2022年网站安全分析 .pdf

《2022年网站安全分析 .pdf》由会员分享，可在线阅读，更多相关《2022年网站安全分析 .pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网站安全分析定义：网站安全性分析即指， 分析者论述威胁网站安全的原因，提出在建立网站时应考虑的安全性目标以及防范手段。网站安全分析：1. 登录页面必须加密在登录之后实施加密有可能有用，这就像把大门关上以防止马儿跑出去一样，不过他们并没有对登录会话加密，这就有点儿像在你锁上大门时却将钥匙放在了锁眼里一样。即使你的登录会话被传输到了一个加密的资源，在许多情况下，这仍有可能被一个恶意的黑客攻克，他会精心地伪造一个登录表单，借以访问同样的资源，并访问敏感数据。2. 采取专业工具辅助在市面目前有许多针对于网站安全的检测平台，不过这些大多数是收费的，而目前标榜免费就只有亿思网站安全检测平台（iiscan）

2、 。通过这些网站安全检测平台能够迅速找到网站的安全隐患，而且这些平台都会提供针对其隐患做出相应措施。3. 通过加密连接管理你的站点使用不加密的连接 (或仅使用轻度加密的连接)，如使用不加密的FTP 或HTTP 用于 Web 站点或 Web 服务器的管理，就会将自己的大门向“中间人”攻击和登录 /口令的嗅探等手段敞开大门。因此请务必使用加密的协议，如SSH等来访问安全资源，要使用经证实的一些安全工具如OpenSSH等。否则，一旦某人截获了你的登录和口令信息，他就可以执行你可做的一切操作。4. 使用强健的、跨平台的兼容性加密根据目前的发展情况， SSL 已经不再是 Web 网站加密的最先进技术。可

3、以考虑 TLS，即传输层安全， 它是安全套接字层加密的继承者。要保证你所选择的任何加密方案不会限制你的用户基础。同样的原则也适用于后端的管理，在这里 SSH等跨平台的强加密方案要比微软的Windows 远程桌面等较弱的加密工具要更可取、更有优越性。5. 从一个安全有保障的网络连接避免从安全特性不可知或不确定的网络连接，也不要从安全性差劲的一些网络连接， 如一些开放的无线访问点等。无论何时， 只要你必须登录到服务器或Web站点实施管理， 或访问其它的安全资源时， 这一点尤其重要。 如果你连接到一个没有安全保障的网络时，还必须访问Web站点或 Web 服务器，就必须使用一个安全代理，这样你到安全资

4、源的连接就会来自于一个有安全保障的网络代理。6. 不要共享登录的机要信息共享登录机要信息会引起诸多安全问题。这不但适用于网站管理员或Web服务器管理员， 还适用于在网站拥有登录凭证的人员，客户也不应当共享其登录凭证。登录凭证共享得越多， 就越可能更公开地共享， 甚至对不应当访问系统的人员也是如此 ;登录机要信息共享得越多，要建立一个跟踪索引借以跟踪、追查问题的源头就越困难，而且如果安全性受到损害或威胁因而需要改变登录信息时，就会有更多的人受到影响。7. 采用基于密钥的认证而不是口令认证口令认证要比基于密钥的认证更容易被攻破。设置口令的目的是在需要访名师资料总结 - - -精品资料欢迎下载 -

5、- - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 5 页 - - - - - - - - - 问一个安全的资源时能够更容易地记住登录信息。不过如果使用基于密钥的认证，并仅将密钥复制到预定义的、授权的系统(或复制到一个与授权的系统相分离的独立介质中，直接需要它时才取回。)，你将会得到并使用一个更强健的难于破解的认证凭证。8. 维护一个安全的工作站如果你从一个客户端系统连接到一个安全的资源站点，而你又不能完全保证其安全性，你就不能保证某人并没有在监听你所做的一切。因此键盘记录器、受到恶意损害的网络加密客户以及黑客们的其它一

6、些破坏安全性的伎俩都会准许某个未得到授权的个人访问敏感数据，而不管网络是否有安全措施， 是否采用加密通信，也不管你是否部署了其它的网络保护。因此保障工作站的安全性是至关重要的。9. 运用冗余性保护网站备份和服务器的失效转移可有助于维持最长的正常运行时间。虽然失效转移可以极大地减少服务器的宕机时间，但这并不是冗余性的唯一价值。用于失效转移计划中的备份服务器可以保持服务器配置的最新，这样在发生灾难时你就不必从头开始重新构建你的服务器。备份可以确保客户端数据不会丢失，而且如果你担心受到损害系统上的数据落于不法之徒手中，就会毫不犹豫地删除这种数据。当然，你还必须保障失效转移和备份方案的安全，并定期地检

7、查以确保在需要这些方案时不至于使你无所适从。10. 确保对所有的系统都实施强健的安全措施，而不仅运用特定的Web安全措施在这方面，可以采用一些通用的手段，如采用强口令，采用强健的外围防御系统， 及时更新软件和为系统打补丁，关闭不使用的服务， 使用数据加密等手段保证系统的安全等。11. IIS 服务器网站安全性分析安全隐患分析a)数据库可能被下载b)数据库可能被解密c)ASP页面的安全性12. 源代码安全性隐患。由于 ASP 程序采用非编译性语言， 大大降低了程序源代码的安全性。如果黑客侵入站点，就可以获得ASP 源代码；同时对于租用服务器的用户，因个别服务器出租商的职业道德问题，也会造成ASP

8、应用程序源代码泄露。13.程序设计中容易被忽视的安全性问题ASP 代码使用表单实现交互，而相应的内容会反映在浏览器的地址栏中，如果不采用适当的安全措施， 只要记下这些内容， 就可以绕过验证直接进入某一页面。例如在浏览器中敲入“.page.asp?x=1 ” ，即可不经过表单页面直接进入满足“x=1”条件的页面。因此，在验证或注册页面中，必须采取特殊措施来避免此类问题的产生。14. 提高 IIS+ASP 网站安全性的方法防止数据库被下载a)非常规命名法。b)使用 ODBC 数据源。c)对 ASP 页面进行加密d)注册验证名师资料总结 - - -精品资料欢迎下载 - - - - - - - - -

9、 - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 5 页 - - - - - - - - - 网站安全问题的原因何在1.大多数网站设计，只考虑正常用户稳定使用但在黑客对漏洞敏锐的发觉和充分利用的动力下，网站存在的这些漏洞就被挖掘出来，且成为黑客们直接或间接获取利益的机会。对于 Web应用程序的 SQL注入漏洞，有试验表明，通过搜寻1000 个网站取样测试，检测到有11.3%存在SQL 注入漏洞。2.网站防御措施过于落后，甚至没有真正的防御大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术，对保护网站抵御黑客攻击的效果不佳。比如对SQL 注入、

10、跨站脚本这种特征不唯一的网站攻击，基于特征匹配技术防御攻击，不能精确阻断攻击。 因为黑客们可以通过构建任意表达式来绕过防御设备固化的特征库，比如：and 1=1 和 and 2=2是一类数据库语句，但可以人为任意构造数字构成同类语句的不同特征。而and、=等这些标识在 WEB 提交数据库应用中又是普遍存在的表达符号，不能作为攻击的唯一特征。因此，这就很难基于特征标识来构建一个精确阻断SQL 注入攻击的防御系统。导致目前有很多黑客将SQL 注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击，防火墙更是束手无策。网站防御不佳还有另一个原因，有很多网站管理员对网站的价值认识仅仅是一台服务器或者

11、是网站的建设成本，为了这个服务器而增加超出其成本的安全防护措施认为得不偿失。 而实际网站遭受攻击之后， 带来的间接损失往往不能用一个服务器或者是网站建设成本来衡量，很多信息资产在遭受攻击之后造成无形价值的流失。不幸的是，很多网站负责的单位、人员，只有在网站遭受攻击后，造成的损失远超过网站本身造价之后才意识就这一点。3.黑客入侵后，未被及时发现有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平，但篡改网页之前，黑客肯定基于对漏洞的利用，获得了网站控制权限。 这不是最可怕的， 因为黑客在获取权限后没有想要隐蔽自己，反而是通过篡改网页暴露自己，这虽然对网站造成很多负面影响， 但黑客本身未获得直接

12、利益。更可怕的是， 黑客在获取网站的控制权限之后，并不暴露自己，而是利用所控制网站产生直接利益;网页挂马就是一种利用网站， 将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。 访问网站而被种植木马的人通常也不知情，导致一些用户的机密信被窃取。 网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务， 但访问网站的人却遭受着木马程序的危害。这种方式下， 黑客们通常不会暴露自己， 反而会尽量隐蔽， 正好比暗箭难防， 所以很多网站被挂木马数月仍然未被察觉。 由于挂马原理是木马本身并非在网站本地，而是通过网页中加载一个能够让浏览者自动建立另外的下载连接完成木马下载，而这一切动作

13、是可以很隐蔽的完成， 各个用户不可见， 因此这种情况下网站本地的病毒软件也无法发现这个挂马实体。4.发现安全问题不能彻底解决网站技术发展较快、安全问题日益突出，但由于关注重点不同，绝大多数的网站开发与设计公司， 网站安全代码设计方面了解甚少，发现网站安全存在问题和漏洞，其修补方式只能停留在页面修复，很难针对网站具体的漏洞原理对源代码进行改造。 这些也是为什么有些网站安装网页放篡改、网站恢复软件后仍然遭受攻击。我们在一次网站安全检查过程中，曾经戏剧化的发现， 网站的网页放篡改系统将早期植入的恶意代码也保护了起来。这说明很少有人能够准确的了解网名师资料总结 - - -精品资料欢迎下载 - - -

14、- - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 5 页 - - - - - - - - - 站安全漏洞解决的问题是否彻底。网站安全问题及其危害常见的 Web攻击分为两类：一、利用 Web 服务器的漏洞进行攻击。如CGI 缓冲区溢出，目录遍历漏洞利用等攻击；二、利用网页自身的安全漏洞进行攻击。如SQL 注入，跨站脚本攻击等。常见的针对 Web应用的攻击有：1、缓冲区溢出攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令2、Cookie假冒精心修改cookie 数据进行用户假冒3、认证逃避攻击者利用

15、不安全的证书和身份管理4、非法输入在动态网页的输入中使用各种非法数据，获取服务器敏感数据5、强制访问访问未授权的网页6、隐藏变量篡改对网页中的隐藏变量进行修改，欺骗服务器程序7、拒绝服务攻击构造大量的非法请求，使Web服务器不能相应正常用户的访问8、跨站脚本攻击提交非法脚本，其他用户浏览时盗取用户帐号等信息9、SQL 注入构造 SQL 代码让服务器执行，获取敏感数据攻击手段举例说明SQL 注入对于和后台数据库产生交互的网页，如果没有对用户输入数据的合法性进行全面的判断，就会使应用程序存在安全隐患。用户可以在可以提交正常数据的URL 或者表单输入框中提交一段精心构造的数据库查询代码，使后台应用执

16、行攻击着的 SQL 代码，攻击者根据程序返回的结果，获得某些他想得知的敏感数据，如管理员密码，保密商业资料等。跨站脚本攻击由于网页可以包含由服务器生成的、并且由客户机浏览器解释的文本和HTML 标记。如果不可信的内容被引入到动态页面中，则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨站点脚本的提交，他就可以在网上上提交可以完成攻击的脚本，如 JavaScript 、VBScript、ActiveX 、HTML 或 Flash 等内容，普通用户一旦点击了网页上这些攻击者提交的脚本，那么就会在用户客户机上执行，完成从截获帐户、更改用户设置、

17、窃取和篡改cookie 到虚假广告在内的种种攻击行为。随着攻击向应用层发展，传统网络安全设备不能有效的解决目前的安全威胁， 网络中的应用部署面临的安全问题必须通过一种全新设计的高性能防护应用层攻击的安全防火墙应用防火墙来解决。应用防火墙通过执行应用会话内部的请求来处理应用层。应用防火墙专门保护Web 应用通信流和所有相关的应用资源免受利用Web 协议发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和 HTTP 攻击。这些攻击包括利用特殊字符或通配符修改数据的数据攻击，设法得到命令串或逻辑语句的逻辑内容攻击，以及以账户、 文件或主机为主要目标的目标攻击。网站安全检测一、进行网站安全漏

18、洞扫描名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 5 页 - - - - - - - - - 由于现在很多网站都存在sql 注入漏洞，上传漏洞等等漏洞，而黑客通过就可以通过网站这些漏洞，进行SQL 注入进行攻击，通过上传漏洞进行木马上传等等。所以网站安全检测很重要一步就是网站的漏洞检测。亿思网站安全检测平台，是在线的网站漏洞检测工具，之前都是需要邀请码才可以注册使用的，不过目前已经开放免费使用了。将已经认证好的网站的URL 填入扫描栏，根据实际情况将输出报表和扫描的选

19、项选好，安添加任务运行就可以。一般选择“All 选项”就可以。等扫描完后就可以查看网站所存在的漏洞和存在的网页，可以根据报告里面的建议进行漏洞修补，但请注意，在修改网页代码之前要先做好备份工作。说明：对于发现的网站漏洞要及时修补。二、网站木马的检测网站被挂马是非常普遍的事情，同时也是最头疼的一件事。所以网站安全检测中，网站是否被挂马是很重要的一个指标。其实最简单的检测网站是否有挂马的行为，很简单，直接开个杀毒软件，如何看看有没有挂马提示就可以啦。 当然还有直接去这些杀毒软件建立的网站安全中心，直接提交URL 进行木马检测。说明：网站被挂马是严重影响网站的信誉的，故有被挂马，请速度暂时关闭网站，

20、及时清理木马。三、网站环境的检测网站环境包括网站所在服务器的安全环境和维护网站者的工作环境的安全很多黑客入侵网站是由于攻击服务器，窃取用户资料。所以在选择服务器时要选择一个有保证的服务商， 而且稳定服务器对网站的优化和seo也很有帮助的。而站长或维护着所处的环境也非常重要，如果本身系统就存在木马，那么盗取帐号就变得很简单了。 故要保持系统的安全， 可以装瑞星，卡巴这些杀毒软件，还有就是帐号和密码要设置复杂一些。四、其它检测黑链检测，由于现在黑链的利润很高，故现在更多黑客入侵网站目的就是为挂链接，而被挂黑链会严重影响SEO 的优化。具体检测方法：可以利用站长工具网里面工具中的 “死链接就爱内测 /全站 PR查询”的选项，将检测网站分析栏，选择“站外链接” ，按“显示链接”按钮，就会列出一堆站外链接，在里面可以查看有那些链接是PR比较低而且又比较陌生的链接就可能是黑链，将黑链删除就可以。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 5 页 - - - - - - - - -