Web安全問題解答(2)
42、如何防止網(wǎng)站被掛馬
答:防止網(wǎng)站被黑客掛馬,可以從幾個(gè)方面來考慮:Web應(yīng)用程序的安全,采用專業(yè)的安全檢查工具,對(duì)網(wǎng)頁進(jìn)行掃描,發(fā)現(xiàn)漏洞及時(shí)進(jìn)行代碼修改;Web服務(wù)器操作系統(tǒng)和主機(jī)的安全,可采用漏洞掃描工具對(duì)主機(jī)和系統(tǒng)進(jìn)行掃描,采取升級(jí)、打補(bǔ)丁、修改配置等方式提高服務(wù)器主機(jī)的安全;也可以通過部署專業(yè)的Web安全防御產(chǎn)品來解決,通過IPS、Web應(yīng)用防火墻等產(chǎn)品來阻斷掛馬行為;部署網(wǎng)頁防篡改產(chǎn)品,一旦發(fā)現(xiàn)網(wǎng)頁被掛馬可以恢復(fù)到正常頁面。
43、如何應(yīng)對(duì)DOS/DDOS攻擊
答:從目前現(xiàn)有的技術(shù)角度來講,還沒有一項(xiàng)解決辦法針對(duì)DoS非常有效。所以,防止DoS攻擊的最佳手段就是防患于未然。也就是說,首先要保證一般的外圍主機(jī)和服務(wù)器的安全,使攻擊者無法獲得大量的無關(guān)主機(jī),從而無法發(fā)動(dòng)有效攻擊。一旦單位內(nèi)部的主機(jī)或臨近網(wǎng)絡(luò)的主機(jī)被黑客侵入,那么其他的主機(jī)被侵入的危險(xiǎn)會(huì)變得很大。同時(shí),如果網(wǎng)絡(luò)內(nèi)部或鄰近的主機(jī)被用來對(duì)本機(jī)進(jìn)行DoS攻擊,攻擊的效果會(huì)更明顯。所以,必須保證這些外圍主機(jī)和網(wǎng)絡(luò)的安全。尤其是那些擁有高帶寬和高性能服務(wù)器的網(wǎng)絡(luò),往往是黑客的首選目標(biāo)。保護(hù)這些主機(jī)最好的辦法就是及時(shí)了解有關(guān)本操作系統(tǒng)的安全漏洞以及相應(yīng)的安全措施,及時(shí)安裝補(bǔ)丁程序并注意定期升級(jí)系統(tǒng)軟件,以免給黑客以可乘之機(jī)。另外,網(wǎng)管人員要加強(qiáng)對(duì)網(wǎng)絡(luò)流量的管理,對(duì)網(wǎng)絡(luò)資源的使用情況和帶寬分配進(jìn)行限制或控制,通過流量過濾產(chǎn)品進(jìn)行限流,同時(shí)配合網(wǎng)絡(luò)審計(jì)產(chǎn)品,可以對(duì)攻擊進(jìn)行審計(jì)和記錄,溯源的同時(shí)可用于事后取證,必要時(shí)向ISP進(jìn)行舉報(bào)。
44、怎樣才能找到網(wǎng)站漏洞
答:當(dāng)網(wǎng)站的某個(gè)頁面存在SQL注入或者跨站的漏洞時(shí),攻擊者會(huì)利用這個(gè)頁面進(jìn)行攻擊??梢圆捎萌N方式來找出存在漏洞的頁面:
1. 采用Web漏洞掃描工具對(duì)網(wǎng)站進(jìn)行掃描
2. 人工或使用工具對(duì)網(wǎng)站代碼進(jìn)行審核
3. 從Web服務(wù)日志分析攻擊者提交的URL
45、網(wǎng)站被攻擊后該如何恢復(fù)
答:網(wǎng)站被攻擊后,應(yīng)迅速斷開網(wǎng)絡(luò)。審查服務(wù)器日志、審查網(wǎng)站代碼,找出網(wǎng)站的漏洞,進(jìn)行修補(bǔ)。同時(shí)清楚攻擊者留在服務(wù)器上的后門、賬戶等,修改所有用戶的密碼,對(duì)安全配置進(jìn)行檢查,確認(rèn)無誤后再重新上線。
46、如何保障網(wǎng)站管理員密碼安全
答:攻擊者獲取到網(wǎng)站管理員密碼可能有幾種途徑:
1.通過暴力猜解 對(duì)于暴力猜解,在構(gòu)建網(wǎng)站時(shí),需要選擇強(qiáng)度較高的加密算法,選擇密碼時(shí),應(yīng)該選擇復(fù)雜密碼,采用大小寫、數(shù)字、特殊字符混合的密碼,并定期更換密碼。在網(wǎng)站認(rèn)證頁面的也應(yīng)該有抗暴力猜解的設(shè)計(jì)。
2.通過漏洞攻擊獲取權(quán)限后更改管理員密碼 對(duì)于通過漏洞獲取權(quán)限的,需要定期檢查服務(wù)器是否存在操作系統(tǒng)、服務(wù)、應(yīng)用是否存在漏洞,及時(shí)安裝補(bǔ)丁包,檢測(cè)安全配置。
3.通過社會(huì)工程獲得。 對(duì)于通過社會(huì)工程泄露的,需要制定并執(zhí)行安全準(zhǔn)則,來控制密碼的保存和傳遞的范圍與流程。
47、突發(fā)性黑客攻擊和病毒該如何應(yīng)對(duì)
答:首先應(yīng)該建立一個(gè)應(yīng)急處理流程,明確在突發(fā)問題時(shí)相關(guān)人員的職責(zé)、處理流程等,這樣在突發(fā)性病毒和黑客攻擊時(shí)就可以做到井井有條。更重要的是應(yīng)該建立日常工作的安全指南,把安全作為網(wǎng)站的開發(fā)、發(fā)布、維護(hù)的重要因素考慮,降低安全風(fēng)險(xiǎn)。
48、遭遇Web威脅防御后是不是重裝系統(tǒng)的就可解決問題
答:重裝系統(tǒng)可以簡(jiǎn)單快速地消除攻擊者留下的后門和賬戶、修改的配置和文件等,但并沒有解決原來的漏洞,因此重裝系統(tǒng)一定要配合對(duì)操作系統(tǒng)、服務(wù)、應(yīng)用的安全檢查。
49、建立備份恢復(fù)體制是否可以完全保障Web業(yè)務(wù)的安全
答:備份恢復(fù)可以防止數(shù)據(jù)的丟失,是保證業(yè)務(wù)數(shù)據(jù)的重要步驟。但同樣備份恢復(fù)并沒有解決原來的漏洞,甚至可能在備份的數(shù)據(jù)中就留用攻擊者留下的后門。
50、部署防病毒軟件是否可以保護(hù)網(wǎng)站不遭受掛馬威脅
答:防病毒軟件可以檢測(cè)和消除各種已知病毒,并能對(duì)一些病毒行為進(jìn)行阻斷。但對(duì)于不存在病毒體的手工和自動(dòng)攻擊過程無法防御。目前大量的掛馬代碼都是定制化,防病毒軟件無法發(fā)現(xiàn)和避免。
51、做網(wǎng)站頁面的代碼修改是不是可以完全避免網(wǎng)站存在的問題
答:在Web威脅中占越來越重要位置的SQL注入和跨站腳本都是由于服務(wù)器對(duì)用戶輸入檢查不夠嚴(yán)格導(dǎo)致的。因此在代碼開發(fā)時(shí),就應(yīng)該對(duì)用戶數(shù)據(jù)進(jìn)行過濾。但是大量的過濾將極大加中服務(wù)器負(fù)載,導(dǎo)致服務(wù)器可接受的請(qǐng)求急劇減少。
52、定期升級(jí)操作系統(tǒng)補(bǔ)丁和病毒庫是不是就可以高枕無憂了
答:操作系統(tǒng)補(bǔ)丁可以解決操作系統(tǒng)本身的漏洞,及時(shí)更新病毒庫可以使防病毒軟件能夠查殺最新的病毒,防止病毒對(duì)服務(wù)器的破壞。僅有這兩種措施無法解決應(yīng)用層漏洞帶來的安全風(fēng)險(xiǎn)。
53、采用了非常復(fù)雜的管理員密碼是不是就可防止黑客拿到管理員權(quán)限
答:攻擊者獲取到網(wǎng)站管理員密碼可能有幾種途徑:1.通過暴力猜解 2.通過漏洞攻擊獲取權(quán)限后更改管理員密碼 3.通過社會(huì)工程獲得。采用復(fù)雜密碼可以在防止通過暴力破解,但不能放棄黑客通過漏洞或者社會(huì)工程攻擊的方式獲得。
54、設(shè)置網(wǎng)站管理員密碼的注意事項(xiàng)
答:設(shè)置密碼,應(yīng)該選擇復(fù)雜密碼,采用大小寫、數(shù)字、特殊字符混合的密碼,并定期更換密碼。不應(yīng)該把密碼以紙質(zhì)或電子的形式記錄下來,防止丟失。
55、費(fèi)用有限的情況下如何做定期安全評(píng)估
答:目前網(wǎng)絡(luò)上有很多的免費(fèi)資料談到如何做安全評(píng)估,也有很多免費(fèi)工具可以用來做安全評(píng)估。因此需要網(wǎng)絡(luò)管理人員花費(fèi)一些時(shí)間來了解這些資料和工具。也有一些安全公司提供了遠(yuǎn)程評(píng)估服務(wù),和現(xiàn)場(chǎng)評(píng)估服務(wù)相比,有更高的性價(jià)比。
56、如何防止網(wǎng)站的代碼被外界漏洞掃描?
答:首先應(yīng)該在代碼設(shè)計(jì)開發(fā)階段就考慮安全因素,減少代碼中出現(xiàn)漏洞的可能性。其次在部署網(wǎng)站時(shí)可以考慮部署入侵防御產(chǎn)品產(chǎn)品,阻止對(duì)網(wǎng)站的掃描行為。
57、如何防范外界通過正常開放的端口進(jìn)行入侵?
答:通過正常端口進(jìn)行入侵一般有兩種情況:
其一系統(tǒng)被種植了反彈木馬,反彈木馬程序的網(wǎng)絡(luò)通訊源端口為防火墻系統(tǒng)開放端口。對(duì)于這種情況,一方面可以通過加強(qiáng)防火墻配置策略的嚴(yán)謹(jǐn)性,既配置具有方向性的防火墻策略;另外一方面是各個(gè)終端部署終端安全軟件,保證非法進(jìn)程無法駐留到終端之中。
其二是入侵者利用該端口服務(wù)器程序的漏洞進(jìn)行入侵,通常是針對(duì)Web服務(wù)器的入侵,對(duì)于這種情況,建議部署具備Web攻擊防御能力的設(shè)備,如入侵防御系統(tǒng)或應(yīng)用防火墻設(shè)備。
58、在代碼開發(fā)階段如何預(yù)防Web威脅
答:要從兩方面入手,其一是開發(fā)項(xiàng)目要制定編碼規(guī)范,尤其要注意非法輸入檢查以及避免溢出漏洞;其二是在Web系統(tǒng)開發(fā)結(jié)束后,利用商用Web程序安全性評(píng)估軟件或者評(píng)估服務(wù)對(duì)Web系統(tǒng)的安全性進(jìn)行測(cè)試評(píng)估。
59、對(duì)成型的網(wǎng)站如何知道自己存在哪些Web威脅
答:對(duì)于一個(gè)已經(jīng)成型的網(wǎng)站,由于代碼復(fù)雜度較高,利用代碼檢查的方法很難發(fā)現(xiàn)存在漏洞,最好的辦法是利用商用Web程序安全性評(píng)估軟件或者評(píng)估服務(wù)對(duì)Web系統(tǒng)的安全性進(jìn)行測(cè)試評(píng)估。
60、保護(hù)Web服務(wù)器應(yīng)當(dāng)從哪些方面進(jìn)行考慮
答:主要從四方面進(jìn)行考慮,其一:Web服務(wù)器所在操作系統(tǒng)的安全性;其二Web服務(wù)器所在網(wǎng)絡(luò)的安全性;其三Web應(yīng)用程序的安全性;其四:Web發(fā)布系統(tǒng)自身的安全性。
61、如何提高Web服務(wù)器操作系統(tǒng)的安全
答:操作系統(tǒng)的安全性問題較多,這里以常用的WINDOWS系列操作系統(tǒng)為例,列舉一些重點(diǎn)需要考慮的因素:
1. 操作系統(tǒng)帳號(hào)管理,包括設(shè)置安全性較高的帳號(hào)口令;帳號(hào)文件加密或者隱藏,關(guān)閉GUEST帳號(hào)等。
2. 設(shè)置訪問控制策略,目前的WINDOWS操作系統(tǒng)均提供了主機(jī)防火墻,通過設(shè)置防火墻策略保證只有指定的端口、程序可以進(jìn)行網(wǎng)絡(luò)通訊。
3. 及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁,WINDOWS操作系統(tǒng)極為復(fù)雜,幾乎每隔幾天就有新的安全漏洞被發(fā)現(xiàn),管理員應(yīng)及時(shí)對(duì)操作系統(tǒng)進(jìn)行打補(bǔ)丁。
4. 關(guān)閉Web服務(wù)無關(guān)的服務(wù),減少系統(tǒng)與外界交互通訊的可能性。
5. 安裝防病毒、通訊監(jiān)視等軟件,可以防止一些流行工具/木馬/病毒的攻擊。
62、如何提高Web服務(wù)器的網(wǎng)絡(luò)威脅抵御能力
1. 部署硬件防火墻,進(jìn)行嚴(yán)格的訪問控制策略配置,阻擋無用的或者非法通訊進(jìn)入Web服務(wù)器。
2. 部署入侵檢測(cè)產(chǎn)品,以實(shí)現(xiàn)對(duì)入侵的實(shí)時(shí)監(jiān)測(cè)和報(bào)警
3. 部署流量控制與管理硬件,以便抵御來自外界網(wǎng)絡(luò)的DOS/DDOS攻擊。
63、如何提高Web程序的安全性
答:要從三方面入手,其一是開發(fā)項(xiàng)目要制定編碼規(guī)范,尤其要注意非法輸入檢查以及避免溢出漏洞;其二是在Web系統(tǒng)開發(fā)結(jié)束后,利用商用Web程序安全性評(píng)估軟件或者評(píng)估服務(wù)對(duì)Web系統(tǒng)的安全性進(jìn)行測(cè)試評(píng)估;其三是部署具備應(yīng)用層威脅防御能力的安全產(chǎn)品如入侵防御產(chǎn)品或應(yīng)用防火墻。
64、如何提高Web發(fā)布系統(tǒng)的安全性
答:操作系統(tǒng)的安全性問題較多,這里以常用的WINDOWS系列操作系統(tǒng)為例,列舉一些重點(diǎn)需要考慮的因素:
1. 操作系統(tǒng)帳號(hào)管理,包括設(shè)置安全性較高的帳號(hào)口令;帳號(hào)文件加密或者隱藏,關(guān)閉GUEST帳號(hào)等。
2.設(shè)置訪問控制策略,目前的WINDOWS操作系統(tǒng)均提供了主機(jī)防火墻,通過設(shè)置防火墻策略保證只有指定的端口、程序可以進(jìn)行網(wǎng)絡(luò)通訊。
3. 及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁,WINDOWS操作系統(tǒng)極為復(fù)雜,幾乎每隔幾天就有新的安全漏洞被發(fā)現(xiàn),管理員應(yīng)及時(shí)對(duì)操作系統(tǒng)進(jìn)行打補(bǔ)丁。
4. 關(guān)閉Web服務(wù)無關(guān)的服務(wù),減少系統(tǒng)與外界交互通訊的可能性。
5. 安裝防病毒、通訊監(jiān)視等軟件,可以防止一些流行工具/木馬/病毒的攻擊。
65、如何防御由于Web程序漏洞引起的Web服務(wù)器所面臨的威脅
答:部署入侵防御產(chǎn)品或者應(yīng)用防火墻設(shè)備。
66、如何規(guī)劃網(wǎng)站安全
答:建議從如下幾個(gè)方面考慮進(jìn)行網(wǎng)站安全的規(guī)劃:
1. 聘請(qǐng)專業(yè)網(wǎng)站開發(fā)人員,提高網(wǎng)站應(yīng)用程序的安全性。
2. 對(duì)Web服務(wù)器所在主機(jī)的操作系統(tǒng)進(jìn)行安全性增強(qiáng)并及時(shí)進(jìn)行打補(bǔ)丁。
3. 經(jīng)常性的進(jìn)行網(wǎng)站安全性測(cè)試與評(píng)估,及時(shí)了解網(wǎng)站的狀況。
4. 部署網(wǎng)絡(luò)防火墻等設(shè)備提高服務(wù)器所在網(wǎng)絡(luò)的安全性
5.部署提供Web程序攻擊防御能力的安全設(shè)備。
67、能否提供一些網(wǎng)站安全管理制度方面的建議
答:不同的機(jī)構(gòu)對(duì)網(wǎng)站安全的要求不一樣,因此也不會(huì)有通用的安全管理制度,這里列舉一些重點(diǎn)需要考慮的方面供參考:
數(shù)據(jù)備份制度--應(yīng)當(dāng)對(duì)重要文件、數(shù)據(jù)、操作系統(tǒng)及應(yīng)用系統(tǒng)作定期備份,以便應(yīng)急恢復(fù)。特別重要的部門還應(yīng)當(dāng)對(duì)重要文件和數(shù)據(jù)進(jìn)行異地備份。
口令管理制度--應(yīng)該選擇復(fù)雜密碼,采用大小寫、數(shù)字、特殊字符混合的密碼,并定期更換密碼。不應(yīng)該把密碼以紙質(zhì)或電子的形式記錄下來,防止丟失。
物理安全制度--應(yīng)當(dāng)建立嚴(yán)格的門禁制度和日常管理制度,機(jī)房及機(jī)房?jī)?nèi)所有設(shè)備都應(yīng)當(dāng)由專人負(fù)責(zé)管理,每日應(yīng)有機(jī)房值班記錄、出入人員記錄和各主要設(shè)備運(yùn)行情況的記錄。外來的系統(tǒng)維護(hù)人員進(jìn)入機(jī)房,應(yīng)當(dāng)由值班人員陪同并對(duì)其工作內(nèi)容做詳細(xì)記錄。
系統(tǒng)運(yùn)行期間的定期檢測(cè)和升級(jí)制度--鑒于網(wǎng)絡(luò)安全建設(shè)動(dòng)態(tài)發(fā)展和不斷更新的特點(diǎn),應(yīng)當(dāng)對(duì)系統(tǒng)漏洞和弱點(diǎn)進(jìn)行定期檢測(cè),并根據(jù)檢測(cè)的結(jié)果采取相應(yīng)的措施。要及時(shí)對(duì)操作系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)軟件進(jìn)行補(bǔ)丁包升級(jí)或者版本升級(jí),關(guān)閉不必要的服務(wù)和端口,以防黑客利用系統(tǒng)漏洞和弱點(diǎn)非法入侵。
審計(jì)制度--定期對(duì)各系統(tǒng)日志進(jìn)行分析審計(jì),便于發(fā)現(xiàn)是否存在異常的訪問行為。
應(yīng)急響應(yīng)制度--應(yīng)當(dāng)充分估計(jì)各種突發(fā)事件的可能性,做好應(yīng)急響應(yīng)方案,進(jìn)行定期演練。同時(shí),要與崗位責(zé)任制度相結(jié)合,保證應(yīng)急響應(yīng)方案的及時(shí)實(shí)施,將損失降到最低程度。
68、進(jìn)行Web服務(wù)器保護(hù)應(yīng)該采購(gòu)那些安全設(shè)備
1.在Web服務(wù)器前部署網(wǎng)絡(luò)防火墻
2. 在Web服務(wù)器前部署專業(yè)入侵防御產(chǎn)品或者應(yīng)用防火墻設(shè)備
3. 在Web服務(wù)器所在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品
4. 在Web服務(wù)器前部署流量管理設(shè)備
5. 在Web服務(wù)器上安裝防病毒軟件
6. 在Web服務(wù)器上安裝主機(jī)入侵檢測(cè)以及主機(jī)審計(jì)軟件
69、在網(wǎng)站安全建設(shè)中,有了IDS,我還需要入侵防御產(chǎn)品么
答:IDS和入侵防御產(chǎn)品是兩類不同的設(shè)備,IDS是針對(duì)攻擊進(jìn)行檢測(cè)發(fā)現(xiàn)并報(bào)警,更關(guān)注檢測(cè)范圍的全面性;入侵防御產(chǎn)品是針對(duì)攻擊進(jìn)行精確發(fā)現(xiàn)與阻斷,更關(guān)注威脅防御的準(zhǔn)確性;應(yīng)該說對(duì)于網(wǎng)站安全二者缺一不可。
70、進(jìn)行Web服務(wù)器保護(hù)的最關(guān)鍵設(shè)備是哪個(gè)?
答:Web服務(wù)器面臨眾多威脅,但其中最有破壞力的是應(yīng)用層威脅,所以對(duì)Web服務(wù)器來說,最關(guān)鍵的設(shè)備是具備應(yīng)用層防護(hù)能力的設(shè)備,可以是入侵防御產(chǎn)品或者應(yīng)用防火墻設(shè)備。
71、怎樣評(píng)價(jià)網(wǎng)站對(duì)SQL注入,XSS攻擊的防御能力。
答:比較好的辦法是進(jìn)行Web系統(tǒng)的安全評(píng)估,可以采用商用軟件進(jìn)行安全性評(píng)估,也可以雇傭?qū)I(yè)的安全服務(wù)人員進(jìn)行評(píng)估。
72、通過網(wǎng)站日志是否可以準(zhǔn)確分析出攻擊全過程
答:網(wǎng)站日志可以記錄所有用戶在指定時(shí)間段內(nèi)的所有操作。不論黑客采用何種攻擊方式,在最后對(duì)網(wǎng)頁文件進(jìn)行篡改或添加網(wǎng)頁木馬的時(shí)候,都會(huì)利用已存在或者是新添加的帳號(hào)進(jìn)行操作,所以這些操作也可以被網(wǎng)站日志系統(tǒng)所記錄。從未被篡改和精簡(jiǎn)的網(wǎng)站日志系統(tǒng)中,有經(jīng)驗(yàn)的用戶可以分析出攻擊的整個(gè)過程,但由于一般情況下,網(wǎng)站日志系統(tǒng)不存在獨(dú)立的保障機(jī)制,攻擊者可以在攻擊完成后刪除操作日志,這種情況下,將無法判斷攻擊者的所作所為。也就是說,網(wǎng)站日志在未被篡改的情況下,可以從中分析攻擊過程,但如果被攻擊者修改過,將無法實(shí)現(xiàn)全面分析。
73、目前哪些設(shè)備可以抵御針對(duì)Web程序漏洞的攻擊?
答:針對(duì)Web程序漏洞攻擊的安全防御設(shè)備主要有入侵防御產(chǎn)品和Web應(yīng)用防火墻。
74、目前增強(qiáng)Web服務(wù)器安全性的技術(shù)有的載體為軟件,需要部署在服務(wù)器內(nèi)部,有的載體為硬件,需要部署在Web服務(wù)器前面,那種更適合Web服務(wù)器呢?
答:Web業(yè)務(wù)是當(dāng)前運(yùn)用最為廣泛的網(wǎng)絡(luò)業(yè)務(wù),一些流量大的Web網(wǎng)站特別是承載了大量交互業(yè)務(wù)的Web網(wǎng)站,如果采用部署在服務(wù)器內(nèi)部的軟件級(jí)安全系統(tǒng),將不得不耗費(fèi)寶貴的系統(tǒng)資源來支撐分析計(jì)算的開銷,所以,如果您的Web業(yè)務(wù)系統(tǒng)對(duì)資源的需求不大(流量小,訪問量少),可以考慮采用軟件級(jí)安全系統(tǒng),否則,建議采用硬件級(jí)安全系統(tǒng)。
75、對(duì)于SQL注入攻擊,是否可以通過禁止SQL語句執(zhí)行來防御?
答:SQL注入利用的是Web頁面的代碼過濾不嚴(yán)格,攻擊者可以通過提交某些特殊構(gòu)造的SQL語句插入SQL的特殊字符和字段,來實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的非正常訪問。如果完全禁止SQL語句,當(dāng)然可以實(shí)現(xiàn)對(duì)SQL注入的防御,但與此同時(shí),正常的數(shù)據(jù)庫查詢語言也將無法執(zhí)行,除非Web站點(diǎn)是純靜態(tài)頁面,否則將無法正常訪問。采用禁止SQL語句執(zhí)行來防御SQL注入,純粹是因噎廢食。
76、對(duì)于SQL注入攻擊,弱點(diǎn)檢測(cè)和漏洞修補(bǔ)是否可以完全防止?
答:SQL注入攻擊是由于代碼編寫不夠嚴(yán)謹(jǐn)導(dǎo)致,沒有考慮到代碼的健壯性和安全性,由于Web程序漏洞的復(fù)雜性,安全分析人員很難通過弱點(diǎn)檢測(cè)和漏洞修補(bǔ)全面的檢查出SQL注入漏洞并進(jìn)行修補(bǔ)。需要說明的是,Web系統(tǒng)每一次添加了新的頁面或應(yīng)用,就需要再次進(jìn)行弱點(diǎn)檢測(cè)和漏洞修補(bǔ)。
77、流量分析工具能夠發(fā)現(xiàn)針對(duì)Web服務(wù)器的攻擊嗎
答:流量分析工具可以發(fā)現(xiàn)針對(duì)Web服務(wù)器的一段時(shí)間的訪問狀況,如果存在基于流量的攻擊行為如拒絕服務(wù)之類,可以通過該類工具發(fā)現(xiàn),但如果是基于數(shù)據(jù)內(nèi)容的攻擊行為,由于這類攻擊并不帶來流量的任何異常,所以不會(huì)被流量分析工具所發(fā)現(xiàn)。
78、對(duì)于XSS攻擊,是否可以通過禁止腳本執(zhí)行來防御?
答:XSS攻擊是由于Web頁面代碼編寫不完善,導(dǎo)致攻擊者可以在頁面中插入惡意腳本,使得網(wǎng)站的訪問者在訪問這些頁面時(shí)遭受攻擊。如果在自己的瀏覽器完全禁用腳本執(zhí)行,可以起到防范XSS攻擊的作用,但與此同時(shí),那些基于腳本的正常應(yīng)用將無法正常訪問。
79、網(wǎng)站被XSS攻擊了,該怎么辦?
答:XSS攻擊可以讓黑客獲得攻擊任意一個(gè)訪問受害網(wǎng)站頁面的用戶,雖然不直接危害網(wǎng)站的安全,但一方面影響網(wǎng)站聲譽(yù),另一方面如果網(wǎng)站管理者誤訪問惡意頁面,也有權(quán)限泄漏的可能。如果確認(rèn)網(wǎng)站被XSS攻擊,首先要將黑客添加的惡意腳本清除,其次需要針對(duì)這些存在XSS漏洞的地方進(jìn)行源碼級(jí)修改或采用專業(yè)的安全硬件產(chǎn)品如入侵防御產(chǎn)品。
80、網(wǎng)站被掛馬了,該怎么辦?
答:最簡(jiǎn)單的辦法就是備份恢復(fù),也可以在被掛馬頁面上手動(dòng)刪除,但這只是解決表面問題的辦法,黑客還可以再次在同一地方進(jìn)行攻擊。徹底的解決辦法是修改頁面源碼,避免再次被掛馬,也可以采用其他安全硬件產(chǎn)品如入侵防御產(chǎn)品進(jìn)行防御。
81、網(wǎng)站被SQL注入攻擊了,該怎么辦?
答:SQL注入可以讓黑客獲得數(shù)據(jù)庫權(quán)限,可以竊取密碼,執(zhí)行修改/增加/刪除數(shù)據(jù)庫表等操作。所以,如果網(wǎng)站被SQL注入攻擊了,首先要依據(jù)日志查看是哪個(gè)用戶的權(quán)限泄漏導(dǎo)致的數(shù)據(jù)庫修改,并更換密碼,同時(shí)依據(jù)日志檢查存在注入點(diǎn)的頁面,進(jìn)行代碼級(jí)的修復(fù)或采用專業(yè)的安全硬件產(chǎn)品如入侵防御產(chǎn)品。
通過這些Web安全知識(shí)學(xué)習(xí),你更加有把握的保護(hù)好自己的電腦了么。