网站安全,是指出于防止
网站受到外来电脑入侵者对其网站进行挂马,篡改
网页等行为而做出一系列的防御工作。
常见问题
大多数网站设计,只考虑正常用户稳定使用
但在黑客对漏洞敏锐的发觉和充分利用的动力下,网站存在的这些漏洞就被挖掘出来,且成为黑客们直接或间接获取利益的机会。对于Web应用程序的SQL
注入漏洞,有试验表明,通过搜寻1000个网站取样测试,检测到有15%的网站存在
sql注入漏洞。
网站防御措施过于落后,甚至没有真正的防御
大多数防御传统的基于特征识别的入侵防御技术或
内容过滤技术,对保护网站抵御
黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不唯一的网站攻击,基于特征匹配技术防御攻击,不能精确阻断攻击。因为黑客们可以通过构建任意表达式来绕过防御设备固化的特征库,比如:and 1=1 和 and 2=2是一类数据库语句,但可以人为任意构造数字构成同类语句的不同特征。而and、=等这些标识在WEB提交数据库应用中又是普遍存在的表达符号,不能作为攻击的唯一特征。因此,这就很难基于特征标识来构建一个精确阻断
SQL注入攻击的防御系统。导致目 前有很多黑客将sql注入成为入侵网站的首选攻击技术之一。基于
应用层构建的攻击,防火墙更是束手无策。
网站防御不佳还有另一个原因,有很多
网站管理员对网站的价值认识仅仅是一台
服务器或者是网站的建设成本,为了这个服务器而增加超出其成本的安全防护措施认为得不偿失。而实际网站遭受攻击之后,带来的
间接损失往往不能用一个服务器或者是网站建设成本来衡量,很多
信息资产在遭受攻击之后造成无形价值的流失。不幸的是,很多网站负责的单位、人员,只有在网站遭受攻击后,造成的损失远超过网站本身造价之后才意识就这一点。
黑客入侵后,未被及时发现
有些黑客通过篡改网页来传播一些非法信息或炫耀自己的水平,但篡改网页之前,黑客肯定基于对漏洞的利用,获得了网站控制权限。这不是最可怕的,因为黑客在获取权限后没有想要隐蔽自己,反而是通过篡改网页暴露自己,这虽然对网站造成很多负面影响,但黑客本身未获得直接利益。更可怕的是,黑客在获取网站的控制权限之后,并不暴露自己,而是利用所控制网站产生直接利益;网页
挂马就是一种利用网站,将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。访问网站而被种植木马的人通常也不知情,导致一些用户的机密信被窃取。网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务,但访问网站的人却遭受着
木马程序的危害。这种方式下,黑客们通常不会暴露自己,反而会尽量隐蔽,正好比暗箭难防,所以很多网站被挂木马数月仍然未被察觉。由于挂马原理是木马本身并非在网站本地,而是通过网页中加载一个能够让浏览者自动建立另外的下载连接完成木马下载,而这一切动作是可以很隐蔽的完成,各个用户不可见,因此这种情况下网站本地的病毒软件也无法发现这个挂马实体。
发现安全问题不能彻底解决
网站技术发展较快、安全问题日益突出,但由于关注重点不同,绝大多数的
网站开发与设计公司,网站安全代码设计方面了解甚少,发现网站安全存在问题和漏洞,其修补方式只能停留在页面修复,很难针对网站具体的漏洞原理对
源代码进行改造。这些也是为什么有些网站安装网页防止篡改、网站恢复软件后仍然遭受攻击。我们在一次网站安全检查过程中,曾经戏剧化的发现,网站的网页防篡改系统将早期植入的
恶意代码也保护了起来。这说明很少有人能够准确的了解网站
安全漏洞解决的问题是否彻底。
主要手段
攻击分类
1、利用
Web服务器的漏洞进行攻击。如CGI
缓冲区溢出,目录遍历漏洞利用等攻击;
2、利用网页自身的安全漏洞进行攻击。如SQL注入,
跨站脚本攻击等。
应用攻击
1、
缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的
二进制代码让
服务器执行溢出
堆栈中的恶意指令。
2、
Cookie假冒——精心修改
cookie数据进行用户假冒。
3、认证逃避——攻击者利用不安全的证书和身份管理。
4、非法输入——在
动态网页的输入中使用各种非法数据,获取服务器敏感数据。
5、强制访问——访问未授权的网页。
6、隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序。
7、
拒绝服务攻击——构造大量的非法请求,使Web服务器不能响应正常用户的访问。
8、
跨站脚本攻击——提交非法脚本,其他用户浏览时盗取用户账号等信息。
9、SQL注入——构造SQL代码让
服务器执行,获取敏感数据。
10、URL 访问限制失效——黑客可以访问非授权的资源连接强行访问一些登陆网页、历史网页。
11、被破坏的认证和 Session 管理——Session token 没有被很好的保护 在用户推出系统后,黑客能够盗窃 session。
12、DNS攻击——黑客利用DNS漏洞进行欺骗
DNS服务器,从而达到使DNS解析不正常,
IP地址被转向导致
网站服务器无法正常打开。
攻击手段
SQL注入
对于和
后台数据库产生交互的网页,如果没有对用户输入数据的合法性进行全面的判断,就会使应用程序存在
安全隐患。用户可以在可以提交正常数据的
URL或者
表单输入框中提交一段精心构造的数据库查询代码,使后台应用执行攻击着的SQL代码,攻击者根据程序返回的结果,获得某些他想得知的敏感数据,如管理员密码,保密商业资料等。
由于网页可以包含由
服务器生成的、并且由客户机浏览器解释的文本和
HTML标记。如果不可信的内容被引入到
动态页面中,则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨
站点脚本的提交,他就可以在网上上提交可以完成攻击的脚本,如JavaScript、VBScript、
ActiveX、HTML 或 Flash 等内容,普通用户一旦点击了网页上这些攻击者提交的脚本,那么就会在用户客户机上执行,完成从截获账户、更改用户设置、窃取和篡改
cookie到
虚假广告在内的种种攻击行为。
随着攻击向
应用层发展,传统网络安全设备不能有效的解决目 前的安全威胁,网络中的应用部署面临的安全问题必须通过一种全新设计的高性能防护应用层攻击的安全防火墙——
应用防火墙来解决。应用防火墙通过执行应用会话内部的请求来处理应用层。应用防火墙专门保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击。这些攻击包括利用
特殊字符或
通配符修改数据的数据攻击,设法得到命令串或逻辑语句的逻辑内容攻击,以及以账户、文件或主机为主要目标的目标攻击。
DNS攻击
黑客使用常见的
洪水攻击,阻击DNS
服务器,导致
DNS服务器无法正常工作,从而达到域名解析失败,造成网站无法访问。
安全检测
一、进行网站安全漏洞扫描
由于现 在很多网站都存在sql
注入漏洞,
上传漏洞等等漏洞,而黑客通过就可以通过网站这些漏洞,进行SQL注入进行攻击,通过上传漏洞进行木马上传等等。所以
网站安全检测很重要一步就是网站的漏洞检测。
有一些在线的
网站漏洞检测工具,可以免费进行
漏洞扫描和网站安全检测。
说明:对于发现的网站漏洞要及时修补。
二、网站木马的检测
网站被
挂马是非常普遍的事情,同时也是最头疼的一件事。所以网站安全检测中,网站是否被挂马是很重要的一个指标。
其实最简单的检测网站是否有挂马的行为,一些杀毒软件有在线安全中心,可以直接提交URL进行木马检测。
说明:网站被挂马是严重影响网站的信誉的,如有被挂马请暂时关闭网站,及时清理木马或木马链接的页面地址。
三、网站环境的检测
网站环境包括网站所在
服务器的安全环境和维护网站者的工作环境的安全
很多黑客入侵网站是由于攻击服务器,窃取用户资料。所以在选择服务器时要选择一个有保证的服务商,而且稳定服务器对网站的优化和
seo也很有帮助的。
而站长或维护着所处的环境也非常重要,如果本身系统就存在木马,那么盗取账号就变得很简单了。故要保持系统的安全,可以装必要的杀毒软件,还有就是账号和密码要设置复杂一些。
四、其它检测
黑链检测,由于现 在
黑链的利润很高,故现 在更多黑客入侵网站目的就是为挂链接,而被挂黑链会严重影响SEO的优化。
具体检测方法:
例如可以利用一些小工具查看有那些链接是PR比较低而且又比较陌生的链接就可能是黑链,将黑链删除就可以。
打开
宽带连接,进行宽带的检测和
IP地址的检测。以防止恶意的窃取用户资料。
结构设计
网站结构设计是网站设计的重要组成部分。在内容设计完成之后,网站的目标及内容主题等有关问题已经确定。结构设计要做的事情就是如何将内容划分为清晰合理的层次体系,比如栏目的划分及其关系、网页的层次及其关系、链接的路径设置、功能在网页上的分配等等,以上这些都仅仅是前台结构设计,而前台结构设计的实现需要强大的后台支撑,后台也应有良好的结构设计以保证前台结构设计的实现。显然网站的结构设计是体现内容设计与创意设计的关键环节。理清网页内容及栏目结构的脉络,使链接结构、导航线路层次清晰;内容与结构要突出主题。
安全措施
1、登录页面加密
在登录之后实施加密有可能有用,这就像把大门关上以防止马儿跑出去一样,不过他们并没有对登录会话加密,这就有点儿像在你锁上大门时却将钥匙放在了锁眼里一样。即使你的登录会话被传输到了一个加密的资源,在许多情况下,这仍有可能被一个恶意的黑客攻克,他会精心地伪造一个登录
表单,借以访问同样的资源,并访问敏感数据。通常加密方式有
MD5加密、
数据库加密等。
2、专业工具辅助
在市面目 前有许多针对于网站
安全漏洞的检测监测系统,但大多数是收费的,但也有一些免费的
网站安全检测平台,利用他们能够迅速找到网站的
安全隐患,同时一般也会给出相应的防范措施。
3、加密连接管理站点
使用不加密的连接(或仅使用轻度加密的连接),如使用不加密的
FTP或
HTTP用于Web
站点或Web
服务器的管理,就会将自己的大门向“中间人”攻击和登录/口令的
嗅探等手段敞开大门。因此请务必使用加密的协议,如
SSH等来访问安全资源,要使用经证实的一些安全工具如某人截获了你的登录和口令信息,他就可以执行你可做的一切操作。
4、兼容性加密
根据目 前的发展情况,
SSL已经不再是Web网站加密的最先进技术。可以考虑
TLS,即
传输层安全,它是
安全套接字层加密的继承者。要保证你所选择的任何加密方案不会限制你的用户基础。
避免连接
安全特性不可知或不确定的网络,也不要连接一些安全性差劲的网络,如一些未知的开放的无线访问点等。无论何时,只要你必须登录到
服务器或Web
站点实施管理,或访问其它的安全资源时,这一点尤其重要。如果你连接到一个没有安全保障的网络时,还必须访问Web站点或Web服务器,就必须使用一个安全代理,这样你到安全资源的连接就会来自于一个有安全保障的网络代理。
6、不共享登录信息
共享登录机要信息会引起诸多安全问题。这不但适用于
网站管理员或Web服务器管理员,还适用于在网站拥有登录凭证的人员,客户也不应当共享其登录凭证。登录凭证共享得越多,就越可能更公开地共享,甚至对不应当访问系统的人员也是如此;登录机要信息共享得越多,要建立一个跟踪索引借以跟踪、追查问题的源头就越困难,而且如果安全性受到损害或威胁因而需要改变登录信息时,就会有更多的人受到影响。
口令认证要比基于密钥的认证更容易被攻破。设置口令的目的是在需要访问一个安全的资源时能够更容易地记住登录信息。不过如果使用基于密钥的认证,并仅将密钥复制到预定义的、授权的系统(或复制到一个与授权的系统相分离的独立介质中,直接需要它时才取回),你将会得到并使用一个更强健的难于破解的认证凭证。
8. 维护一个安全的工作站
如果你从一个客户端系统连接到一个安全的资源
站点,而你又不能完全保证其安全性,你就不能保证某人并没有在监听你所做的一切。因此
键盘记录器、受到恶意损害的
网络加密客户以及黑客们的其它一些破坏安全性的伎俩都会准许某个未得到授权的个人访问敏感数据,而不管网络是否有安全措施,是否采用加密通信,也不管你是否部署了其它的网络保护。因此保障工作站的安全性是至关重要的。
备份和
服务器的失效转移可有助于维持最长的正常运行时间。虽然失效转移可以极大地减少服务器的宕机时间,但这并不是冗余性的唯一价值。用于失效转移计划中的备份服务器可以保持
服务器配置的最新,这样在发生灾难时你就不必从头开始重新构建你的服务器。备份可以确保客户端数据不会丢失,而且如果你担心受到损害系统上的数据落于不法之徒手中,就会毫不犹豫地删除这种数据。当然,你还必须保障失效转移和备份方案的安全,并定期地检查以确保在需要这些方案时不至于使你无所适从。
10. 确保对所有的系统都实施强健的安全措施,而不仅运用特定的Web安全措施
在这方面,可以采用一些通用的手段,如采用强口令,采用强健的外围防御系统,及时更新软件和为系统打补丁,关闭不使用的服务,使用
数据加密等手段保证系统的安全等。
11、利用防火墙防护网站安全
例如使用操作系统自带的Internet连接防火墙(ICF),检查出入防火墙的所有数据包,决定拦截或是放行那些数据包。防火墙可以是一种硬件、固件或者软件,例如专用防火墙设备、就是硬件形式的防火墙,包过滤路由器是嵌有防火墙固件的路由器,而代理服务器等软件就是软件形式的防火墙。
随着互联网的迅速成长,
个人网站、企业网站、社区网站……越来越多,同时网站竞争也越来越强,从而衍生出来的对网站的监控,网站监控是通过软件或者网站监控服务提供商对网站进行监控以及数据的获取从而达到网站的排错和数据的分析。
管理体系
信息安全管理就是通过保证维护信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的
软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全。建立
信息安全管理体系可以强化员工的信息安全意识,规范组织信息安全行为;对组织的关键
信息资产进行全面系统的保护,维持竞争优势;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度。
常见的网络信息安全管理体系(
ISMS)如图1所示,一般由四个基本组成部,第一是总体方针,第二是安全管理组织体系,第三是涵盖物理、网络、系统、应用、数据等方面的统一
安全策略,第四是可操作的安全管理制度、操作规范和流程。
◆安全管理最高指导方针
在充分遵循和参考国际国内信息安全管理标准、国家法律法规和行业规范的基础上,阐述了
安全管理体系建设的目的、适用范围、安全定义、体系结构、安全原则、关键性成功因素和声明等内容,对组织技术和管理各方面的安全工作具有通用指导性。
◆安全管理组织体系
建立健全组织信息系统的安全管理责任制。它明确定义了组织内部的安全管理组织体系,以便在整个组织体系范围内执行信息安全的管理工作。
分别从物理安全、网络安全、
系统安全、
应用安全、
数据安全、病毒防护、安全教育、应急恢复、口令管理、
安全审计、系统开发、第三方安全等方面提出了规范的安全策略要求。
◆安全管理制度、操作规范及流程
主要是从应用角度对各业务系统、各种信息技术角色相关的安全管理制度、操作规范、流程等提出具体的要求,对安全管理工作具有实际的指导作用。
◆管理员策略
制定管理员策略,负责对网站安全的维护,网络设备的安装、管理及日常维护(包括防火墙、
路由器、
交换机、
服务器等)。