理人员和工作人员进行不断的安全培训。

　　35、黑客主要利用哪些方法对网站进行数据窃取和修改

　　答：黑客需要使用拥有一定权限的用户帐户才能对网站进行数据窃取和修改，所以可能造成用户权限泄漏或提升的漏洞，都可以被黑客利用来进行攻击，如SQL注入，溢出漏洞、暴力猜解等。

　　36、目前对Web服务器威胁较大的SQL注入工具有哪些?

　　答：网上常见的SQL注入工具有“啊D SQL注入工具”、pangolin、NBSI、HDSI、“管中窥豹注入工具”等。

　　37、目前对Web服务器威胁较大的XSS攻击工具有哪些?

　　答：网上常见的XSS攻击工具有sessionIE、Webscan、XSS Inject Scanner 等。

　　解决方案简介：

　　38、怎样应对Web业务安全事件

　　答：应对Web业务安全事件，从根本上的解决办法就是对Web应用程序源代码进行代码检查和漏洞修复，但是这会影响正常Web业务运行，而且费用较高。比较有效的解决方案是通过专业的Web业务安全检查工具或服务来检查网站安全状况，部署专业的Web安全产品。比如基于行为检测的入侵防御产品。同时在管理上，要求网管人员实时对网站进行监测，一旦发现网页被篡改等问题立刻进行页面恢复、删除恶意脚本等工作。

　　39、如何防御SQL注入

　　答：要想从根本上解决XSS攻击，就要对Web应用程序源代码进行检查，发现安全漏洞进行修改。但是这种方法在实际中给用户带来了不便，如：需要花费大量的人力财力、可能无法找到当时的网站开发人员、需要网站下线等。对代码进行修改后，由于增加了过滤条件和功能，同时也给服务器带来了计算压力。通常的解决方法是在数据库服务器前端部署入侵防御产品。SQL注入攻击具有变种多、隐蔽性强等特点，传统的特征匹配检测方式不能有效地进行防御，需要采用“基于攻击手法的行为监测”的入侵防御产品才能够精确地检测到SQL注入攻击。

　　40、如何防御XSS

　　答：要想从根本上解决XSS攻击，就要对Web应用程序源代码进行检查，发现安全漏洞进行修改。但是这种方法在实际中给用户带来了不便，如：需要花费大量的人力财力;可能无法找到当时的网站开发人员、需要网站下线等。对代码进行修改后，由于增加了过滤条件和功能，同时也给服务器带来了计算压力。通常的解决方法是在数据库服务器前端部署入侵防御产品。XSS攻击具有变种多、隐蔽性强等特点，传统的特征匹配检测方式不能有效地进行防御，需要采用基于攻击手法的行为监测的入侵防御产品产品才能够精确地检测到XSS攻击。41、如何发现网站挂马

　　答：服务器被挂马，通常情况下，若出现诸如“弹出页面”，则可以比较容易发现，发现防病毒软件告警之类，则可以发现服务器被挂马;由于漏洞不断更新，挂马种类时刻都在变换，通过客户端的反映来发现服务器是否被挂马往往疏漏较大;正确的做法是经常性的检查服务器日志，发现异常信息;经常检查网站代码，借助于专业的检测工具来发现网页木马会大大提高工作效率和准确度。

　　42、如何防止网站被挂马

　　答：防止网站被黑客挂马，可以从几个方面来考虑：Web应用程序的安全，采用专业的安全检查工具，对网页进行扫描，发现漏洞及时进行代码修改;Web服务器操作系统和主机的安全，可采用漏洞扫描工具对主机和系统进行扫描，采取升级、打补丁、修改配置等方式提高服务器主机的安全;也可以通过部署专业的Web安全防御产品来解决，通过IPS、Web应用防火墙等产品来阻断挂马行为;部署网页防篡改产品，一旦发现网页被挂马可以恢复到正常页面。

　　43、如何应对DOS/DDOS攻击

　　答：从目前现有的技术角度来讲，还没有一项解决办法针对DoS非常有效。所以，防止DoS攻击的最佳手段就是防患于未然。也就是说，首先要保证一般的外围主机和服务器的安全，使攻击者无法获得大量的无关主机，从而无法发动有效攻击。一旦单位内部的主机或临近网络的主机被黑客侵入，那么其他的主机被侵入的危险会变得很大。同时，如果网络内部或邻近的主机被用来对本机进行DoS攻击，攻击的效果会更明显。所以，必须保证这些外围主机和网络的安全。尤其是那些拥有高带宽和高性能服务器的网络，往往是黑客的首选目标。保护这些主机最好的办法就是及时了解有关本操作系统的安全漏洞以及相应的安全措施，及时安装补丁程序并注意定期升级系统软件，以免给黑客以可乘之机。另外，网管人员要加强对网络流量的管理，对网络资源的使用情况和带宽分配进行限制或控制，通过流量过滤产品进行限流，同时配合网络审计产品，可以对攻击进行审计和记录，溯源的同时可用于事后取证，必要时向ISP进行举报。

　　44、怎样才能找到网站漏洞

　　答：当网站的某个页面存在SQL注入或者跨站的漏洞时，攻击者会利用这个页面进行攻击。可以采用三种方式来找出存在漏洞的页面：

　　1. 采用Web漏洞扫描工具对网站进行扫描

　　2. 人工或使用工具对网站代码进行审核

　　3. 从Web服务日志分析攻击者提交的URL

　　45、网站被攻击后该如何恢复

　　答：网站被攻击后，应迅速断开网络。审查服务器日志、审查网站代码，找出网站的漏洞，进行修补。同时清楚攻击者留在服务器上的后门、账户等，修改所有用户的密码，对安全配置进行检查，确认无误后再重新上线。

　　46、如何保障网站管理员密码安全

　　答：攻击者获取到网站管理员密码可能有几种途径：1.通过暴力猜解 2.通过漏洞攻击获取权限后更改管理员密码 3.通过社会工程获得。

　　对于暴力猜解，在构建网站时，需要选择强度较高的加密算法，选择密码时，应该选择复杂密码，采用大小写、数字、特殊字符混合的密码，并定期更换密码。在网站认证页面的也应该有抗暴力猜解的设计。

　　对于通过漏洞获取权限的，需要定期检查服务器是否存在操作系统、服务、应用是否存在漏洞，及时安装补丁包，检测安全配置。

　　对于通过社会工程泄露的，需要制定并执行安全准则，来控制密码的保存和传递的范围与流程。

　　47、突发性黑客攻击和病毒该如何应对

　　答：首先应该建立一个应急处理流程，明确在突发问题时相关人员的职责、处理流程等，这样在突发性病毒和黑客攻击时就可以做到井井有条。

　　更重要的是应该建立日常工作的安全指南，把安全作为网站的开发、发布、维护的重要因素考虑，降低安全风险。

　　48、遭遇Web威胁防御后是不是重装系统的就可解决问题

　　答：重装系统可以简单快速地消除攻击者留下的后门和账户、修改的配置和文件等，但并没有解决原来的漏洞，因此重装系统一定要配合对操作系统、服务、应用的安全检查。

　　49、建立备份恢复体制是否可以完全保障Web业务的安全

　　答：备份恢复可以防止数据的丢失，是保证业务数据的重要步骤。但同样备份恢复并没有解决原来的漏洞，甚至可能在备份的数据中就留用攻击者留下的后门。

　　50、部署防病毒软件是否可以保护网站不遭受挂马威胁

　　答：防病毒软件可以检测和消除各种已知病毒，并能对一些病毒行为进行阻断。但对于不存在病毒体的手工和自动攻击过程无法防御。目前大量的挂马代码都是定制化，防病毒软件无法发现和避免。

　　51、做网站页面的代码修改是不是可以完全避免网站存在的问题

　　答：在Web威胁中占越来越重要位置的SQL注入和跨站脚本都是由于服务器对用户输入检查不够严格导致的。因此在代码开发时，就应该对用户数据进行过滤。但是大量的过滤将极大加中服务器负载，导致服务器可接受的请求急剧减少。

　　52、定期升级操作系统补丁和病毒库是不是就可以高枕无忧了

　　答：操作系统补丁可以解决操作系统本身的漏洞，及时更新病毒库可以使防病毒软件能够查杀最新的病毒，防止病毒对服务器的破坏。仅有这两种措施无法解决应用层漏洞带来的安全风险。

　　53、采用了非常复杂的管理员密码是不是就可防止黑客拿到管理员权限

　　答：攻击者获取到网站管理员密码可能有几种途径：1.通过暴力猜解 2.通过漏洞攻击获取权限后更改管理员密码 3.通过社会工程获得。

　　采用复杂密码可以在防止通过暴力破解，但不能放弃黑客通过漏洞或者社会工程攻击的方式获得。

　　54、设置网站管理员密码的注意事项

　　答：设置密码，应该选择复杂密码，采用大小写、数字、特殊字符混合的密码，并定期更换密码。不应该把密码以纸质或电子的形式记录下来，防止丢失。

　　55、费用有限的情况下如何做定期安全评估

　　答：目前网络上有很多的免费资料谈到如何做安全评估，也有很多免费工具可以用来做安全评估。因此需要网络管理人员花费一些时间来了解这些资料和工具。也有一些安全公司提供了远程评估服务，和现场评估服务相比，有更高的性价比。

　　56、如何防止网站的代码被外界漏洞扫描?

　　答：首先应该在代码设计开发阶段就考虑安全因素，减少代码中出现漏洞的可能性。其次在部署网站时可以考虑部署入侵防御产品产品，阻止对网站的扫描行为。

　　57、如何防范外界通过正常开放的端口进行入侵?

　　答：通过正常端口进行入侵一般有两种情况：

　　其一系统被种植了反弹木马，反弹木马程序的网络通讯源端口为防火墙系统开放端口。对于这种情况，一方面可以通过加强防火墙配置策略的严谨性，既配置具有方向性的防火墙策略;另外一方面是各个终端部署终端安全软件，保证非法进程无法驻留到终端之中。

　　其二是入侵者利用该端口服务器程序的漏洞进行入侵，通常是针对Web服务器的入侵，对于这种情况，建议部署具备Web攻击防御能力的设备，如入侵防御系统或应用防火墙设备。

　　58、在代码开发阶段如何预防Web威胁

　　答：要从两方面入手，其一是开发项目要制定编码规范，尤其要注意非法输入检查以及避免溢出漏洞;其二是在Web系统开发结束后，利用商用Web程序安全性评估软件或者评估服务对Web系统的安全性进行测试评估。

　　59、对成型的网站如何知道自己存在哪些Web威胁

　　答：对于一个已经成型的网站，由于代码复杂度较高，利用代码检查的方法很难发现存在漏洞，最好的办法是利用商用Web程序安全性评估软件或者评估服务对Web系统的安全性进行测试评估。

　　60、保护Web服务器应当从哪些方面进行考虑

　　答：主要从四方面进行考虑，其一：Web服务器所在操作系统的安全性;其二Web服务器所在网络的安全性;其三Web应用程序的安全性;其四：Web发布系统自身的安全性。61、如何提高Web服务器操作系统的安全

　　答：操作系统的安全性问题较多，这里以常用的WINDOWS系列操作系统为例，列举一些重点需要考虑的因素：

　　1) 操作系统帐号管理，包括设置安全性较高的帐号口令;帐号文件加密或者隐藏，关闭GUEST帐号等。

　　2) 设置访问控制策略，目前的WINDOWS操作系统均提供了主机防火墙，通过设置防火墙策略保证只有指定的端口、程序可以进行网络通讯。

　　3) 及时进行系统补丁，WINDOWS操作系统极为复杂，几乎每隔几天就有新的安全漏洞被发现，管理员应及时对操作系统进行打补丁。

　　4) 关闭Web服务无关的服务，减少系统与外界交互通讯的可能性。

　　5) 安装防病毒、通讯监视等软件，可以防止一些流行工具/木马/病毒的攻击。

　　62、如何提高Web服务器的网络威胁抵御能力

　　1) 部署硬件防火墙，进行严格的访问控制策略配置，阻挡无用的或者非法通讯进入Web服务器。

　　2) 部署入侵检测产品，以实现对入侵的实时监测和报警

　　3) 部署流量控制与管理硬件，以便抵御来自外界网络的DOS/DDOS攻击。

　　63、如何提高Web程序的安全性

　　答：要从三方面入手，其一是开发项目要制定编码规范，尤其要注意非法输入检查以及避免溢出漏洞;其二是在Web系统开发结束后，利用商用Web程序安全性评估软件或者评估服务对Web系统的安全性进行测试评估;其三是部署具备应用层威胁防御能力的安全产品如入侵防御产品或应用防火墙。

　　64、如何提高Web发布系统的安全性

　　答：操作系统的安全性问题较多，这里以常用的WINDOWS系列操作系统为例，列举一些重点需要考虑的因素：

　　1) 操作系统帐号管理，包括设置安全性较高的帐号口令;帐号文件加密或者隐藏，关闭GUEST帐号等。

　　2) 设置访问控制策略，目前的WINDOWS操作系统均提供了主机防火墙，通过设置防火墙策略保证只有指定的端口、程序可以进行网络通讯。

　　3) 及时进行系统补丁，WINDOWS操作系统极为复杂，几乎每隔几天就有新的安全漏洞被发现，管理员应及时对操作系统进行打补丁。

　　4) 关闭Web服务无关的服务，减少系统与外界交互通讯的可能性。

　　5) 安装防病毒、通讯监视等软件，可以防止一些流行工具/木马/病毒的攻击。

　　65、如何防御由于Web程序漏洞引起的Web服务器所面临的威胁

　　答：部署入侵防御产品或者应用防火墙设备。

　　66、如何规划网站安全

　　答：建议从如下几个方面考虑进行网站安全的规划：

　　1) 聘请专业网站开发人员，提高网站应用程序的安全性。

　　2) 对Web服务器所在主机的操作系统进行安全性增强并及时进行打补丁。

　　3) 经常性的进行网站安全性测试与评估，及时了解网站的状况。

　　4) 部署网络防火墙等设备提高服务器所在网络的安全性

　　5) 部署提供Web程序攻击防御能力的安全设备。

　　67、能否提供一些网站安全管理制度方面的建议

　　答：不同的机构对网站安全的要求不一样，因此也不会有通用的安全管理制度，这里列举一些重点需要考虑的方面供参考：

　　 数据备份制度--应当对重要文件、数据、操作系统及应用系统作定期备份，以便应急恢复。特别重要的部门还应当对重要文件和数据进行异地备份。

　　 口令管理制度--应该选择复杂密码，采用大小写、数字、特殊字符混合的密码，并定期更换密码。不应该把密码以纸质或电子的形式记录下来，防止丢失。

　　 物理安全制度--应当建立严格的门禁制度和日常管理制度，机房及机房内所有设备都应当由专人负责管理，每日应有机房值班记录、出入人员记录和各主要设备运行情况的记录。外来的系统维护人员进入机房，应当由值班人员陪同并对其工作内容做详细记录。

　　 系统运行期间的定期检测和升级制度--鉴于网络安全建设动态发展和不断更新的特点，应当对系统漏洞和弱点进行定期检测，并根据检测的结果采取相应的措施。要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级，关闭不必要的服务和端口，以防黑客利用系统漏洞和弱点非法入侵。

　　 审计制度--定期对各系统日志进行分析审计，便于发现是否存在异常的访问行为。

　　 应急响应制度--应当充分估计各种突发事件的可能性，做好应急响应方案，进行定期演练。同时，要与岗位责任制度相结合，保证应急响应方案的及时实施，将损失降到最低程度。

　　68、进行Web服务器保护应该采购那些安全设备

　　1) 在Web服务器前部署网络防火墙

　　2) 在Web服务器前部署专业入侵防御产品或者应用防火墙设备