本文介绍了网站安全检测的几个关键方面,包括漏洞扫描、木马检测、环境安全检测等,并提出了多种安全防护措施,如登录页加密、使用专业工具、加密连接管理站点等。
网站安全
主要从以下三个方面检查:1 攻击分类 2 应用攻击 3 攻击手段
攻击分类
1、利用Web服务器的漏洞进行攻击。如CGI缓冲区溢出,目录遍历漏洞利用等攻击;
2、利用网页自身的安全漏洞进行攻击。如SQL注入,跨站脚本攻击等。
应用攻击
3、认证逃避——攻击者利用不安全的证书和身份管理。
5、强制访问——访问未授权的网页。
8、
跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户帐号等信息。
9、SQL注入——构造SQL代码让
服务器执行,获取敏感数据。
10、URL 访问限制失效——
黑客可以访问非授权的资源连接强行访问一些登陆网页、历史网页。
11、被破坏的认证和 Session 管理——Session token 没有被很好的保护 在用户推出系统后,
黑客能够盗窃 session。
攻击手段
SQL注入
对于和
后台数据库产生交互的网页,如果没有对用户输入数据的合法性进行全面的判断,就会使应用程序存在
安全隐患。用户可以在可以提交正常数据的
URL或者
表单输入框中提交一段精心构造的数据库查询代码,使后台应用执行攻击着的SQL代码,攻击者根据程序返回的结果,获得某些他想得知的敏感数据,如管理员密码,保密商业资料等。
跨站脚本攻击
由于网页可以包含由
服务器生成的、并且由客户机浏览器解释的文本和
HTML标记。如果不可信的内容被引入到
动态页面中,则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨
站点脚本的提交,他就可以在网上上提交可以完成攻击的脚本,如JavaScript、VBScript、ActiveX、HTML 或 Flash 等内容,普通用户一旦点击了网页上这些攻击者提交的脚本,那么就会在用户客户机上执行,完成从截获帐户、更改用户设置、窃取和篡改
cookie到虚假广告在内的种种攻击行为。
随着攻击向
应用层发展,传统网络安全设备不能有效的解决目 前的安全威胁,网络中的应用部署面临的安全问题必须通过一种全新设计的高性能防护应用层攻击的安全防火墙——
应用防火墙来解决。
应用防火墙通过执行应用会话内部的请求来处理应用层。
应用防火墙专门保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击。
应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击。这些攻击包括利用特殊字符或
通配符修改数据的数据攻击,设法得到命令串或逻辑语句的逻辑内容攻击,以及以账户、文件或主机为主要目标的目标攻击。
DNS攻击
3安全检测
一、进行网站安全漏洞扫描
由于现 在很多网站都存在
sql
注入漏洞,
上传漏洞等等漏洞,而
黑客通过就可以通过网站这些漏洞,进行SQL注入进行攻击,通过上传漏洞进行木马上传等等。所以网站安全检测很重要一步就是网站的
漏洞检测。
有一些在线的网站漏洞检测工具,可以免费进行
漏洞扫描和网站安全检测。
说明:对于发现的网站漏洞要及时修补。
二、网站木马的检测
其实最简单的检测网站是否有
挂马的行为,一些杀毒软件有在线安全中心,可以直接提交URL进行木马检测。
说明:网站被
挂马是严重影响网站的信誉的,如有被挂马请暂时关闭网站,及时清理木马或木马链接的页面地址。
三、网站环境的检测
网站环境包括网站所在
服务器的安全环境和维护网站者的工作环境的安全
而站长或维护着所处的环境也非常重要,如果本身系统就存在木马,那么盗取帐号就变得很简单了。故要保持系统的安全,可以装必要的
杀毒软件,还有就是帐号和密码要设置复杂一些。
四、其它检测
黑链检测,由于现 在黑链的利润很高,故现 在更多
黑客入侵网站目的就是为挂链接,而被挂黑链会严重影响SEO的优化。
具体检测方法:
例如可以利用一些小工具查看有那些链接是PR比较低而且又比较陌生的链接就可能是
黑链,将黑链删除就可以。
五、远程连接检测
打开
宽带连接,进行宽带的检测和IP地址的检测。以防止恶意的窃取用户资料。
4结构设计
网站结构设计是网站设计的重要组成部分。在内容设计完成之后,网站的目标及内容主题等有关问题已经确定。结构设计要做的事情就是如何将内容划分为清晰合理的层次体系,比如栏目的划分及其关系、网页的层次及其关系、链接的路径设置、功能在网页上的分配等等,以上这些都仅仅是前台结构设计,而前台结构设计的实现需要强大的后台支撑,后台也应有良好的结构设计以保证前台结构设计的实现。显然网站的结构设计是体现内容设计与创意设计的关键环节。理清网页内容及栏目结构的脉络,使链接结构、导航线路层次清晰;内容与结构要突出主题。
5安全措施
1、登录页面加密
在登录之后实施加密有可能有用,这就像把大门关上以防止马儿跑出去一样,不过他们并没有对登录会话加密,这就有点儿像在你锁上大门时却将钥匙放在了锁眼里一样。即使你的登录会话被传输到了一个加密的资源,在许多情况下,这仍有可能被一个恶意的
黑客攻克,他会精心地伪造一个登录
表单,借以访问同样的资源,并访问敏感数据。通常加密方式有
MD5加密、
数据库加密等。
2、专业工具辅助
3、加密连接管理站点
使用不加密的连接(或仅使用轻度加密的连接),如使用不加密的
FTP或
HTTP用于
Web
站点或
Web
服务器的管理,就会将自己的大门向“中间人”攻击和登录/口令的
嗅探等手段敞开大门。因此请务必使用加密的协议,如
SSH等来访问安全资源,要使用经证实的一些安全工具如某人截获了你的登录和口令信息,他就可以执行你可做的一切操作。
4、兼容性加密
5、连接安全网络
避免连接
安全特性不可知或不确定的网络,也不要连接一些安全性差劲的网络,如一些未知的开放的无线访问点等。无论何时,只要你必须登录到
服务器或
Web
站点实施管理,或访问其它的安全资源时,这一点尤其重要。如果你连接到一个没有安全保障的网络时,还必须访问Web
站点或Web
服务器,就必须使用一个安全代理,这样你到安全资源的连接就会来自于一个有安全保障的网络代理。
6、不共享登录信息
共享登录机要信息会引起诸多安全问题。这不但适用于网站管理员或
Web
服务器管理员,还适用于在网站拥有登录凭证的人员,客户也不应当共享其登录凭证。登录凭证共享得越多,就越可能更公开地共享,甚至对不应当访问系统的人员也是如此;登录机要信息共享得越多,要建立一个跟踪索引借以跟踪、追查问题的源头就越困难,而且如果安全性受到损害或威胁因而需要改变登录信息时,就会有更多的人受到影响。
7. 采用基于密钥的认证而不是口令认证
口令认证要比基于
密钥的认证更容易被攻破。设置口令的目的是在需要访问一个安全的资源时能够更容易地记住登录信息。不过如果使用基于
密钥的认证,并仅将密钥复制到预定义的、授权的系统(或复制到一个与授权的系统相分离的独立介质中,直接需要它时才取回),你将会得到并使用一个更强健的难于破解的认证凭证。
8. 维护一个安全的工作站
如果你从一个
客户端系统连接到一个安全的资源
站点,而你又不能完全保证其安全性,你就不能保证某人并没有在监听你所做的一切。因此
键盘记录器、受到恶意损害的
网络加密客户以及
黑客们的其它一些破坏安全性的伎俩都会准许某个未得到授权的个人访问敏感数据,而不管网络是否有安全措施,是否采用加密通信,也不管你是否部署了其它的网络保护。因此保障工作站的安全性是至关重要的。
9. 运用冗余性保护网站
备份和
服务器的失效转移可有助于维持最长的正常运行时间。虽然失效转移可以极大地减少
服务器的宕机时间,但这并不是
冗余性的唯一价值。用于失效转移计划中的备份
服务器可以保持
服务器配置的最新,这样在发生灾难时你就不必从头开始重新构建你的服务器。备份可以确保客户端数据不会丢失,而且如果你担心受到损害系统上的数据落于不法之徒手中,就会毫不犹豫地删除这种数据。当然,你还必须保障失效转移和备份方案的安全,并定期地检查以确保在需要这些方案时不至于使你无所适从。
10. 确保对所有的系统都实施强健的安全措施,而不仅运用特定的Web安全措施
11、利用防火墙防护网站安全
例如使用操作系统自带的Internet连接防火墙(ICF),检查出入防火墙的所有数据包,决定拦截或是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如专用防火墙设备、就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。
12、运用网站监控措施
随着互联网的迅速成长,个人网站、企业网站、社区网站……越来越多,同时网站竞争也越来越强,从而衍生出来的对网站的监控,网站监控是通过软件或者网站监控服务提供商对网站进行监控以及数据的获取从而达到网站的排错和数据的分析。
扫一扫
1674
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
