网站安全风险分析及对策

-.z.网站平安风险分析及对策定义：网站平安性分析即指，分析者论述威胁网站平安的原因，提出在建立网站时应考虑的平安性目标以及防范手段。网站平安分析：在登录之后实施加密有可能有用，这就像把大门关上以防止马儿跑出去一样，不过他们并没有对登录会话加密，这就有点儿像在你锁上大门时却将钥匙放在了锁眼里一样。即使你的登录会话被传输到了一个加密的资源，在许多情况下，这仍有可能被一个恶意的黑客攻克，他会精心地伪造一个登录表单，借以访问同样的资源，并访问敏感数据。在市面目前有许多针对于网站平安的检测平台，不过这些大多数是收费的，而目前标榜免费就只有亿思网站平安检测平台〔iiscan〕。通过这些网站平安检测平台能够迅速找到网站的平安隐患，而且这些平台都会提供针对其隐患做出相应措施。使用不加密的连接(或仅使用轻度加密的连接)，如使用不加密的FTP或HTTP用于Web站点或Web效劳器的管理，就会将自己的大门向"中间人〞攻击和登录/口令的嗅探等手段敞开大门。因此请务必使用加密的协议，如SSH等来访问平安资源，要使用经证实的一些平安工具如OpenSSH等。否则，一旦*人截获了你的登录和口令信息，他就可以执行你可做的一切操作。4.使用强健的、跨平台的兼容性加密根据目前的开展情况，SSL已经不再是Web网站加密的最先进技术。可以考虑TLS，即传输层平安，它是平安套接字层加密的继承者。要保证你所选择的任何加密方案不会限制你的用户根底。同样的原则也适用于后端的管理，在这里SSH等跨平台的强加密方案要比微软的Windows远程桌面等较弱的加密工具要更可取、更有优越性。防止从平安特性不可知或不确定的网络连接，也不要从平安性差劲的一些网络连接，如一些开放的无线访问点等。无论何时，只要你必须登录到效劳器或Web站点实施管理，或访问其它的平安资源时，这一点尤其重要。如果你连接到一个没有平安保障的网络时，还必须访问Web站点或Web效劳器，就必须使用一个平安代理，这样你到平安资源的连接就会来自于一个有平安保障的网络代理。共享登录机要信息会引起诸多平安问题。这不但适用于网站管理员或Web效劳器管理员，还适用于在网站拥有登录凭证的人员，客户也不应当共享其登录凭证。登录凭证共享得越多，就越可能更公开地共享，甚至对不应当访问系统的人员也是如此;登录机要信息共享得越多，要建立一个跟踪索引借以跟踪、追查问题的源头就越困难，而且如果平安性受到损害或威胁因而需要改变登录信息时，就会有更多的人受到影响。.7采用基于密钥的认证而不是口令认证口令认证要比基于密钥的认证更容易被攻破。设置口令的目的是在需要访问一个平安的资源时能够更容易地记住登录信息。不过如果使用基于密钥的认证，并仅将密钥复制到预定义的、授权的系统(或复制到一个与授权的系统相别离的独立介质中，直接需要它时才取回。)，你将会得到并使用一个更强健的难于破解的认证凭证。网站平安问题的原因何在1.大多数网站设计，只考虑正常用户稳定使用但在黑客对漏洞敏锐的觉察和充分利用的动力下，网站存在的这些漏洞就被挖掘出来，且成为黑客们直接或间接获取利益的时机。对于Web应用程序的SQL注入漏洞，有试验说明，通过搜寻1000个网站取样测试，检测到有11.3%存在SQL注入漏洞。2.网站防御措施过于落后，甚至没有真正的防御大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术，对保护网站抵御黑客攻击的效果不佳。比方对SQL注入、跨站脚本这种特征不唯一的网站攻击，基于特征匹配技术防御攻击，不能准确阻断攻击。因为黑客们可以通过构建任意表达式来绕过防御设备固化的特征库，比方：and1=1和and2=2是一类数据库语句，但可以人为任意构造数字构成同类语句的不同特征。而and、=等这些标识在WEB提交数据库应用中又是普遍存在的表达符号，不能作为攻击的唯一特征。因此，这就很难基于特征标识来构建一个准确阻断SQL注入攻击的防御系统。导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击，防火墙更是束手无策。网站防御不佳还有另一个原因，有很多网站管理员对网站的价值认识仅仅是一台效劳器或者是网站的建立本钱，为了这个效劳器而增加超出其本钱的平安防护措施认为得不偿失。而实际网站遭受攻击之后，带来的间接损失往往不能用一个效劳器或者是网站建立本钱来衡量，很多信息资产在遭受攻击之后造成无形价值的流失。不幸的是，很多网站负责的单位、人员，只有在网站遭受攻击后，造成的损失远超过网站本身造价之后才意识就这一点。网站平安问题及其危害常见的Web攻击分为两类：一、利用Web效劳器的漏洞进展攻击。如CGI缓冲区溢出，目录遍历漏洞利用等攻击；二、利用网页自身的平安漏洞进展攻击。如SQL注入，跨站脚本攻击等。常见的针对Web应用的攻击有：1、缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让效劳器执行溢出堆栈中的恶意指令2、Cookie假冒——精心修改cookie数据进展用户假冒3、认证逃避——攻击者利用不平安的证书和身份管理4、非法输入——在动态网页的输入中使用各种非法数据，获取效劳器敏感数据5、强制访问——访问未授权的网页6、隐藏变量篡改——对网页中的隐藏变量进展修改，欺骗效劳器程序7、拒绝效劳攻击——构造大量的非法请求，使Web效劳器不能相应正常用户的访问8、跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户帐号等信息9、SQL注入——构造SQL代码让效劳器执行，获取敏感数据网络与信息的平安不仅关系到正常工作的开展，还将影响到国家的平安、社会的稳定。国安广告将认真开展网络与信息平安工作，通过检查进一步明确平安责任，建立健全的管理制度，落实技术防范措施，保证必要的经费和条件，对有毒有害的信息进展过滤、对用户信息进展保密，确保网络与信息平安。网站运行平安保障措施1、网站效劳器和其他计算机之间设置防火墙，做好平安策略，拒绝外来的恶意程序攻击，保障网站正常运行。2、在网站的效劳器及工作站上均安装了相应的防病毒软件，对计算机病毒、有害电子邮件有整套的防范措施，防止有害信息对网站系统的干扰和破坏。3、做好访问日志的留存。网站具有保存三个月以上的系统运行日志和用户使用日志记录功能，内容包括IP地址及使用情况，主页维护者、对应的IP地址情况等。4、交互式栏目具备有IP地址、身份登记和识别确认功能，对非法贴子或留言能做到及时删除并进展重要信息向相关部门汇报。5、网站信息效劳系统建立多机备份机制，一旦主系统遇到故障或受到攻击导致不能正常运行，可以在最短的时间内替换主系统提供效劳。6、关闭网站系统中暂不使用的效劳功能，及相关端口，并及时用补丁修复系统漏洞，定期查杀病毒。7、效劳器平时处于锁定状态，并保管好登录密码；后台管理界面设置超级用户名及密码，并绑定IP，以防他人登入。8、网站提供集中式权限管理，针对不同的应用系统、终端、操作人员，由网站系统管理员设置