如何防范网页挂马攻击从对WEB站点进行安全评估开始

如何防范网页挂马攻击从对WEB站点进展平安评估开场对于一些大型网站来说，通常拥有一整套已经执行了的WEB站点平安防范解决方案，但是，为什么一些网站还是会被攻击者挂载木马?下面是搜集的相关资料，供大家参考!其中一个最主要的原因是已经施行的WEB站点平安解决方案只可以应对已经出现的平安破绽和威胁。而攻击者总是在通过各种手段来分析网站中可能会存在的弱点或破绽，以便可以成功绕过网站当前的平安防范措施来施行挂马攻击。针对这样的一种WEB站点平安现状，最好的方式就是在部署相应的平安防范平安解决方案的同时，还必需采取与攻击者一样的手段，也就是在网站的运营过程中，不断对它进展平安评估，以此来找到网站中可能存在的弱点和破绽。对WEB站点进展平安评估是WEB平安防范处理过程中非常重要的一个环节，它应当贯穿站点的整个生命周期。对WEB站点施行平安评估的目的就是指平安评估人员，使用相应的评估工具和技术，经过一系列恰当的方法，对WEB效劳器本身、效劳器系统、后台数据库系统及网络中已经施行的平安机制，进展全面的检测和评估，以此来检测整个WEB系统是否还存在弱点，以及验证施行的平安机制是否有效。并根据最后的评估分析结果，对现有的平安策略进展修订，对施行的平安机制进展补充。一、制定WEB站点平安评估方案对WEB站点进展平安评估，为了可以到达最终的效果，事先先制定一个切合实际的平安评估方案是非常有意义的。当然，对于一些个人网站，或者只进展一次WEB站点弱点检测来说，也可以跳过制定平安评估方案这个环节，直接使用系统或WEB弱点检测工具对WEB站点所在的系统和其本身进展详细的弱点检测即可。假设需要对一个WEB站点进展全面的平安评估，或者你需要一个平安评估方案来指导你完成相应的WEB站点弱点检测任务，那么，我们可以按以以下出的内容，来构建一个适宜自己实际需求的WEB站点平安评估方案：1、为WEB站点平安评估确定一个最终目的，也就是为什么要这么做，这样做需要到达什么的目的。2、为WEB站点的平安评估指定平安评估人员。3、确定平安评估时详细的评估对象。4、为WEB站点的平安评估制定详细的时间方案表，假设没有什么特殊情况，我们应当严格按照这张时间表规定的时间对WEB站点施行平安评估。5、为WEB站点的平安评估指定详细的评估工具，并要求评估人员对这些工具进展相应的学习，以到达训练掌握它们的目的，还必需规定评估人员按时对这些评估软件所依赖的评估破绽库和软件本身进展不断的更新。6、规定是将平安评估工具平安装在目的WEB效劳器进展平安评估，还是在专门的硬件设备(例如笔记本电脑)上安装评估软件，然后在使用时再接入目的网络施行评估任务。7、明确详细的平安评估方法8、明确平安评估过程中需要注意的操作事项;9、明确平安评估的规章制度和评估人员责任;10、规定平安评估结果的记录方式，以及评估报告的上报、存档和检索方式。WEB站点平安评估方案应当根据实际的网络环境，以及站点的详细内容和功能，经过详细的调查和分析后，再由平安评估参与人员共同完成。当然，一个实际的WEB站点平安评估方案，所包括的内容可能比上述所列出的内容要多得多，也详细得多，在这里只是对它们做了一个简单的说明，详细的内容还需要大家根据实际情况做详细的补充。二、WEB站点平安评估的详细施行方式WEB站点平安评估的详细施行涉及到四个最关键的因素，它们是平安评估人员、评估工具、评估方法和评估对象。1、平安评估人员平安评估人员，应当包括WEB站点所有者、管理员及平安评估施行人员。平安评估施行人员的技术和，以及工作态度在一定程度上决定了评估的效果和可信性。有时，一些WEB站点不得不将平安评估任务外包给一些具有平安评估资质的第三方机构来完成，这也是一些没有详细的WEB站点管理员的中小企业WEB网站经常使用的方式。还有一些WEB站点，所有的工作都是由站点管理员一个人来完成，对于这样的WEB站点平安评估报告，通常只会被他自己所承受，也就是用来对站点当前的平安状况进展一次简单的体检，以此来做到心中有数。2、平安评估工具平安评估工具需要根据所要评估的详细对象来选择，不同的评估对象，所使用的评估工具是不一样的。这是由于有些平安评估工具只是针对某种效劳或软件，有些是针对整个主机或网络的;有些平安评估工具只能在某种操作系统平台下运行，而有些平安评估工具却能在许多流行的操作系统平台下运行;一些平安评估工具是软件方式的，还有一些是以独立的硬件方式存的;有些平安软件是的，而有一些是商业的。由此，要找到一款适宜的平安评估工具还真的不是随意选择几样这么简单。并且，一些其别人认为非常好用的平安评估工具，对于我们自己来说并不见得会很喜欢，因此，有时我们不得不经过不断的试用才会知道哪几款评估软件才是最适宜我们自己的。幸运的是，如今还是已经有许多功能强大的评估工具可以供我们选择，这些工具有：(1)NmapNmap是一个网络探测和平安扫描程序，我们可以使用它来扫描WEB站点所在系统或整个网络，并以此来得到WEB站点所在系统正在运行及提供什么样的效劳，开放了什么样的端口，使用什么样的操作系统等信息。Nmap支持包括UDP、TCPconnect()、TCPSYN()、ICMP、FIN及ACK等扫描方式，其中有许多扫描方式还可以用来检测防火墙及IDS/IPS等设备的回应情况。Nmap可以在类UNIX系统及Windows系统的终端下以命令方式运行，它的命令执行格式为：nmap[ScanType(s)][Options]。我们可以从insecure/网站上下载到它的最新版本，以及得到它的详细说明文档。(2)NessusNessus同样是一个功能强大的平安检测工具，它允许用户使用插件对它进展功能上的扩展。Nessus使用一个频繁更新的破绽库作为平安检测的根据。我们可以到.nessus网站上下载到它的版本Nessus3，以及得到它的详细的使用文档。如今大部分的平安人员都使用它来对网络或主机系统进展全面平安检测。(3)NiktoNikto是一款开放源代码、功能强大的WEB弱点扫描评估软件，它能对WEB效劳器的多种平安工程进展测试，能在230多种效劳器上扫描出2600多种有潜在危险的文件、CGI及其他问题。Nikto使用LibWhiske破绽库，Nikto已成为WEB站点管理员必备的WEB平安检测工具之一。可以到.cirt./网站上下载Nikto的最新版本。Nikto是基于PERL开发的程序，所以需要PERL环境。因此，当Nikto需要在Windows系统下使用时，要同时下载并安装ActiveStatePerl环境。当需要Nikto使用SSL的平安方式对WEB站点进展平安扫描时，还会用到Net::SSLeayPERL形式，此时必须保证系统中安装有OpenSSL。它们的详细安装和使用细节可以参考它们的帮助文档。另外，还有一个与Nikto相似的WEB弱点扫描工具Wikto，它不仅具有Nikto同样的功能，还提供GUI图形界面，但只能在Windows系统下运行。(4)N-StealthN-Stealth是ZMT公司出品的一款商业的WEB站点平安扫描软件，同时也有可以使用的版本，只是功能没有商业版本的多，破绽库也不支持自动更新。(5)ISSDatabaseScannerISS的数据库扫描器(DataBaseScanner)是一个针对数据库管理系统进展风险评估的检测工具。它可以自动识别数据库系统中各种潜在的平安问题，产生通俗易懂的报告来表示平安风险和弱点，并对违背和不遵循数据库平安策略的弱点和破绽提出修改建议。DatabaseScanner可以扫描的数据包括MicrosoftSOLServer6.x或7.x、SybaseAdaptiveServer11.x和Oracle8i,8.0或7.3。它能通过网络快速、方便地扫描数据库，去检查数据库中可能存在的平安破绽，全面评估所有的平安破绽和认证、受权、完好性方面的问题。除了上面介绍的平安扫描软件以外，还有一些软件也有可以用来进展平安检测工作，包括X-scan3.3、WebInject1.41和AcuixWVSFreeEdition，以及一款功能全面且性能强大的商业平安扫描软件ISSInterScanner等。另外，在使用任何评估工具之前，要先对其破绽库进展晋级更新。这是由于如今大多数平安评估工具都是利用破绽特征库来进展弱点检测的，只有保证它们的破绽特征库为最新状态，才有可能发现WEB站点及所依赖的系统上可能存在的最新破绽。3、平安评估方法平安评估方法就是详细的平安评估施行方式，它主要涉及到以下五个详细的方面：(1)由外向内测试这种平安评估方式就是以攻击者的角度从WEB站点所在网络构造中的外部，对它进展平安扫描工作，以此来检测WEB站点防范互联网远程攻击的才能。此种测试方式可以使用上述评估工具中的N-stealth、X-Scan和WebInject等工具来进展。(2)由内向外测试由内向外的平安检测方式是指从WEB站点所在网络构造的内部，对它进展平安扫描工作。这种平安检测方式主要用来检验WEB站点对内部的攻击防范才能，以及检测对用户权限分配情况和内部数据传输过程中的平安性。此时可使用一些操作系统内部网络命令，例如Netstat，以及Hping和Nikto、X-scan、Nmap、AcuixWVSFreeEdition等工具来进展完成检测任务。(3)模拟攻击测试模拟攻击测试是指在实际的测试过程中并不对WEB站点所在效劳器系统及WEB应用程序、网络设备进展真正的攻击事件。这种测试方式并不会对WEB站点的性能产生影响，平时大部分的平安评估工作应当使用模拟攻击的测试方式。(4)真实攻击测试当使用模拟攻击测试不能真正检验到网站的平安状况时，就可以使用真实的攻击测试。由于攻击是真实的，因此会对WEB站点的性能造成影响，因此这种方式最好在WEB开发的最初阶段，以及没有WEB业务的时候进展。如今有很多的网站都会请一些专门的黑客来对自己的站点进展真实的攻击，以便最大程度地检测出WEB站点中存在的平安破绽问题。(5)社会工程攻击测试有许多人认为社会工程只是攻击者用来进展攻击的一种手段，却不知它也是一种很好的检测企业内部员工及站点管理员反社会工程攻击才能强度的评测工具。我们可以通过、手机短信及电子邮件的方式对评测的人员施行与攻击一样的社会工程攻击测试。同样，我们还可以通过直接接触的方式对被评测者进展相应的社会工程攻击测试评估。当我们决定进展社会工程方式的平安评估工作时，最好让可信的第三方来进展，这样才可以到达最好的评估效果。4、评估对象评估对象就是指评估过程中详细的评估施行目的，包括WEB效劳器主机操作系统、WEB应用程序框架、数据库系统及网络根底设施等。这四个因素是WEB站点平安评估工作中缺一不可的，缺少任何一个或任何一个出现问题，都会使整个评估工作中断或使评估结果不可信。还有就是评估工具的使用并不一定得一次只使用一种工具，我们可以根据所要评估的对象和评估的内容进展组合应用。毕竟，有时一种工具只在某一个方面比较有效，而且，评估软件还存在误报和漏报的问题，组合使用工具，再加上评估人员自己经历的判断，就能将评估结果的有效性进步到最高程度。当WEB站点平安评估工作完成后，我们还应当根据平安评估结果，对平安策略进展相应的修订，同时对施行了的平安机制进展相应的补充。WEB站点的平安评估工作，在站点没有真正投入运行前，可不断地重复进展检测，直到我们认为已