網站安全分析
登錄頁面必須加密在登錄之後實施加密有可能有用,這就像把大門關上以防止馬兒跑出去一樣,不過他們並沒有對登錄會話加密,這就有點兒像在你鎖上大門時卻將鑰匙放在了鎖眼裡一樣。即使你的登錄會話被傳輸到了一個加密的資源,在許多情況下,這仍有可能被一個惡意的黑客攻克,他會精心地偽造一個登錄表單,藉以訪問同樣的資源,並訪問敏感數據。
採取專業工具輔助 在市面目前有許多針對於網站安全的檢測平台,不過這些大多數是收費的,而目前標榜免費就只有億思網站安全檢測平台(iiscan)。通過這些網站安全檢測平台能夠迅速找到網站的安全隱患,而且這些平台都會提供針對其隱患做出相應措施。
通過加密連線管理你的站點 使用不加密的連線(或僅使用輕度加密的連線),如使用不加密的FTP或HTTP用於Web站點或Web伺服器的管理,就會將自己的大門向“中間人”攻擊和登錄/口令的嗅探等手段敞開大門。因此請務必使用加密的協定,如SSH等來訪問安全資源,要使用經證實的一些安全工具如OpenSSH等。否則,一旦某人截獲了你的登錄和口令信息,他就可以執行你可做的一切操作。
使用強健的、跨平台的兼容性加密 根據目前的發展情況,SSL已經不再是Web網站加密的最先進技術。可以考慮TLS,即傳輸層安全,它是安全套接字層加密的繼承者。要保證你所選擇的任何加密方案不會限制你的用戶基礎。同樣的原則也適用於後端的管理,在這裡SSH等跨平台的強加密方案要比微軟的Windows遠程桌面等較弱的加密工具要更可取、更有優越性。
從一個安全有保障的網路連線 避免從安全特性不可知或不確定的網路連線,也不要從安全性差勁的一些網路連線,如一些開放的無線訪問點等。無論何時,只要你必須登錄到伺服器或Web站點實施管理,或訪問其它的安全資源時,這一點尤其重要。如果你連線到一個沒有安全保障的網路時,還必須訪問Web站點或Web伺服器,就必須使用一個安全代理,這樣你到安全資源的連線就會來自於一個有安全保障的網路代理。
不要共享登錄的機要信息 共享登錄機要信息會引起諸多安全問題。這不但適用於網站管理員或Web伺服器管理員,還適用於在網站擁有登錄憑證的人員,客戶也不應當共享其登錄憑證。登錄憑證共享得越多,就越可能更公開地共享,甚至對不應當訪問系統的人員也是如此;登錄機要信息共享得越多,要建立一個跟蹤索引藉以跟蹤、追查問題的源頭就越困難,而且如果安全性受到損害或威脅因而需要改變登錄信息時,就會有更多的人受到影響。
採用基於密鑰的認證而不是口令認證 口令認證要比基於密鑰的認證更容易被攻破。設定口令的目的是在需要訪問一個安全的資源時能夠更容易地記住登錄信息。不過如果使用基於密鑰的認證,並僅將密鑰複製到預定義的、授權的系統(或複製到一個與授權的系統相分離的獨立介質中,直接需要它時才取回。),你將會得到並使用一個更強健的難於破解的認證憑證。
維護一個安全的工作站 如果你從一個客戶端系統連線到一個安全的資源站點,而你又不能完全保證其安全性,你就不能保證某人並沒有在監聽你所做的一切。因此鍵盤記錄器、受到惡意損害的網路加密客戶以及黑客們的其它一些破壞安全性的伎倆都會準許某個未得到授權的個人訪問敏感數據,而不管網路是否有安全措施,是否採用加密通信,也不管你是否部署了其它的網路保護。因此保障工作站的安全性是至關重要的。
運用冗餘性保護網站 備份和伺服器的失效轉移可有助於維持最長的正常運行時間。雖然失效轉移可以極大地減少伺服器的宕機時間,但這並不是冗餘性的唯一價值。用於失效轉移計畫中的備份伺服器可以保持伺服器配置的最新,這樣在發生災難時你就不必從頭開始重新構建你的伺服器。備份可以確保客戶端數據不會丟失,而且如果你擔心受到損害系統上的數據落於不法之徒手中,就會毫不猶豫地刪除這種數據。當然,你還必須保障失效轉移和備份方案的安全,並定期地檢查以確保在需要這些方案時不至於使你無所適從。
確保對所有的系統都實施強健的安全措施,而不僅運用特定的Web安全措施 在這方面,可以採用一些通用的手段,如採用強口令,採用強健的外圍防禦系統,及時更新軟體和為系統打補丁,關閉不使用的服務,使用數據加密等手段保證系統的安全等。
1.登錄頁面必須加密在登錄之後實施加密有可能有用,這就像把大門關上以防止馬兒跑出去一樣,不過他們並沒有對登錄會話加密,這就有點兒像在你鎖上大門時卻將鑰匙放在了鎖眼裡一樣。即使你的登錄會話被傳輸到了一個加密的資源,在許多情況下,這仍有可能被一個惡意的黑客攻克,他會精心地偽造一個登錄表單,藉以訪問同樣的資源,並訪問敏感數據。
2.採取專業工具輔助 在市面目前有許多針對於網站安全的檢測平台,不過這些大多數是收費的,而目前標榜免費就只有億思網站安全檢測平台(iiscan)。通過這些網站安全檢測平台能夠迅速找到網站的安全隱患,而且這些平台都會提供針對其隱患做出相應措施。
3.通過加密連線管理你的站點 使用不加密的連線(或僅使用輕度加密的連線),如使用不加密的FTP或HTTP用於Web站點或Web伺服器的管理,就會將自己的大門向“中間人”攻擊和登錄/口令的嗅探等手段敞開大門。因此請務必使用加密的協定,如SSH等來訪問安全資源,要使用經證實的一些安全工具如OpenSSH等。否則,一旦某人截獲了你的登錄和口令信息,他就可以執行你可做的一切操作。
4.使用強健的、跨平台的兼容性加密 根據目前的發展情況,SSL已經不再是Web網站加密的最先進技術。可以考慮TLS,即傳輸層安全,它是安全套接字層加密的繼承者。要保證你所選擇的任何加密方案不會限制你的用戶基礎。同樣的原則也適用於後端的管理,在這裡SSH等跨平台的強加密方案要比微軟的Windows遠程桌面等較弱的加密工具要更可取、更有優越性。
5.從一個安全有保障的網路連線 避免從安全特性不可知或不確定的網路連線,也不要從安全性差勁的一些網路連線,如一些開放的無線訪問點等。無論何時,只要你必須登錄到伺服器或Web站點實施管理,或訪問其它的安全資源時,這一點尤其重要。如果你連線到一個沒有安全保障的網路時,還必須訪問Web站點或Web伺服器,就必須使用一個安全代理,這樣你到安全資源的連線就會來自於一個有安全保障的網路代理。
6.不要共享登錄的機要信息 共享登錄機要信息會引起諸多安全問題。這不但適用於網站管理員或Web伺服器管理員,還適用於在網站擁有登錄憑證的人員,客戶也不應當共享其登錄憑證。登錄憑證共享得越多,就越可能更公開地共享,甚至對不應當訪問系統的人員也是如此;登錄機要信息共享得越多,要建立一個跟蹤索引藉以跟蹤、追查問題的源頭就越困難,而且如果安全性受到損害或威脅因而需要改變登錄信息時,就會有更多的人受到影響。
7.採用基於密鑰的認證而不是口令認證 口令認證要比基於密鑰的認證更容易被攻破。設定口令的目的是在需要訪問一個安全的資源時能夠更容易地記住登錄信息。不過如果使用基於密鑰的認證,並僅將密鑰複製到預定義的、授權的系統(或複製到一個與授權的系統相分離的獨立介質中,直接需要它時才取回。),你將會得到並使用一個更強健的難於破解的認證憑證。
8.維護一個安全的工作站 如果你從一個客戶端系統連線到一個安全的資源站點,而你又不能完全保證其安全性,你就不能保證某人並沒有在監聽你所做的一切。因此鍵盤記錄器、受到惡意損害的網路加密客戶以及黑客們的其它一些破壞安全性的伎倆都會準許某個未得到授權的個人訪問敏感數據,而不管網路是否有安全措施,是否採用加密通信,也不管你是否部署了其它的網路保護。因此保障工作站的安全性是至關重要的。
9.運用冗餘性保護網站 備份和伺服器的失效轉移可有助於維持最長的正常運行時間。雖然失效轉移可以極大地減少伺服器的宕機時間,但這並不是冗餘性的唯一價值。用於失效轉移計畫中的備份伺服器可以保持伺服器配置的最新,這樣在發生災難時你就不必從頭開始重新構建你的伺服器。備份可以確保客戶端數據不會丟失,而且如果你擔心受到損害系統上的數據落於不法之徒手中,就會毫不猶豫地刪除這種數據。當然,你還必須保障失效轉移和備份方案的安全,並定期地檢查以確保在需要這些方案時不至於使你無所適從。
10.確保對所有的系統都實施強健的安全措施,而不僅運用特定的Web安全措施 在這方面,可以採用一些通用的手段,如採用強口令,採用強健的外圍防禦系統,及時更新軟體和為系統打補丁,關閉不使用的服務,使用數據加密等手段保證系統的安全等。
IIS伺服器網站安全性分析
1、原始碼安全性隱患。 由於ASP程式採用非編譯性語言,大大降低了程式原始碼的安全性。如果黑客侵入站點,就可以獲得ASP原始碼;同時對於租用伺服器的用戶,因個別伺服器出租商的職業道德問題,也會造成ASP應用程式原始碼泄露。 13.程式設計中容易被忽視的安全性問題 ASP代碼使用表單實現互動,而相應的內容會反映在瀏覽器的地址欄中,如果不採用適當的安全措施,只要記下這些內容,就可以繞過驗證直接進入某一頁面。例如在瀏覽器中敲入“...page.asp?x=1”,即可不經過表單頁面直接進入滿足“x=1”條件的頁面。因此,在驗證或註冊頁面中,必須採取特殊措施來避免此類問題的產生。
2、提高IIS+ASP網站安全性的方法 防止資料庫被下載 (1)非常規命名法。(2)使用ODBC數據源。(3)對ASP頁面進行加密(4)註冊驗證
安全隱患分析
1.資料庫可能被下載
2.資料庫可能被解密
3.ASP頁面的安全性
網站安全問題的原因
大多數網站設計,只考慮正常用戶穩定使用 但在黑客對漏洞敏銳的發覺和充分利用的動力下,網站存在的這些漏洞就被挖掘出來,且成為黑客們直接或間接獲取利益的機會。對於Web應用程式的SQL注入漏洞,有試驗表明,通過搜尋1000個網站取樣測試,檢測到有11.3%存在SQL注入漏洞。
網站防禦措施過於落後,甚至沒有真正的防禦 大多數防禦傳統的基於特徵識別的入侵防禦技術或內容過濾技術,對保護網站抵禦黑客攻擊的效果不佳。比如對SQL注入、跨站腳本這種特徵不唯一的網站攻擊,基於特徵匹配技術防禦攻擊,不能精確阻斷攻擊。因為黑客們可以通過構建任意表達式來繞過防禦設備固化的特徵庫,比如:and1=1和and2=2是一類資料庫語句,但可以人為任意構造數字構成同類語句的不同特徵。而and、=等這些標識在WEB提交資料庫套用中又是普遍存在的表達符號,不能作為攻擊的唯一特徵。因此,這就很難基於特徵標識來構建一個精確阻斷SQL注入攻擊的防禦系統。導致目前有很多黑客將SQL注入成為入侵網站的首選攻擊技術之一。基於套用層構建的攻擊,防火牆更是束手無策。網站防禦不佳還有另一個原因,有很多網站管理員對網站的價值認識僅僅是一台伺服器或者是網站的建設成本,為了這個伺服器而增加超出其成本的安全防護措施認為得不償失。而實際網站遭受攻擊之後,帶來的間接損失往往不能用一個伺服器或者是網站建設成本來衡量,很多信息資產在遭受攻擊之後造成無形價值的流失。不幸的是,很多網站負責的單位、人員,只有在網站遭受攻擊後,造成的損失遠超過網站本身造價之後才意識就這一點。
黑客入侵後,未被及時發現 有些黑客通過篡改網頁來傳播一些非法信息或炫耀自己的水平,但篡改網頁之前,黑客肯定基於對漏洞的利用,獲得了網站控制許可權。這不是最可怕的,因為黑客在獲取許可權後沒有想要隱蔽自己,反而是通過篡改網頁暴露自己,這雖然對網站造成很多負面影響,但黑客本身未獲得直接利益。更可怕的是,黑客在獲取網站的控制許可權之後,並不暴露自己,而是利用所控制網站產生直接利益;網頁掛馬就是一種利用網站,將瀏覽網站的人種植其木馬的一種非常隱蔽且直接獲取利益的主要方式之一。訪問網站而被種植木馬的人通常也不知情,導致一些用戶的機密信被竊取。網站成了黑客散布木馬的一個渠道。網站本身雖然能夠提供正常服務,但訪問網站的人卻遭受著木馬程式的危害。這種方式下,黑客們通常不會暴露自己,反而會儘量隱蔽,正好比暗箭難防,所以很多網站被掛木馬數月仍然未被察覺。由於掛馬原理是木馬本身並非在網站本地,而是通過網頁中載入一個能夠讓瀏覽者自動建立另外的下載連線完成木馬下載,而這一切動作是可以很隱蔽的完成,各個用戶不可見,因此這種情況下網站本地的病毒軟體也無法發現這個掛馬實體。
發現安全問題不能徹底解決 網站技術發展較快、安全問題日益突出,但由於關注重點不同,絕大多數的網站開發與設計公司,網站安全代碼設計方面了解甚少,發現網站安全存在問題和漏洞,其修補方式只能停留在頁面修復,很難針對網站具體的漏洞原理對原始碼進行改造。這些也是為什麼有些網站安裝網頁放篡改、網站恢復軟體後仍然遭受攻擊。我們在一次網站安全檢查過程中,曾經戲劇化的發現,網站的網頁放篡改系統將早期植入的惡意代碼也保護了起來。這說明很少有人能夠準確的了解網站安全漏洞解決的問題是否徹底。
1.大多數網站設計,只考慮正常用戶穩定使用 但在黑客對漏洞敏銳的發覺和充分利用的動力下,網站存在的這些漏洞就被挖掘出來,且成為黑客們直接或間接獲取利益的機會。對於Web應用程式的SQL注入漏洞,有試驗表明,通過搜尋1000個網站取樣測試,檢測到有11.3%存在SQL注入漏洞。
2.網站防禦措施過於落後,甚至沒有真正的防禦 大多數防禦傳統的基於特徵識別的入侵防禦技術或內容過濾技術,對保護網站抵禦黑客攻擊的效果不佳。比如對SQL注入、跨站腳本這種特徵不唯一的網站攻擊,基於特徵匹配技術防禦攻擊,不能精確阻斷攻擊。因為黑客們可以通過構建任意表達式來繞過防禦設備固化的特徵庫,比如:and1=1和and2=2是一類資料庫語句,但可以人為任意構造數字構成同類語句的不同特徵。而and、=等這些標識在WEB提交資料庫套用中又是普遍存在的表達符號,不能作為攻擊的唯一特徵。因此,這就很難基於特徵標識來構建一個精確阻斷SQL注入攻擊的防禦系統。導致目前有很多黑客將SQL注入成為入侵網站的首選攻擊技術之一。基於套用層構建的攻擊,防火牆更是束手無策。網站防禦不佳還有另一個原因,有很多網站管理員對網站的價值認識僅僅是一台伺服器或者是網站的建設成本,為了這個伺服器而增加超出其成本的安全防護措施認為得不償失。而實際網站遭受攻擊之後,帶來的間接損失往往不能用一個伺服器或者是網站建設成本來衡量,很多信息資產在遭受攻擊之後造成無形價值的流失。不幸的是,很多網站負責的單位、人員,只有在網站遭受攻擊後,造成的損失遠超過網站本身造價之後才意識就這一點。
3.黑客入侵後,未被及時發現 有些黑客通過篡改網頁來傳播一些非法信息或炫耀自己的水平,但篡改網頁之前,黑客肯定基於對漏洞的利用,獲得了網站控制許可權。這不是最可怕的,因為黑客在獲取許可權後沒有想要隱蔽自己,反而是通過篡改網頁暴露自己,這雖然對網站造成很多負面影響,但黑客本身未獲得直接利益。更可怕的是,黑客在獲取網站的控制許可權之後,並不暴露自己,而是利用所控制網站產生直接利益;網頁掛馬就是一種利用網站,將瀏覽網站的人種植其木馬的一種非常隱蔽且直接獲取利益的主要方式之一。訪問網站而被種植木馬的人通常也不知情,導致一些用戶的機密信被竊取。網站成了黑客散布木馬的一個渠道。網站本身雖然能夠提供正常服務,但訪問網站的人卻遭受著木馬程式的危害。這種方式下,黑客們通常不會暴露自己,反而會儘量隱蔽,正好比暗箭難防,所以很多網站被掛木馬數月仍然未被察覺。由於掛馬原理是木馬本身並非在網站本地,而是通過網頁中載入一個能夠讓瀏覽者自動建立另外的下載連線完成木馬下載,而這一切動作是可以很隱蔽的完成,各個用戶不可見,因此這種情況下網站本地的病毒軟體也無法發現這個掛馬實體。
4.發現安全問題不能徹底解決 網站技術發展較快、安全問題日益突出,但由於關注重點不同,絕大多數的網站開發與設計公司,網站安全代碼設計方面了解甚少,發現網站安全存在問題和漏洞,其修補方式只能停留在頁面修復,很難針對網站具體的漏洞原理對原始碼進行改造。這些也是為什麼有些網站安裝網頁放篡改、網站恢復軟體後仍然遭受攻擊。我們在一次網站安全檢查過程中,曾經戲劇化的發現,網站的網頁放篡改系統將早期植入的惡意代碼也保護了起來。這說明很少有人能夠準確的了解網站安全漏洞解決的問題是否徹底。
網站安全問題及其危害
常見的Web攻擊分為兩類:
一、利用Web伺服器的漏洞進行攻擊。如CGI緩衝區溢出,目錄遍歷漏洞利用等攻擊;
二、利用網頁自身的安全漏洞進行攻擊。如SQL注入,跨站腳本攻擊等。
常見的Web套用的攻擊
1、緩衝區溢出——攻擊者利用超出緩衝區大小的請求和構造的二進制代碼讓伺服器執行溢出堆疊中的惡意指令
2、Cookie假冒——精心修改cookie數據進行用戶假冒
3、認證逃避——攻擊者利用不安全的證書和身份管理
4、非法輸入——在動態網頁的輸入中使用各種非法數據,獲取伺服器敏感數據
5、強制訪問——訪問未授權的網頁
6、隱藏變數篡改——對網頁中的隱藏變數進行修改,欺騙伺服器程式
7、拒絕服務攻擊——構造大量的非法請求,使Web伺服器不能相應正常用戶的訪問
8、跨站腳本攻擊——提交非法腳本,其他用戶瀏覽時盜取用戶帳號等信息
9、SQL注入——構造SQL代碼讓伺服器執行,獲取敏感數據
攻擊手段舉例說明 SQL注入 對於和後台資料庫產生互動的網頁,如果沒有對用戶輸入數據的合法性進行全面的判斷,就會使應用程式存在安全隱患。用戶可以在可以提交正常數據的URL或者表單輸入框中提交一段精心構造的資料庫查詢代碼,使後台套用執行攻擊著的SQL代碼,攻擊者根據程式返回的結果,獲得某些他想得知的敏感數據,如管理員密碼,保密商業資料等。
跨站腳本攻擊 由於網頁可以包含由伺服器生成的、並且由客戶機瀏覽器解釋的文本和HTML標記。如果不可信的內容被引入到動態頁面中,則無論是網站還是客戶機都沒有足夠的信息識別這種情況並採取保護措施。攻擊者如果知道某一網站上的應用程式接收跨站點腳本的提交,他就可以在網上上提交可以完成攻擊的腳本,如JavaScript、VBScript、ActiveX、HTML或Flash等內容,普通用戶一旦點擊了網頁上這些攻擊者提交的腳本,那么就會在用戶客戶機上執行,完成從截獲帳戶、更改用戶設定、竊取和篡改cookie到虛假廣告在內的種種攻擊行為。
隨著攻擊向套用層發展,傳統網路安全設備不能有效的解決目前的安全威脅,網路中的套用部署面臨的安全問題必須通過一種全新設計的高性能防護套用層攻擊的安全防火牆——套用防火牆來解決。套用防火牆通過執行套用會話內部的請求來處理套用層。套用防火牆專門保護Web套用通信流和所有相關的套用資源免受利用Web協定發動的攻擊。套用防火牆可以阻止將套用行為用於惡意目的的瀏覽器和HTTP攻擊。這些攻擊包括利用特殊字元或通配符修改數據的數據攻擊,設法得到命令串或邏輯語句的邏輯內容攻擊,以及以賬戶、檔案或主機為主要目標的目標攻擊。
攻擊手段舉例說明
一、進行網站安全漏洞掃描 由於現在很多網站都存在sql注入漏洞,上傳漏洞等等漏洞,而黑客通過就可以通過網站這些漏洞,進行SQL注入進行攻擊,通過上傳漏洞進行木馬上傳等等。所以網站安全檢測很重要一步就是網站的漏洞檢測。 億思網站安全檢測平台,是線上的網站漏洞檢測工具,之前都是需要邀請碼才可以註冊使用的,不過目前已經開放免費使用了。 將已經認證好的網站的URL填入掃描欄,根據實際情況將輸出報表和掃描的選項選好,安添加任務運行就可以。一般選擇“All選項”就可以。 等掃描完後就可以查看網站所存在的漏洞和存在的網頁,可以根據報告裡面的建議進行漏洞修補,但請注意,在修改網頁代碼之前要先做好備份工作。 說明:對於發現的網站漏洞要及時修補。
二、網站木馬的檢測 網站被掛馬是非常普遍的事情,同時也是做頭疼的一件事。所以網站安全檢測中,網站是否被掛馬是很重要的一個指標。 其實最簡單的檢測網站是否有掛馬的行為,很簡單,直接開個防毒軟體,如何看看有沒有掛馬提示就可以啦。當然還有直接去這些防毒軟體建立的網站安全中心,直接提交URL進行木馬檢測。說明:網站被掛馬是嚴重影響網站的信譽的,故有被掛馬,請速度暫時關閉網站,及時清理木馬。
三、網站環境的檢測 網站環境包括網站所在伺服器的安全環境和維護網站者的工作環境的安全 很多黑客入侵網站是由於攻擊伺服器,竊取用戶資料。所以在選擇伺服器時要選擇一個有保證的服務商,而且穩定伺服器對網站的最佳化和seo也很有幫助的。而站長或維護著所處的環境也非常重要,如果本身系統就存在木馬,那么盜取帳號就變得很簡單了。故要保持系統的安全,可以裝瑞星,卡巴這些防毒軟體,還有就是帳號和密碼要設定複雜一些。
四、其它檢測 黑鏈檢測,由於現在黑鏈的利潤很高,故現在更多黑客入侵網站目的就是為掛連結,而被掛黑鏈會嚴重影響SEO的最佳化。
具體檢測方法
可以利用站長工具網裡面工具中的“死連結就愛內測/全站PR查詢”的選項, 將檢測網站分析欄,選擇“站外連結”,按“顯示連結”按鈕,就會列出一堆站外連結,在裡面可以查看有那些連結是PR比較低而且又比較陌生的連結就可能是黑鏈,將黑鏈刪除就可以。
常見模式介紹
當前並沒有涵蓋所有要求的單一安全分析用例分類, 但常見需求模式包括:
· 只有最小開支的基本安全分析
· 大型企業用例
· 專注於高級持續性威脅
· 專注於取證
· 安全工具和服務組合
這些分類強調了對關鍵安全分析特性的不同需求,這些特性包括部署模式、模組化、分析的範圍和深度、取證、監控、報告和可視化等。本文中評估了很多產品,包括Blue Coat Security Analytics Platform、Lancope Stealth Watch System、瞻博網路JSA Series Secure Analytics、EMC RSA Security Analytics NetWitness、FireEye威脅分析平台、Arbor Networks Security Analytics、Click Security Click Commander和Sumo Logic的雲服務。