《网站安全风险分析及对策》由会员分享,可在线阅读,更多相关《网站安全风险分析及对策(8页珍藏版)》请在人人文库网上搜索。
1、网站平安风险分析及对策 定义: 网站平安性分析即指,分析者论述威逼网站平安的缘由,提出在建立网站时应考虑的平安性目标以及防范手段。网站平安分析: 1.登录页面必需加密 在登录之后实施加密有可能有用,这就像把大门关上以防止马儿跑出去一样,不过他们并没有对登录会话加密,这就有点儿像在你锁上大门时却将钥匙放在了锁眼里一样。即使你的登录会话被传输到了一个加密的资源,在很多状况下,这仍有可能被一个恶意的黑客攻克,他会细心地伪造一个登录表单,借以访问同样的资源,并访问敏感数据。 2.实行专业工具挂念 在市面目前有很多针对于网站平安的检测平台,不过这些大多数是收费的,而目前标榜免费就只有亿思网站平安检测平台
2、(iiscan)。通过这些网站平安检测平台能够快速找到网站的平安隐患,而且这些平台都会供应针对其隐患做出相应措施。 3.通过加密连接管理你的站点 使用不加密的连接(或仅使用轻度加密的连接),如使用不加密的FTP或HTTP用于Web站点或Web服务器的管理,就会将自己的大门向“中间人”攻击和登录/口令的嗅探等手段放开大门。因此请务必使用加密的协议,如SSH等来访问平安资源,要使用经证明的一些平安工具如OpenSSH等。否则,一旦某人截获了你的登录和口令信息,他就可以执行你可做的一切操作。 4.使用强健的、跨平台的兼容性加密依据目前的进展状况,SSL已经不再是Web网站加密的最先进技术。可 以考虑
3、TLS,即传输层平安,它是平安套接字层加密的继承者。要保证你所选择的任何加密方案不会限制你的用户基础。同样的原则也适用于后端的管理,在这里SSH等跨平台的强加密方案要比微软的Windows远程桌面等较弱的加密工具要更可取、更有优越性。 5.从一个平安有保障的网络连接 避开从平安特性不行知或不确定的网络连接,也不要从平安性差劲的一些网络连接,如一些开放的无线访问点等。无论何时,只要你必需登录到服务器或Web站点实施管理,或访问其它的平安资源时,这一点尤其重要。假如你连接到一个没有平安保障的网络时,还必需访问Web站点或Web服务器,就必需使用一个平安代理,这样你到平安资源的连接就会来自于一个有平
4、安保障的网络代理。 6.不要共享登录的机要信息 共享登录机要信息会引起诸多平安问题。这不但适用于网站管理员或Web服务器管理员,还适用于在网站拥有登录凭证的人员,客户也不应当共享其登录凭证。登录凭证共享得越多,就越可能更公开地共享,甚至对不应当访问系统的人员也是如此;登录机要信息共享得越多,要建立一个跟踪索引借以跟踪、追查问题的源头就越困难,而且假如平安性受到损害或威逼因而需要转变登录信息时,就会有更多的人受到影响。 .7接受基于密钥的认证而不是口令认证 口令认证要比基于密钥的认证更简洁被攻破。设置口令的目的是在需要访 问一个平安的资源时能够更简洁地记住登录信息。不过假如使用基于密钥的认证,并
5、仅将密钥复制到预定义的、授权的系统(或复制到一个与授权的系统相分别的独立介质中,直接需要它时才取回。),你将会得到并使用一个更强健的难于破解的认证凭证。 网站平安问题的缘由何在 1.大多数网站设计,只考虑正常用户稳定使用 但在黑客对漏洞敏锐的发觉和充分利用的动力下,网站存在的这些漏洞就被挖掘出来,且成为黑客们直接或间接猎取利益的机会。对于Web应用程序的SQL注入漏洞,有试验表明,通过搜寻1000个网站取样测试,检测到有11.3%存在SQL注入漏洞。 上一页1 2下一页 2.网站防备措施过于落后,甚至没有真正的防备 大多数防备传统的基于特征识别的入侵防备技术或内容过滤技术,对疼惜网站抵抗黑客攻
6、击的效果不佳。比如对SQL注入、跨站脚本这种特征不唯一的网站攻击,基于特征匹配技术防备攻击,不能精确阻断攻击。由于黑客们可以通过构建任意表达式来绕过防备设备固化的特征库,比如:and1=1和and2=2是一类数据库语句,但可以人为任意构造数字构成同类语句的不同特征。而and、=等这些标识在WEB提交数据库应用中又是普遍存在的表达符号,不能作为攻击的唯一特征。因此,这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防备系统。导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击,防火墙更是束手无策。 网站防备不佳还有另一个缘由,有很多网站管理员对网站的价值生疏仅仅
7、是一台服务器或者是网站的建设成本,为了这个服务器而增加超出其成本的平安防护措施认为得不偿失。而实际网站患病攻击之后,带来的间接损失往往不能用一个服务器或者是网站建设成原来衡量,很多信息资产在患病攻击之后造成无形价值的流失。不幸的是,很多网站负责的单位、人员,只有在网站患病攻击后,造成的损失远超过网站本身造价之后才意识就这一点。 网站平安问题及其危害 常见的Web攻击分为两类: 一、利用Web服务器的漏洞进行攻击。如CGI缓冲区溢出,名目遍历漏洞利用等攻击; 二、利用网页自身的平安漏洞进行攻击。如SQL注入,跨站脚本攻击等。常见的针对Web应用的攻击有: 1、缓冲区溢出-攻击者利用超出缓冲区大小
8、的恳求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令 2、Cookie假冒-细心修改cookie数据进行用户假冒3、认证躲避-攻击者利用担忧全的证书和身份管理 4、非法输入-在动态网页的输入中使用各种非法数据,猎取服务器敏感数据 5、强制访问-访问未授权的网页 6、隐蔽变量篡改-对网页中的隐蔽变量进行修改,哄骗服务器程序 7、拒绝服务攻击-构造大量的非法恳求,使Web服务器不能相应正常用 户的访问 8、跨站脚本攻击-提交非法脚本,其他用户扫瞄时盗取用户帐号等信息 9、SQL注入-构造SQL代码让服务器执行,猎取敏感数据 网络与信息的平安不仅关系到正常工作的开展,还将影响到国家的平安、社会的
9、稳定。国安广告将认真开展网络与信息平安工作,通过检查进一步明确平安责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息平安。 网站运行平安保障措施 1、网站服务器和其他计算机之间设置防火墙,做好平安策略,拒绝外来的恶意程序攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存三个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用状况,主页维护者、对应的IP地址状况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到准时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统供应服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并准时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平常处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站供应集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限
原文链接:https://www.renrendoc.com/paper/147463802.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/17580
