网站安全风险分析及对策

网站安全风险分析及对策网站安全风险分析及对策 定义 网站安全性分析即指 分析者论述威胁网站安全的原因 提出在建立网站时应考虑的安全性目标以及防范手段 网站安 全分析 1 登录页面必须加密 在登录之后实施加密有可能有用 这就像把大门关上以防 止马儿跑出去一样 不过他们并没有对登录会话加密 这就有 点儿像在你锁上大门时却将钥匙放在了锁眼里一样 即使你的 登录会话被传输到了一个加密的资源 在许多情况下 这仍有 可能被一个恶意的黑客攻克 他会精心地伪造一个登录表单 借以访问同样的资源 并访问敏感数据 2 采取专业工具辅助 在市面目前有许多针对于网站安全的检测平台 不过这些 大多数是收费的 而目前标榜免费就只有亿思网站安全检测平 台 iiscan 通过这些网站安全检测平台能够迅速找到网站的 安全隐患 而且这些平台都会提供针对其隐患做出相应措施 3 通过加密连接管理你的站点 使用不加密的连接 或仅使用轻度加密的连接 如使用不 加密的 ftp 或 http 用于 web 站点或 web 服务器的管理 就会 将自己的大门向 中间人 攻击和登录 口令的嗅探等手段敞开大 门 因此请务必使用加密的协议 如 ssh 等来访问安全资源 要使用经证实的一些安全工具如 openssh 等 否则 一旦某人 截获了你的登录和口令信息 他就可以执行你可做的一切操作 4 使用强健的 跨平台的兼容性加密根据目前的发展情况 ssl 已经不再是 web 网站加密的最先进技术 可 以考虑 tls 即传输层安全 它是安全套接字层加密的继 承者 要保证你所选择的任何加密方案不会限制你的用户基础 同样的原则也适用于后端的管理 在这里 ssh 等跨平台的强加 密方案要比微软的 windows 远程桌面等较弱的加密工具要更可 取 更有优越性 5 从一个安全有保障的网络连接 避免从安全特性不可知或不确定的网络连接 也不要从安 全性差劲的一些网络连接 如一些开放的无线访问点等 无论 何时 只要你必须登录到服务器或 web 站点实施管理 或访问 其它的安全资源时 这一点尤其重要 如果你连接到一个没有 安全保障的网络时 还必须访问 web 站点或 web 服务器 就 必须使用一个安全代理 这样你到安全资源的连接就会来自于 一个有安全保障的网络代理 6 不要共享登录的机要信息 共享登录机要信息会引起诸多安全问题 这不但适用于网 站管理员或 web 服务器管理员 还适用于在网站拥有登录凭证 的人员 客户也不应当共享其登录凭证 登录凭证共享得越多 就越可能更公开地共享 甚至对不应当访问系统的人员也是如 此 登录机要信息共享得越多 要建立一个跟踪索引借以跟踪 追查问题的源头就越困难 而且如果安全性受到损害或威胁因 而需要改变登录信息时 就会有更多的人受到影响 7 采用基于密钥的认证而不是口令认证 口令认证要比基于密钥的认证更容易被攻破 设置口令的 目的是在需要访 问一个安全的资源时能够更容易地记住登录信息 不过如 果使用基于密钥的认证 并仅将密钥复制到预定义的 授权的 系统 或复制到一个与授权的系统相分离的独立介质中 直接需 要它时才取回 你将会得到并使用一个更强健的难于破解的 认证凭证 网站安全问题的原因何在 1 大多数网站设计 只考虑正常用户稳定使用 但在黑客对漏洞敏锐的发觉和充分利用的动力下 网站存 在的这些漏洞就被挖掘出来 且成为黑客们直接或间接获取利 益的机会 对于 web 应用程序的 sql 注入漏洞 有试验表明 通过搜寻 1000 个网站取样测试 检测到有 11 3 存在 sql 注入 漏洞 2 网站防御措施过于落后 甚至没有真正的防御 大多数防御传统的基于特征识别的入侵防御技术或内容过 滤技术 对保护网站抵御黑客攻击的效果不佳 比如对 sql 注 入 跨站脚本这种特征不唯一的网站攻击 基于特征匹配技术 防御攻击 不能精确阻断攻击 因为黑客们可以通过构建任意 表达式来绕过防御设备固化的特征库 比如 and1 1 和 and2 2 是一类数据库语句 但可以人为任意构造数字构成同类语句的 不同特征 而 and 等这些标识在 web 提交数据库应用中又 是普遍存在的表达符号 不能作为攻击的唯一特征 因此 这 就很难基于特征标识来构建一个精确阻断 sql 注入攻击的防御 系统 导致目前有很多黑客将 sql 注入成为入侵网站的首选攻 击技术之一 基于应用层构建的攻击 防火墙更是束手无策 网站防御不佳还有另一个原因 有很多网站管理员对网站 的价值认识仅仅是一台服务器或者是网站的建设成本 为了这 个服务器而增加超出其成本的安全防护措施认为得不偿失 而 实际网站遭受攻击之后 带来的间接损失往往不能用一个服务 器或者是网站建设成本来衡量 很多信息资产在遭受攻击之后 造成无形价值的流失 不幸的是 很多网站负责的单位 人员 只有在网站遭受攻击后 造成的损失远超过网站本身造价之后 才意识就这一点 网站安全问题及其危害 常见的 web 攻击分为两类 一 利用 web 服务器的漏洞进行攻击 如 cgi 缓冲区溢 出 目录遍历漏洞利用等攻击 二 利用网页自身的安全漏洞进行攻击 如 sql 注入 跨 站脚本攻击等 常见的针对 web 应用的攻击有 1 缓冲区溢出 攻击者利用超出缓冲区大小的请求和构造 的二进制代码让服务器执行溢出堆栈中的恶意指令 2 cookie 假冒 精心修改 cookie 数据进行用户假冒 3 认 证逃避 攻击者利用不安全的证书和身份管理 4 非法输入 在动态网页的输入中使用各种非法数据 获 取服务器敏感数据 5 强制访问 访问未授权的网页 6 隐藏变量篡改 对网页中的隐藏变量进行修改 欺骗服 务器程序 7 拒绝服务攻击 构造大量的非法请求 使 web 服务器 不能相应正常用 户的访问 8 跨站脚本攻击 提交非法脚本 其他用户浏览时盗取用 户帐号等信息 9 sql 注入 构造 sql 代码让服务器执行 获取敏感数据 网络与信息的安全不仅关系到正常工作的开展 还将影响 到国家的安全 社会的稳定 国安广告将认真开展网络与信息 安全工作 通过检查进一步明确安全责任 建立健全的管理制 度 落实技术防范措施 保证必要的经费和条件 对有毒有害 的信息进行过滤 对用户信息进行保密 确保网络与信息安全 网站运行安全保障措施 1 网站服务器和其他计算机之间设置防火墙 做好安全 策略 拒绝外来的恶意程序攻击 保障网站正常运行 2 在网站的服务器及工作站上均安装了相应的防病毒软 件 对计算机病毒 有害电子邮件有整套的防范措施 防止有 害信息对网站系统的干扰和破坏 3 做好访问日志的留存 网站具有保存三个月以上的系 统运行日志和用户使用日志记录功能 内容包括 ip 地址及使用 情况 主页维护者 对应的 ip 地址情况等 4 交互式栏目具备有 ip 地址 身份登记和识别确认功能 对非法贴子或留言能做到及时删除并进行重要信息向相关部门 汇报 5 网站信息服务系统建立多机备份机制 一旦主系统遇 到故障或受到攻击导致不能正常运行 可以在最短的时间内替 换主系统提供服务 6 关闭网站系统中暂不使用的服务功能 及相关端口 并及时用补丁修复系统漏洞 定期查杀病毒 7 服务器平时处于锁定状态 并保管好登录密码 后台 管理界面设置超级用户名及密码 并绑定 ip 以防他人登入 8 网站提供集中式权限管理 针对不同的应用系统 终 端 操作人员 由网站系统管理员