Web安全問題解答(2)

　　42、如何防止網站被掛馬

　　答：防止網站被黑客掛馬，可以從幾個方面來考慮：Web應用程序的安全，采用專業的安全檢查工具，對網頁進行掃描，發現漏洞及時進行代碼修改;Web服務器操作系統和主機的安全，可采用漏洞掃描工具對主機和系統進行掃描，采取升級、打補丁、修改配置等方式提高服務器主機的安全;也可以通過部署專業的Web安全防御產品來解決，通過IPS、Web應用防火墻等產品來阻斷掛馬行為;部署網頁防篡改產品，一旦發現網頁被掛馬可以恢復到正常頁面。

　　43、如何應對DOS/DDOS攻擊

　　答：從目前現有的技術角度來講，還沒有一項解決辦法針對DoS非常有效。所以，防止DoS攻擊的最佳手段就是防患于未然。也就是說，首先要保證一般的外圍主機和服務器的安全，使攻擊者無法獲得大量的無關主機，從而無法發動有效攻擊。一旦單位內部的主機或臨近網絡的主機被黑客侵入，那么其他的主機被侵入的危險會變得很大。同時，如果網絡內部或鄰近的主機被用來對本機進行DoS攻擊，攻擊的效果會更明顯。所以，必須保證這些外圍主機和網絡的安全。尤其是那些擁有高帶寬和高性能服務器的網絡，往往是黑客的首選目標。保護這些主機最好的辦法就是及時了解有關本操作系統的安全漏洞以及相應的安全措施，及時安裝補丁程序并注意定期升級系統軟件，以免給黑客以可乘之機。另外，網管人員要加強對網絡流量的管理，對網絡資源的使用情況和帶寬分配進行限制或控制，通過流量過濾產品進行限流，同時配合網絡審計產品，可以對攻擊進行審計和記錄，溯源的同時可用于事后取證，必要時向ISP進行舉報。

　　44、怎樣才能找到網站漏洞

　　答：當網站的某個頁面存在SQL注入或者跨站的漏洞時，攻擊者會利用這個頁面進行攻擊。可以采用三種方式來找出存在漏洞的頁面：

　　 1. 采用Web漏洞掃描工具對網站進行掃描

　　 2. 人工或使用工具對網站代碼進行審核

　　 3. 從Web服務日志分析攻擊者提交的URL

　　45、網站被攻擊后該如何恢復

　　答：網站被攻擊后，應迅速斷開網絡。審查服務器日志、審查網站代碼，找出網站的漏洞，進行修補。同時清楚攻擊者留在服務器上的后門、賬戶等，修改所有用戶的密碼，對安全配置進行檢查，確認無誤后再重新上線。

　　46、如何保障網站管理員密碼安全

　　答：攻擊者獲取到網站管理員密碼可能有幾種途徑：
1.通過暴力猜解 對于暴力猜解，在構建網站時，需要選擇強度較高的加密算法，選擇密碼時，應該選擇復雜密碼，采用大小寫、數字、特殊字符混合的密碼，并定期更換密碼。在網站認證頁面的也應該有抗暴力猜解的設計。
2.通過漏洞攻擊獲取權限后更改管理員密碼 對于通過漏洞獲取權限的，需要定期檢查服務器是否存在操作系統、服務、應用是否存在漏洞，及時安裝補丁包，檢測安全配置。
3.通過社會工程獲得。 對于通過社會工程泄露的，需要制定并執行安全準則，來控制密碼的保存和傳遞的范圍與流程。

　　47、突發性黑客攻擊和病毒該如何應對

　　答：首先應該建立一個應急處理流程，明確在突發問題時相關人員的職責、處理流程等，這樣在突發性病毒和黑客攻擊時就可以做到井井有條。更重要的是應該建立日常工作的安全指南，把安全作為網站的開發、發布、維護的重要因素考慮，降低安全風險。

　　48、遭遇Web威脅防御后是不是重裝系統的就可解決問題

　　答：重裝系統可以簡單快速地消除攻擊者留下的后門和賬戶、修改的配置和文件等，但并沒有解決原來的漏洞，因此重裝系統一定要配合對操作系統、服務、應用的安全檢查。

　　49、建立備份恢復體制是否可以完全保障Web業務的安全

　　答：備份恢復可以防止數據的丟失，是保證業務數據的重要步驟。但同樣備份恢復并沒有解決原來的漏洞，甚至可能在備份的數據中就留用攻擊者留下的后門。

　　50、部署防病毒軟件是否可以保護網站不遭受掛馬威脅

　　答：防病毒軟件可以檢測和消除各種已知病毒，并能對一些病毒行為進行阻斷。但對于不存在病毒體的手工和自動攻擊過程無法防御。目前大量的掛馬代碼都是定制化，防病毒軟件無法發現和避免。

　　51、做網站頁面的代碼修改是不是可以完全避免網站存在的問題

　　答：在Web威脅中占越來越重要位置的SQL注入和跨站腳本都是由于服務器對用戶輸入檢查不夠嚴格導致的。因此在代碼開發時，就應該對用戶數據進行過濾。但是大量的過濾將極大加中服務器負載，導致服務器可接受的請求急劇減少。

　　52、定期升級操作系統補丁和病毒庫是不是就可以高枕無憂了

　　答：操作系統補丁可以解決操作系統本身的漏洞，及時更新病毒庫可以使防病毒軟件能夠查殺最新的病毒，防止病毒對服務器的破壞。僅有這兩種措施無法解決應用層漏洞帶來的安全風險。

　　53、采用了非常復雜的管理員密碼是不是就可防止黑客拿到管理員權限

　　答：攻擊者獲取到網站管理員密碼可能有幾種途徑：1.通過暴力猜解 2.通過漏洞攻擊獲取權限后更改管理員密碼 3.通過社會工程獲得。采用復雜密碼可以在防止通過暴力破解，但不能放棄黑客通過漏洞或者社會工程攻擊的方式獲得。

　　54、設置網站管理員密碼的注意事項

　　答：設置密碼，應該選擇復雜密碼，采用大小寫、數字、特殊字符混合的密碼，并定期更換密碼。不應該把密碼以紙質或電子的形式記錄下來，防止丟失。

　　55、費用有限的情況下如何做定期安全評估

　　答：目前網絡上有很多的免費資料談到如何做安全評估，也有很多免費工具可以用來做安全評估。因此需要網絡管理人員花費一些時間來了解這些資料和工具。也有一些安全公司提供了遠程評估服務，和現場評估服務相比，有更高的性價比。

　　56、如何防止網站的代碼被外界漏洞掃描?

　　答：首先應該在代碼設計開發階段就考慮安全因素，減少代碼中出現漏洞的可能性。其次在部署網站時可以考慮部署入侵防御產品產品，阻止對網站的掃描行為。

　　57、如何防范外界通過正常開放的端口進行入侵?

　　答：通過正常端口進行入侵一般有兩種情況：

　　 其一系統被種植了反彈木馬，反彈木馬程序的網絡通訊源端口為防火墻系統開放端口。對于這種情況，一方面可以通過加強防火墻配置策略的嚴謹性，既配置具有方向性的防火墻策略;另外一方面是各個終端部署終端安全軟件，保證非法進程無法駐留到終端之中。

　　 其二是入侵者利用該端口服務器程序的漏洞進行入侵，通常是針對Web服務器的入侵，對于這種情況，建議部署具備Web攻擊防御能力的設備，如入侵防御系統或應用防火墻設備。

　　58、在代碼開發階段如何預防Web威脅

　　答：要從兩方面入手，其一是開發項目要制定編碼規范，尤其要注意非法輸入檢查以及避免溢出漏洞;其二是在Web系統開發結束后，利用商用Web程序安全性評估軟件或者評估服務對Web系統的安全性進行測試評估。

　　59、對成型的網站如何知道自己存在哪些Web威脅

　　答：對于一個已經成型的網站，由于代碼復雜度較高，利用代碼檢查的方法很難發現存在漏洞，最好的辦法是利用商用Web程序安全性評估軟件或者評估服務對Web系統的安全性進行測試評估。

　　60、保護Web服務器應當從哪些方面進行考慮

　　答：主要從四方面進行考慮，其一：Web服務器所在操作系統的安全性;其二Web服務器所在網絡的安全性;其三Web應用程序的安全性;其四：Web發布系統自身的安全性。

　　61、如何提高Web服務器操作系統的安全

　　答：操作系統的安全性問題較多，這里以常用的WINDOWS系列操作系統為例，列舉一些重點需要考慮的因素：

　　 1. 操作系統帳號管理，包括設置安全性較高的帳號口令;帳號文件加密或者隱藏，關閉GUEST帳號等。

　　 2. 設置訪問控制策略，目前的WINDOWS操作系統均提供了主機防火墻，通過設置防火墻策略保證只有指定的端口、程序可以進行網絡通訊。

　　 3. 及時進行系統補丁，WINDOWS操作系統極為復雜，幾乎每隔幾天就有新的安全漏洞被發現，管理員應及時對操作系統進行打補丁。

　　 4. 關閉Web服務無關的服務，減少系統與外界交互通訊的可能性。

　　 5. 安裝防病毒、通訊監視等軟件，可以防止一些流行工具/木馬/病毒的攻擊。

　　62、如何提高Web服務器的網絡威脅抵御能力

　　 1. 部署硬件防火墻，進行嚴格的訪問控制策略配置，阻擋無用的或者非法通訊進入Web服務器。

　　 2. 部署入侵檢測產品，以實現對入侵的實時監測和報警

　　 3. 部署流量控制與管理硬件，以便抵御來自外界網絡的DOS/DDOS攻擊。

　　63、如何提高Web程序的安全性

　　答：要從三方面入手，其一是開發項目要制定編碼規范，尤其要注意非法輸入檢查以及避免溢出漏洞;其二是在Web系統開發結束后，利用商用Web程序安全性評估軟件或者評估服務對Web系統的安全性進行測試評估;其三是部署具備應用層威脅防御能力的安全產品如入侵防御產品或應用防火墻。

　　64、如何提高Web發布系統的安全性

　　答：操作系統的安全性問題較多，這里以常用的WINDOWS系列操作系統為例，列舉一些重點需要考慮的因素：

　　 1. 操作系統帳號管理，包括設置安全性較高的帳號口令;帳號文件加密或者隱藏，關閉GUEST帳號等。

　　 2.設置訪問控制策略，目前的WINDOWS操作系統均提供了主機防火墻，通過設置防火墻策略保證只有指定的端口、程序可以進行網絡通訊。

　　 3. 及時進行系統補丁，WINDOWS操作系統極為復雜，幾乎每隔幾天就有新的安全漏洞被發現，管理員應及時對操作系統進行打補丁。

　　 4. 關閉Web服務無關的服務，減少系統與外界交互通訊的可能性。

　　 5. 安裝防病毒、通訊監視等軟件，可以防止一些流行工具/木馬/病毒的攻擊。

　　65、如何防御由于Web程序漏洞引起的Web服務器所面臨的威脅

　　答：部署入侵防御產品或者應用防火墻設備。

　　66、如何規劃網站安全

　　答：建議從如下幾個方面考慮進行網站安全的規劃：

　　 1. 聘請專業網站開發人員，提高網站應用程序的安全性。

　　 2. 對Web服務器所在主機的操作系統進行安全性增強并及時進行打補丁。

　　 3. 經常性的進行網站安全性測試與評估，及時了解網站的狀況。

　　 4. 部署網絡防火墻等設備提高服務器所在網絡的安全性

　　 5.部署提供Web程序攻擊防御能力的安全設備。

　　67、能否提供一些網站安全管理制度方面的建議

　　答：不同的機構對網站安全的要求不一樣，因此也不會有通用的安全管理制度，這里列舉一些重點需要考慮的方面供參考：

　　 數據備份制度--應當對重要文件、數據、操作系統及應用系統作定期備份，以便應急恢復。特別重要的部門還應當對重要文件和數據進行異地備份。

　　 口令管理制度--應該選擇復雜密碼，采用大小寫、數字、特殊字符混合的密碼，并定期更換密碼。不應該把密碼以紙質或電子的形式記錄下來，防止丟失。

　　 物理安全制度--應當建立嚴格的門禁制度和日常管理制度，機房及機房內所有設備都應當由專人負責管理，每日應有機房值班記錄、出入人員記錄和各主要設備運行情況的記錄。外來的系統維護人員進入機房，應當由值班人員陪同并對其工作內容做詳細記錄。

　　 系統運行期間的定期檢測和升級制度--鑒于網絡安全建設動態發展和不斷更新的特點，應當對系統漏洞和弱點進行定期檢測，并根據檢測的結果采取相應的措施。要及時對操作系統、數據庫等系統軟件進行補丁包升級或者版本升級，關閉不必要的服務和端口，以防黑客利用系統漏洞和弱點非法入侵。

　　 審計制度--定期對各系統日志進行分析審計，便于發現是否存在異常的訪問行為。

　　 應急響應制度--應當充分估計各種突發事件的可能性，做好應急響應方案，進行定期演練。同時，要與崗位責任制度相結合，保證應急響應方案的及時實施，將損失降到最低程度。

　　68、進行Web服務器保護應該采購那些安全設備

　　 1.在Web服務器前部署網絡防火墻

　　 2. 在Web服務器前部署專業入侵防御產品或者應用防火墻設備

　　 3. 在Web服務器所在網絡中部署網絡入侵檢測產品

　　 4. 在Web服務器前部署流量管理設備

　　 5. 在Web服務器上安裝防病毒軟件

　　 6. 在Web服務器上安裝主機入侵檢測以及主機審計軟件

　　69、在網站安全建設中，有了IDS，我還需要入侵防御產品么

　　答：IDS和入侵防御產品是兩類不同的設備，IDS是針對攻擊進行檢測發現并報警，更關注檢測范圍的全面性;入侵防御產品是針對攻擊進行精確發現與阻斷，更關注威脅防御的準確性;應該說對于網站安全二者缺一不可。

　　70、進行Web服務器保護的最關鍵設備是哪個?

　　答：Web服務器面臨眾多威脅，但其中最有破壞力的是應用層威脅，所以對Web服務器來說，最關鍵的設備是具備應用層防護能力的設備，可以是入侵防御產品或者應用防火墻設備。

　　71、怎樣評價網站對SQL注入，XSS攻擊的防御能力。

　　答：比較好的辦法是進行Web系統的安全評估，可以采用商用軟件進行安全性評估，也可以雇傭專業的安全服務人員進行評估。

　　72、通過網站日志是否可以準確分析出攻擊全過程

　　答：網站日志可以記錄所有用戶在指定時間段內的所有操作。不論黑客采用何種攻擊方式，在最后對網頁文件進行篡改或添加網頁木馬的時候，都會利用已存在或者是新添加的帳號進行操作，所以這些操作也可以被網站日志系統所記錄。從未被篡改和精簡的網站日志系統中，有經驗的用戶可以分析出攻擊的整個過程，但由于一般情況下，網站日志系統不存在獨立的保障機制，攻擊者可以在攻擊完成后刪除操作日志，這種情況下，將無法判斷攻擊者的所作所為。也就是說，網站日志在未被篡改的情況下，可以從中分析攻擊過程，但如果被攻擊者修改過，將無法實現全面分析。

　　73、目前哪些設備可以抵御針對Web程序漏洞的攻擊?

　　答：針對Web程序漏洞攻擊的安全防御設備主要有入侵防御產品和Web應用防火墻。

　　74、目前增強Web服務器安全性的技術有的載體為軟件，需要部署在服務器內部，有的載體為硬件，需要部署在Web服務器前面，那種更適合Web服務器呢?

　　答：Web業務是當前運用最為廣泛的網絡業務，一些流量大的Web網站特別是承載了大量交互業務的Web網站，如果采用部署在服務器內部的軟件級安全系統，將不得不耗費寶貴的系統資源來支撐分析計算的開銷，所以，如果您的Web業務系統對資源的需求不大(流量小，訪問量少)，可以考慮采用軟件級安全系統，否則，建議采用硬件級安全系統。

　　75、對于SQL注入攻擊，是否可以通過禁止SQL語句執行來防御?

　　答：SQL注入利用的是Web頁面的代碼過濾不嚴格，攻擊者可以通過提交某些特殊構造的SQL語句插入SQL的特殊字符和字段，來實現對數據庫的非正常訪問。如果完全禁止SQL語句，當然可以實現對SQL注入的防御，但與此同時，正常的數據庫查詢語言也將無法執行，除非Web站點是純靜態頁面，否則將無法正常訪問。采用禁止SQL語句執行來防御SQL注入，純粹是因噎廢食。

　　76、對于SQL注入攻擊，弱點檢測和漏洞修補是否可以完全防止?

　　答：SQL注入攻擊是由于代碼編寫不夠嚴謹導致，沒有考慮到代碼的健壯性和安全性，由于Web程序漏洞的復雜性，安全分析人員很難通過弱點檢測和漏洞修補全面的檢查出SQL注入漏洞并進行修補。需要說明的是，Web系統每一次添加了新的頁面或應用，就需要再次進行弱點檢測和漏洞修補。

　　77、流量分析工具能夠發現針對Web服務器的攻擊嗎

　　答：流量分析工具可以發現針對Web服務器的一段時間的訪問狀況，如果存在基于流量的攻擊行為如拒絕服務之類，可以通過該類工具發現，但如果是基于數據內容的攻擊行為，由于這類攻擊并不帶來流量的任何異常，所以不會被流量分析工具所發現。

　　78、對于XSS攻擊，是否可以通過禁止腳本執行來防御?

　　答：XSS攻擊是由于Web頁面代碼編寫不完善，導致攻擊者可以在頁面中插入惡意腳本，使得網站的訪問者在訪問這些頁面時遭受攻擊。如果在自己的瀏覽器完全禁用腳本執行，可以起到防范XSS攻擊的作用，但與此同時，那些基于腳本的正常應用將無法正常訪問。

　　79、網站被XSS攻擊了，該怎么辦?

　　答：XSS攻擊可以讓黑客獲得攻擊任意一個訪問受害網站頁面的用戶，雖然不直接危害網站的安全，但一方面影響網站聲譽，另一方面如果網站管理者誤訪問惡意頁面，也有權限泄漏的可能。如果確認網站被XSS攻擊，首先要將黑客添加的惡意腳本清除，其次需要針對這些存在XSS漏洞的地方進行源碼級修改或采用專業的安全硬件產品如入侵防御產品。

　　80、網站被掛馬了，該怎么辦?

　　答：最簡單的辦法就是備份恢復，也可以在被掛馬頁面上手動刪除，但這只是解決表面問題的辦法，黑客還可以再次在同一地方進行攻擊。徹底的解決辦法是修改頁面源碼，避免再次被掛馬，也可以采用其他安全硬件產品如入侵防御產品進行防御。

　　81、網站被SQL注入攻擊了，該怎么辦?

　　答：SQL注入可以讓黑客獲得數據庫權限，可以竊取密碼，執行修改/增加/刪除數據庫表等操作。所以，如果網站被SQL注入攻擊了，首先要依據日志查看是哪個用戶的權限泄漏導致的數據庫修改，并更換密碼，同時依據日志檢查存在注入點的頁面，進行代碼級的修復或采用專業的安全硬件產品如入侵防御產品。

　　通過這些Web安全知識學習，你更加有把握的保護好自己的電腦了么。