Web安全問題解答(2)
42、如何防止網(wǎng)站被掛馬
答:防止網(wǎng)站被黑客掛馬,可以從幾個方面來考慮:Web應用程序的安全,采用專業(yè)的安全檢查工具,對網(wǎng)頁進行掃描,發(fā)現(xiàn)漏洞及時進行代碼修改;Web服務器操作系統(tǒng)和主機的安全,可采用漏洞掃描工具對主機和系統(tǒng)進行掃描,采取升級、打補丁、修改配置等方式提高服務器主機的安全;也可以通過部署專業(yè)的Web安全防御產(chǎn)品來解決,通過IPS、Web應用防火墻等產(chǎn)品來阻斷掛馬行為;部署網(wǎng)頁防篡改產(chǎn)品,一旦發(fā)現(xiàn)網(wǎng)頁被掛馬可以恢復到正常頁面。
43、如何應對DOS/DDOS攻擊
答:從目前現(xiàn)有的技術角度來講,還沒有一項解決辦法針對DoS非常有效。所以,防止DoS攻擊的最佳手段就是防患于未然。也就是說,首先要保證一般的外圍主機和服務器的安全,使攻擊者無法獲得大量的無關主機,從而無法發(fā)動有效攻擊。一旦單位內(nèi)部的主機或臨近網(wǎng)絡的主機被黑客侵入,那么其他的主機被侵入的危險會變得很大。同時,如果網(wǎng)絡內(nèi)部或鄰近的主機被用來對本機進行DoS攻擊,攻擊的效果會更明顯。所以,必須保證這些外圍主機和網(wǎng)絡的安全。尤其是那些擁有高帶寬和高性能服務器的網(wǎng)絡,往往是黑客的首選目標。保護這些主機最好的辦法就是及時了解有關本操作系統(tǒng)的安全漏洞以及相應的安全措施,及時安裝補丁程序并注意定期升級系統(tǒng)軟件,以免給黑客以可乘之機。另外,網(wǎng)管人員要加強對網(wǎng)絡流量的管理,對網(wǎng)絡資源的使用情況和帶寬分配進行限制或控制,通過流量過濾產(chǎn)品進行限流,同時配合網(wǎng)絡審計產(chǎn)品,可以對攻擊進行審計和記錄,溯源的同時可用于事后取證,必要時向ISP進行舉報。
44、怎樣才能找到網(wǎng)站漏洞
答:當網(wǎng)站的某個頁面存在SQL注入或者跨站的漏洞時,攻擊者會利用這個頁面進行攻擊。可以采用三種方式來找出存在漏洞的頁面:
1. 采用Web漏洞掃描工具對網(wǎng)站進行掃描
2. 人工或使用工具對網(wǎng)站代碼進行審核
3. 從Web服務日志分析攻擊者提交的URL
45、網(wǎng)站被攻擊后該如何恢復
答:網(wǎng)站被攻擊后,應迅速斷開網(wǎng)絡。審查服務器日志、審查網(wǎng)站代碼,找出網(wǎng)站的漏洞,進行修補。同時清楚攻擊者留在服務器上的后門、賬戶等,修改所有用戶的密碼,對安全配置進行檢查,確認無誤后再重新上線。
46、如何保障網(wǎng)站管理員密碼安全
答:攻擊者獲取到網(wǎng)站管理員密碼可能有幾種途徑:
1.通過暴力猜解 對于暴力猜解,在構建網(wǎng)站時,需要選擇強度較高的加密算法,選擇密碼時,應該選擇復雜密碼,采用大小寫、數(shù)字、特殊字符混合的密碼,并定期更換密碼。在網(wǎng)站認證頁面的也應該有抗暴力猜解的設計。
2.通過漏洞攻擊獲取權限后更改管理員密碼 對于通過漏洞獲取權限的,需要定期檢查服務器是否存在操作系統(tǒng)、服務、應用是否存在漏洞,及時安裝補丁包,檢測安全配置。
3.通過社會工程獲得。 對于通過社會工程泄露的,需要制定并執(zhí)行安全準則,來控制密碼的保存和傳遞的范圍與流程。
47、突發(fā)性黑客攻擊和病毒該如何應對
答:首先應該建立一個應急處理流程,明確在突發(fā)問題時相關人員的職責、處理流程等,這樣在突發(fā)性病毒和黑客攻擊時就可以做到井井有條。更重要的是應該建立日常工作的安全指南,把安全作為網(wǎng)站的開發(fā)、發(fā)布、維護的重要因素考慮,降低安全風險。
48、遭遇Web威脅防御后是不是重裝系統(tǒng)的就可解決問題
答:重裝系統(tǒng)可以簡單快速地消除攻擊者留下的后門和賬戶、修改的配置和文件等,但并沒有解決原來的漏洞,因此重裝系統(tǒng)一定要配合對操作系統(tǒng)、服務、應用的安全檢查。
49、建立備份恢復體制是否可以完全保障Web業(yè)務的安全
答:備份恢復可以防止數(shù)據(jù)的丟失,是保證業(yè)務數(shù)據(jù)的重要步驟。但同樣備份恢復并沒有解決原來的漏洞,甚至可能在備份的數(shù)據(jù)中就留用攻擊者留下的后門。
50、部署防病毒軟件是否可以保護網(wǎng)站不遭受掛馬威脅
答:防病毒軟件可以檢測和消除各種已知病毒,并能對一些病毒行為進行阻斷。但對于不存在病毒體的手工和自動攻擊過程無法防御。目前大量的掛馬代碼都是定制化,防病毒軟件無法發(fā)現(xiàn)和避免。
51、做網(wǎng)站頁面的代碼修改是不是可以完全避免網(wǎng)站存在的問題
答:在Web威脅中占越來越重要位置的SQL注入和跨站腳本都是由于服務器對用戶輸入檢查不夠嚴格導致的。因此在代碼開發(fā)時,就應該對用戶數(shù)據(jù)進行過濾。但是大量的過濾將極大加中服務器負載,導致服務器可接受的請求急劇減少。
52、定期升級操作系統(tǒng)補丁和病毒庫是不是就可以高枕無憂了
答:操作系統(tǒng)補丁可以解決操作系統(tǒng)本身的漏洞,及時更新病毒庫可以使防病毒軟件能夠查殺最新的病毒,防止病毒對服務器的破壞。僅有這兩種措施無法解決應用層漏洞帶來的安全風險。
53、采用了非常復雜的管理員密碼是不是就可防止黑客拿到管理員權限
答:攻擊者獲取到網(wǎng)站管理員密碼可能有幾種途徑:1.通過暴力猜解 2.通過漏洞攻擊獲取權限后更改管理員密碼 3.通過社會工程獲得。采用復雜密碼可以在防止通過暴力破解,但不能放棄黑客通過漏洞或者社會工程攻擊的方式獲得。
54、設置網(wǎng)站管理員密碼的注意事項
答:設置密碼,應該選擇復雜密碼,采用大小寫、數(shù)字、特殊字符混合的密碼,并定期更換密碼。不應該把密碼以紙質(zhì)或電子的形式記錄下來,防止丟失。
55、費用有限的情況下如何做定期安全評估
答:目前網(wǎng)絡上有很多的免費資料談到如何做安全評估,也有很多免費工具可以用來做安全評估。因此需要網(wǎng)絡管理人員花費一些時間來了解這些資料和工具。也有一些安全公司提供了遠程評估服務,和現(xiàn)場評估服務相比,有更高的性價比。
56、如何防止網(wǎng)站的代碼被外界漏洞掃描?
答:首先應該在代碼設計開發(fā)階段就考慮安全因素,減少代碼中出現(xiàn)漏洞的可能性。其次在部署網(wǎng)站時可以考慮部署入侵防御產(chǎn)品產(chǎn)品,阻止對網(wǎng)站的掃描行為。
57、如何防范外界通過正常開放的端口進行入侵?
答:通過正常端口進行入侵一般有兩種情況:
其一系統(tǒng)被種植了反彈木馬,反彈木馬程序的網(wǎng)絡通訊源端口為防火墻系統(tǒng)開放端口。對于這種情況,一方面可以通過加強防火墻配置策略的嚴謹性,既配置具有方向性的防火墻策略;另外一方面是各個終端部署終端安全軟件,保證非法進程無法駐留到終端之中。
其二是入侵者利用該端口服務器程序的漏洞進行入侵,通常是針對Web服務器的入侵,對于這種情況,建議部署具備Web攻擊防御能力的設備,如入侵防御系統(tǒng)或應用防火墻設備。
58、在代碼開發(fā)階段如何預防Web威脅
答:要從兩方面入手,其一是開發(fā)項目要制定編碼規(guī)范,尤其要注意非法輸入檢查以及避免溢出漏洞;其二是在Web系統(tǒng)開發(fā)結束后,利用商用Web程序安全性評估軟件或者評估服務對Web系統(tǒng)的安全性進行測試評估。
59、對成型的網(wǎng)站如何知道自己存在哪些Web威脅
答:對于一個已經(jīng)成型的網(wǎng)站,由于代碼復雜度較高,利用代碼檢查的方法很難發(fā)現(xiàn)存在漏洞,最好的辦法是利用商用Web程序安全性評估軟件或者評估服務對Web系統(tǒng)的安全性進行測試評估。
60、保護Web服務器應當從哪些方面進行考慮
答:主要從四方面進行考慮,其一:Web服務器所在操作系統(tǒng)的安全性;其二Web服務器所在網(wǎng)絡的安全性;其三Web應用程序的安全性;其四:Web發(fā)布系統(tǒng)自身的安全性。
61、如何提高Web服務器操作系統(tǒng)的安全
答:操作系統(tǒng)的安全性問題較多,這里以常用的WINDOWS系列操作系統(tǒng)為例,列舉一些重點需要考慮的因素:
1. 操作系統(tǒng)帳號管理,包括設置安全性較高的帳號口令;帳號文件加密或者隱藏,關閉GUEST帳號等。
2. 設置訪問控制策略,目前的WINDOWS操作系統(tǒng)均提供了主機防火墻,通過設置防火墻策略保證只有指定的端口、程序可以進行網(wǎng)絡通訊。
3. 及時進行系統(tǒng)補丁,WINDOWS操作系統(tǒng)極為復雜,幾乎每隔幾天就有新的安全漏洞被發(fā)現(xiàn),管理員應及時對操作系統(tǒng)進行打補丁。
4. 關閉Web服務無關的服務,減少系統(tǒng)與外界交互通訊的可能性。
5. 安裝防病毒、通訊監(jiān)視等軟件,可以防止一些流行工具/木馬/病毒的攻擊。
62、如何提高Web服務器的網(wǎng)絡威脅抵御能力
1. 部署硬件防火墻,進行嚴格的訪問控制策略配置,阻擋無用的或者非法通訊進入Web服務器。
2. 部署入侵檢測產(chǎn)品,以實現(xiàn)對入侵的實時監(jiān)測和報警
3. 部署流量控制與管理硬件,以便抵御來自外界網(wǎng)絡的DOS/DDOS攻擊。
63、如何提高Web程序的安全性
答:要從三方面入手,其一是開發(fā)項目要制定編碼規(guī)范,尤其要注意非法輸入檢查以及避免溢出漏洞;其二是在Web系統(tǒng)開發(fā)結束后,利用商用Web程序安全性評估軟件或者評估服務對Web系統(tǒng)的安全性進行測試評估;其三是部署具備應用層威脅防御能力的安全產(chǎn)品如入侵防御產(chǎn)品或應用防火墻。
64、如何提高Web發(fā)布系統(tǒng)的安全性
答:操作系統(tǒng)的安全性問題較多,這里以常用的WINDOWS系列操作系統(tǒng)為例,列舉一些重點需要考慮的因素:
1. 操作系統(tǒng)帳號管理,包括設置安全性較高的帳號口令;帳號文件加密或者隱藏,關閉GUEST帳號等。
2.設置訪問控制策略,目前的WINDOWS操作系統(tǒng)均提供了主機防火墻,通過設置防火墻策略保證只有指定的端口、程序可以進行網(wǎng)絡通訊。
3. 及時進行系統(tǒng)補丁,WINDOWS操作系統(tǒng)極為復雜,幾乎每隔幾天就有新的安全漏洞被發(fā)現(xiàn),管理員應及時對操作系統(tǒng)進行打補丁。
4. 關閉Web服務無關的服務,減少系統(tǒng)與外界交互通訊的可能性。
5. 安裝防病毒、通訊監(jiān)視等軟件,可以防止一些流行工具/木馬/病毒的攻擊。
65、如何防御由于Web程序漏洞引起的Web服務器所面臨的威脅
答:部署入侵防御產(chǎn)品或者應用防火墻設備。
66、如何規(guī)劃網(wǎng)站安全
答:建議從如下幾個方面考慮進行網(wǎng)站安全的規(guī)劃:
1. 聘請專業(yè)網(wǎng)站開發(fā)人員,提高網(wǎng)站應用程序的安全性。
2. 對Web服務器所在主機的操作系統(tǒng)進行安全性增強并及時進行打補丁。
3. 經(jīng)常性的進行網(wǎng)站安全性測試與評估,及時了解網(wǎng)站的狀況。
4. 部署網(wǎng)絡防火墻等設備提高服務器所在網(wǎng)絡的安全性
5.部署提供Web程序攻擊防御能力的安全設備。
67、能否提供一些網(wǎng)站安全管理制度方面的建議
答:不同的機構對網(wǎng)站安全的要求不一樣,因此也不會有通用的安全管理制度,這里列舉一些重點需要考慮的方面供參考:
數(shù)據(jù)備份制度--應當對重要文件、數(shù)據(jù)、操作系統(tǒng)及應用系統(tǒng)作定期備份,以便應急恢復。特別重要的部門還應當對重要文件和數(shù)據(jù)進行異地備份。
口令管理制度--應該選擇復雜密碼,采用大小寫、數(shù)字、特殊字符混合的密碼,并定期更換密碼。不應該把密碼以紙質(zhì)或電子的形式記錄下來,防止丟失。
物理安全制度--應當建立嚴格的門禁制度和日常管理制度,機房及機房內(nèi)所有設備都應當由專人負責管理,每日應有機房值班記錄、出入人員記錄和各主要設備運行情況的記錄。外來的系統(tǒng)維護人員進入機房,應當由值班人員陪同并對其工作內(nèi)容做詳細記錄。
系統(tǒng)運行期間的定期檢測和升級制度--鑒于網(wǎng)絡安全建設動態(tài)發(fā)展和不斷更新的特點,應當對系統(tǒng)漏洞和弱點進行定期檢測,并根據(jù)檢測的結果采取相應的措施。要及時對操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟件進行補丁包升級或者版本升級,關閉不必要的服務和端口,以防黑客利用系統(tǒng)漏洞和弱點非法入侵。
審計制度--定期對各系統(tǒng)日志進行分析審計,便于發(fā)現(xiàn)是否存在異常的訪問行為。
應急響應制度--應當充分估計各種突發(fā)事件的可能性,做好應急響應方案,進行定期演練。同時,要與崗位責任制度相結合,保證應急響應方案的及時實施,將損失降到最低程度。
68、進行Web服務器保護應該采購那些安全設備
1.在Web服務器前部署網(wǎng)絡防火墻
2. 在Web服務器前部署專業(yè)入侵防御產(chǎn)品或者應用防火墻設備
3. 在Web服務器所在網(wǎng)絡中部署網(wǎng)絡入侵檢測產(chǎn)品
4. 在Web服務器前部署流量管理設備
5. 在Web服務器上安裝防病毒軟件
6. 在Web服務器上安裝主機入侵檢測以及主機審計軟件
69、在網(wǎng)站安全建設中,有了IDS,我還需要入侵防御產(chǎn)品么
答:IDS和入侵防御產(chǎn)品是兩類不同的設備,IDS是針對攻擊進行檢測發(fā)現(xiàn)并報警,更關注檢測范圍的全面性;入侵防御產(chǎn)品是針對攻擊進行精確發(fā)現(xiàn)與阻斷,更關注威脅防御的準確性;應該說對于網(wǎng)站安全二者缺一不可。
70、進行Web服務器保護的最關鍵設備是哪個?
答:Web服務器面臨眾多威脅,但其中最有破壞力的是應用層威脅,所以對Web服務器來說,最關鍵的設備是具備應用層防護能力的設備,可以是入侵防御產(chǎn)品或者應用防火墻設備。
71、怎樣評價網(wǎng)站對SQL注入,XSS攻擊的防御能力。
答:比較好的辦法是進行Web系統(tǒng)的安全評估,可以采用商用軟件進行安全性評估,也可以雇傭專業(yè)的安全服務人員進行評估。
72、通過網(wǎng)站日志是否可以準確分析出攻擊全過程
答:網(wǎng)站日志可以記錄所有用戶在指定時間段內(nèi)的所有操作。不論黑客采用何種攻擊方式,在最后對網(wǎng)頁文件進行篡改或添加網(wǎng)頁木馬的時候,都會利用已存在或者是新添加的帳號進行操作,所以這些操作也可以被網(wǎng)站日志系統(tǒng)所記錄。從未被篡改和精簡的網(wǎng)站日志系統(tǒng)中,有經(jīng)驗的用戶可以分析出攻擊的整個過程,但由于一般情況下,網(wǎng)站日志系統(tǒng)不存在獨立的保障機制,攻擊者可以在攻擊完成后刪除操作日志,這種情況下,將無法判斷攻擊者的所作所為。也就是說,網(wǎng)站日志在未被篡改的情況下,可以從中分析攻擊過程,但如果被攻擊者修改過,將無法實現(xiàn)全面分析。
73、目前哪些設備可以抵御針對Web程序漏洞的攻擊?
答:針對Web程序漏洞攻擊的安全防御設備主要有入侵防御產(chǎn)品和Web應用防火墻。
74、目前增強Web服務器安全性的技術有的載體為軟件,需要部署在服務器內(nèi)部,有的載體為硬件,需要部署在Web服務器前面,那種更適合Web服務器呢?
答:Web業(yè)務是當前運用最為廣泛的網(wǎng)絡業(yè)務,一些流量大的Web網(wǎng)站特別是承載了大量交互業(yè)務的Web網(wǎng)站,如果采用部署在服務器內(nèi)部的軟件級安全系統(tǒng),將不得不耗費寶貴的系統(tǒng)資源來支撐分析計算的開銷,所以,如果您的Web業(yè)務系統(tǒng)對資源的需求不大(流量小,訪問量少),可以考慮采用軟件級安全系統(tǒng),否則,建議采用硬件級安全系統(tǒng)。
75、對于SQL注入攻擊,是否可以通過禁止SQL語句執(zhí)行來防御?
答:SQL注入利用的是Web頁面的代碼過濾不嚴格,攻擊者可以通過提交某些特殊構造的SQL語句插入SQL的特殊字符和字段,來實現(xiàn)對數(shù)據(jù)庫的非正常訪問。如果完全禁止SQL語句,當然可以實現(xiàn)對SQL注入的防御,但與此同時,正常的數(shù)據(jù)庫查詢語言也將無法執(zhí)行,除非Web站點是純靜態(tài)頁面,否則將無法正常訪問。采用禁止SQL語句執(zhí)行來防御SQL注入,純粹是因噎廢食。
76、對于SQL注入攻擊,弱點檢測和漏洞修補是否可以完全防止?
答:SQL注入攻擊是由于代碼編寫不夠嚴謹導致,沒有考慮到代碼的健壯性和安全性,由于Web程序漏洞的復雜性,安全分析人員很難通過弱點檢測和漏洞修補全面的檢查出SQL注入漏洞并進行修補。需要說明的是,Web系統(tǒng)每一次添加了新的頁面或應用,就需要再次進行弱點檢測和漏洞修補。
77、流量分析工具能夠發(fā)現(xiàn)針對Web服務器的攻擊嗎
答:流量分析工具可以發(fā)現(xiàn)針對Web服務器的一段時間的訪問狀況,如果存在基于流量的攻擊行為如拒絕服務之類,可以通過該類工具發(fā)現(xiàn),但如果是基于數(shù)據(jù)內(nèi)容的攻擊行為,由于這類攻擊并不帶來流量的任何異常,所以不會被流量分析工具所發(fā)現(xiàn)。
78、對于XSS攻擊,是否可以通過禁止腳本執(zhí)行來防御?
答:XSS攻擊是由于Web頁面代碼編寫不完善,導致攻擊者可以在頁面中插入惡意腳本,使得網(wǎng)站的訪問者在訪問這些頁面時遭受攻擊。如果在自己的瀏覽器完全禁用腳本執(zhí)行,可以起到防范XSS攻擊的作用,但與此同時,那些基于腳本的正常應用將無法正常訪問。
79、網(wǎng)站被XSS攻擊了,該怎么辦?
答:XSS攻擊可以讓黑客獲得攻擊任意一個訪問受害網(wǎng)站頁面的用戶,雖然不直接危害網(wǎng)站的安全,但一方面影響網(wǎng)站聲譽,另一方面如果網(wǎng)站管理者誤訪問惡意頁面,也有權限泄漏的可能。如果確認網(wǎng)站被XSS攻擊,首先要將黑客添加的惡意腳本清除,其次需要針對這些存在XSS漏洞的地方進行源碼級修改或采用專業(yè)的安全硬件產(chǎn)品如入侵防御產(chǎn)品。
80、網(wǎng)站被掛馬了,該怎么辦?
答:最簡單的辦法就是備份恢復,也可以在被掛馬頁面上手動刪除,但這只是解決表面問題的辦法,黑客還可以再次在同一地方進行攻擊。徹底的解決辦法是修改頁面源碼,避免再次被掛馬,也可以采用其他安全硬件產(chǎn)品如入侵防御產(chǎn)品進行防御。
81、網(wǎng)站被SQL注入攻擊了,該怎么辦?
答:SQL注入可以讓黑客獲得數(shù)據(jù)庫權限,可以竊取密碼,執(zhí)行修改/增加/刪除數(shù)據(jù)庫表等操作。所以,如果網(wǎng)站被SQL注入攻擊了,首先要依據(jù)日志查看是哪個用戶的權限泄漏導致的數(shù)據(jù)庫修改,并更換密碼,同時依據(jù)日志檢查存在注入點的頁面,進行代碼級的修復或采用專業(yè)的安全硬件產(chǎn)品如入侵防御產(chǎn)品。
通過這些Web安全知識學習,你更加有把握的保護好自己的電腦了么。
Web安全問題解答(2)
下一篇:網(wǎng)絡安全基礎知識介紹