网站安全防护(精选12篇)
网站安全防护 篇1
在网站服务器的安全维护工作中, 我们面临着许多未知的挑战和潜在的威胁。随着网络环境的不断开放, 黑客手段呈公开化趋势, 不仅黑客教材、网站随处可见, 而且公开传授黑客技术。黑客门槛越来越低, 一些不懂技术的网民也可以通过下载黑客软件搞破坏, 成为旁人闻之色变的黑客。另一方面, 互联网的创新能力非常强, 道高一尺, 魔高一丈, 找出漏洞进行攻击总是比及时修复漏洞进行防御容易, 所以黑客攻击事件再所难免。越来越多的黑客攻击行为, 给组织的信息网络和核心业务造成严重的破坏。
作为网站维护人员, 应不断提高自身的安全维护技术水平, 尽可能做好一切防范工作, 将问题消灭在萌芽状态, 确保网站安全稳定运行。笔者以下提出一些见解, 供大家参考, 望批评指正。
1 黑客非法入侵基本步骤
知己知彼, 百战不殆!只有知道了黑客入侵的基本步骤, 才能有针对性的做好防护措施。通常, 黑客入侵基本步骤如下:
第一步, 通过搜索引擎找到带有特征字符的网站
第二步, 判断网站管理系统类型和版本
第三步, 测试漏洞是否存在
第四步, 利用漏洞攻击
第五步, 留下后门
第六步, 清除入侵痕迹
2 网站安全防护措施
2.1 基础工作
(1) 用Ghost备份系统盘, 用于系统崩溃时快速恢复操作系统。
(2) 定期进行整站文件备份、不定期进行数据库备份, 条件允许的可以采取双机热备。
(3) 将当前服务器的进程抓图或记录下来, 方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来, 方便以后对照查看是否开放了不明的端口。
(4) 保持大部分文件的上传时间一致 (数据库之类频繁读写的文件除外) 。具体做法是一次上传所有文件, 建议就算修改了一个文件也重新上传一下所有网页, 这样做主要是方便查找木马。
2.2 系统安全设置
(1) 系统盘和站点放置盘必须设置为NTFS格式, 方便设置权限。
(2) 系统盘和站点放置盘除administrators和system的用户权限全部去除。
(3) 启用windows自带防火墙, 只保留有用的端口。
(4) 限制不必要的帐户, 更改系统默认帐户名并新建一个Administrator帐户作为陷阱帐户, 设置超长密码, 并让这个帐户不属于任何用户组, 改名并禁用掉Guest用户。
(5) 使用足够复杂的系统密码和网站后台密码。
(6) 把共享文件的权限从Everyone组改成授权用户。
(7) 配置帐户锁定策略, 将帐户设为“三次登陆无效”, “锁定时间30分钟”, “复位锁定计数设为30分钟”。
(8) 在安全设置里将“网络访问:可匿名访问的共享;网络访问:可匿名访问的命名管道;网络访问:可远程访问的注册表路径;网络访问:可远程访问的注册表路径和子路径;”四项清空。
(9) 在安全设置里在“通过终端服务拒绝登陆”中加入ASPNET、Guest、IUSR_*****、IWAM_*****、NETWORK SER-VICE、SQLDebugger (****表示机器名) 。
(10) 禁止建立空连接。修改注册表键值Local_Ma-chineSystemCurrent Control SetControlLSA-Restrict Anonymous为”1”即可。
(11) 更改有可能会被提权利用的文件运行权限, 找到以下文件 (net.exe、net1.exe、cmd.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、cacls.exe、format.com) , 将其安全设置里除administrators用户组外全部删除, 连system组也不要留。
(12) 卸载不安全的组件。将下面的代码保存为一个.BAT文件, 然后运行一下, WScript.Shell, Shell.application, WScript.Network就会被卸载了, 可以阻止木马通过这三个组件执行程序和查看电脑关键信息。
2.3 网站安全设置
(1) IIS权限设置的思路:为每个独立的要保护的个体 (一个网站或者一个虚拟目录) 创建一个系统用户, 设置所有的分区禁止这个用户访问, 而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问 (要去掉继承父权限, 并且要加上超管组和SYSTEM组) 。
(2) Web站点权限设定:读——允许;写——不允许;脚本资源访问———不允许;目录浏览——关闭;日志访问——关闭;索引资源——关闭;执行——仅限于脚本。
(3) 给各个不需要“执行”权限的目录, 去掉“执行”权限。尤其是上传目录, 比如Upload Files这样的目录, 还有图片目录, 一定要去掉“执行”权限。这样设置以后, 即使攻击者找到了上传漏洞, 把木马上传到了Upload Files目录, 他也不能利用那个木马做什么。
(4) 网站所在目录, 只给为该站点配置的匿名访问用户开放读、写和执行权限。不给Every OneGuest这样的用户赋予完全权限。非Web目录, 应该禁止给该匿名访问用户赋予权限。
(5) 在IIS中将出错调试信息设置为不出现在客户端浏览器中, 避免程序的错误信息暴露数据库的类型、位置, 为注入提供方便。
(6) 使用W3C扩充日志文件格式, 每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、HTTP状态、用户代理等。 (最好不要使用缺省的目录, 建议更换一个记日志的路径, 同时设置日志的访问权限, 只允许管理员和system为Full Control) 。
2.4 网站漏洞检测与修补
作为网站服务器的安全维护人员, 要学会换位思考, 将自己作为可能的攻击者去思考黑客可能会利用什么手段会针对哪些安全漏洞进行恶意攻击和入侵, 就有可能发现所维护网站服务器的安全漏洞, 提前修补漏洞。
使用在线安全检测工具和黑客攻击软件进行模拟攻击是发现网站安全漏洞的较好方法。这些工具有360网站安全检测、啊D注入工具、网站挂马扫描器 (MScaner) 、明小子 (Domain) 、网站后台目录扫描工具、WVS顶级网站扫描工具等。
任何网站都不是永远安全的, 漏洞的发现需要时间的积累, 所以网站也要不断打补丁, 这就和操作系统一样。因此, 如果网站是委托专业公司开发, 尽量不要让公司一次做完就撒手不管了, 应该在网站开发合同中对网站开发公司提出书面的网站安全管理和今后维护的要求。
2.5 木马查杀
对于web空间中的木马, 笔者建议以下几种查杀方法:
(1) 杀毒软件查杀。利用杀毒软件对web空间中的文件进行扫描, 能够及时发现并清除部分木马。
(2) FTP客户端对比。可以使用一些如cuteftp, Flash FXP的客户端软件, 这些软件提供有文件对比功能, 可以通过对FTP中的web文件和备份文件进行对比, 从而发现web空间中是否有多出来的可疑文件或者文件被篡改。
(3) 利用组件如思易asp木马追捕、十三WEBSHELL来查找木马。
(4) 利用Beyond Compare 2软件进行比对, 发现被篡改文件, 查找木马。
3 应急处置办法
没有任何一个网站是永远安全的, 如果网站已经被入侵了, 我们如何应对?
3.1 遇到突发的入侵事件, 首先应该保持冷静, 理清头绪, 不管情况有多严重。
3.2 下载被黑的网站以保存相关证据。然后用平时备份的资料替代被篡改的数据, 及时恢复网站功能, 最大限度降低不良影响。
3.3 暂时把管理后台删除, 这是没有办法的办法。在漏洞没找出之前, 网站是极不安全的, 可能遭到二次破坏, 造成更恶劣的影响。
3.4 在初步处理完后, 把损失情况报告分管领导, 必要时向公安机关网监部门报警。
3.5 分析入侵途径。查看事故发生前后几天的IIS访问记录, 分析漏洞所在。
3.6 修补漏洞, 查找后门。
3.7 总结经验教训。
4结语
网站没有绝对的安全, 只要相对的完善。没有任何一个网站是永远安全的, 但很多安全问题是可以避免的。面对当前日益严峻的安全形势, 网站安全管理必须从多角度、多方面入手采取行之有效的技术手段和安全措施。S
摘要:近年来, 黑客活动日益猖獗, 网站安全威胁飞速增长, 安全形势日益严峻, 网站管理员的日常工作已不再局限于简单的添加信息, 网站安全防护已成为网站管理工作的重要内容。本文针对Web服务所面临的安全问题, 提出了相应的维护措施和方法, 为合理配置一个安全的Web环境提供参考。
关键词:网站安全,防护策略,安全漏洞
参考文献
[1]牟晓东“防注”未必防得住[J].网管与维护, 2011.
[2]曾剑.关于网站服务器的安全维护技术问题探讨[J].计算机光盘软件与应用, 2011.
[3]邓红辉.基于ASP网站的安全性研究与实现[J].信息化建设, 2012.
网站安全防护 篇2
一、网站安全检测工具
一个网站有没有安全隐患,只是目测或简单使用,很难得到满意的答案;除非你是专业的技术人员,而且经常处理BUG,不然很难找到网站漏洞或隐患。
为了找出网站的安全隐患,我们可以使用网站安全检测工具,好比SCANV网站安全中心、百度站长平台安全检测等,对网站进行全面的安全检测,通常可以找到常见的漏洞或隐患,好比后台地址泄露什么的;当我们发现漏洞、隐患以后,可以按教程修复漏洞或设置程序。
二、使用WEB防火墙
当我们用工具已经检测不出新的漏洞,不是说网站非常安全,只能说明过去发现的漏洞已经被修复;如果出现新的漏洞,而网站没有及时升级补丁,同样会让网站不安全,
对此,我们可以使用WEB防火墙来解决这个问题,好比零部署使用加速乐,五分钟即可生效,支持防黑、防攻击,若发现异常的请求,那么会主动拦截,避免网站被攻击;即便是新出现的程序漏洞,加速乐会很快升级防护并生效,避免网站因为没升级补丁而出现意外。
三、服务器防火墙
虽然WEB防火墙用起来很方便,可以在短时间内生效,不过很难保护到服务器本身,好比对方已经知道服务器IP地址,或者是扫描到服务器端口,依然可以直接入侵。
面对这类攻击,可以使用系统防火墙来防护。不管是系统自带的防火墙,还是第三方防火墙,好比D盾、冰盾,防护效果都还不错,可以避免服务器被轻易入侵。当然,服务器防火墙有个不可避免的缺点,使用时会占用不少的服务器资源;若服务器的内存或CPU不足,反而会严重影响服务器性能。
除了自己做好基本的安全防护准备,我们在选择主机的时候,要尽量选择较为知名的主机商,主机商知名一点,技术人员负责一点,那么服务器本身的安全性会高不少。
政府网站安全亟待防范 篇3
政府网站安全防范,刻不容缓!
公积金查询网站现漏洞
8月25日,瑞星公司向网民发出警告,北京市公积金查询网站www.nms139.com 出现安全漏洞,其查询页面被搜索引擎抓取后,至少有数百个公积金账户的详细信息被泄漏到网上,包括公积金账户姓名、身份证号、公积金余额、所在单位等一览无遗。
目前,瑞星公司已经紧急通知相关搜索引擎提供商,将尽快删除包含个人信息的搜索网页。针对此次个人隐私泄漏事件,瑞星安全专家介绍说,这可能是公积金查询网站没有设定好搜索引擎抓取策略导致。
另外,据了解,近日有不少手机用户收到一条“公积金查询”短信,并提供域名为“nms139.com”的查询网址,被网友质疑为钓鱼网站。北京市住房公积金管理中心对此辟谣,称中心于2011年8月22日至2011年8月30日向部分住房公积金缴存人试点发放电子对账单。
瑞星安全专家提醒广大用户,凡是近期在该网站查询过公积金的用户,均可能面临个人资料外泄的风险,应把自己的银行卡密码、各种账号密码普遍进行更换,以免被黑客利用进行攻击。
木马盗号车管所批发驾照
除了公积金,近日,又有消息爆出某地车管所文员,利用木马盗取了相关民警的工作账号批发驾照,从中谋取暴利达数百万元。
据了解,此次作案主要人员为该地车管所4名文员,均是典型的80后,平时主要协助民警负责驾照的档案管理等工作。由于一次熟人托他们帮助办驾照,塞给他们一个红包,几人瓜分之后,便开始了批发驾照的犯罪活动,利用木马病毒盗取民警和车管所领导的登录口令和密码。学员花7000元就可购买到一个驾照,牵扯其中的包括车管所、驾校等50余人。
以上案件,不仅说明了犯罪分子利欲熏心、无孔不入,也同时表明车管所的安全防范措施不到位,车管所使用的专用账号被轻易盗用。卡巴斯基提醒广大用户,在提高安全意识的同时要安装专业的安全软件,确保企业、单位和个人的信息安全。
官网信息更要安全
政府网站,因其独特的性质,往往会储存大量的公民个人信息和其他重要甚至秘密的数据。瑞星安全专家表示,由于公积金账户包含了大量用户的个人信息,其中包括身份证号、与公积金绑定的银行账号等,一旦外泄即可被黑客利用来进行钓鱼、网络诈骗等,带来极大安全风险。而像车管所这样的政府单位,一旦专用账号被盗用,导致驾照被随意购买,则会出现不少马路杀手,严重危害公众的人身安全。
正是因为这些特殊性和政府网站信息的广泛性,往往导致黑客们对其充满兴趣,尤其是一些不法之徒,试图通过这些信息谋取非法利益的事件时有发生。
这就要求,政府部门网站要在内部防范上下功夫。除了要制定一套严格的安全防御解决方案,还要不时的寻找安全漏洞,安装适合的杀毒软件或者系统,或者与安全公司合作,避免给犯罪分子以可乘之机。
资讯
微软暗揭苹果谷歌漏洞
软件巨头微软从去年7月份开始,漏洞安全研究小组就开始对来自38家软件厂商的109款热门软件进行测试,了解它们存在的安全漏洞情况,其中就包括苹果和谷歌。
微软成立该部门的宗旨是对Windows系统中经常运行的应用程序进行分析,掌握它们对系统安全性的影响。经调查发现,苹果Safari浏览器和谷歌Picasa等产品存在安全漏洞。整个研究小组成立以来,已经列举了93个被标识为“重要”和“紧急”的安全漏洞。
超六成iPhone用户
越狱下载应用
最近,中国首家专注智能手机、平板电脑、移动互联网和物联网的产业研究机构,艾媒咨询公布了一份《2011年中国苹果iPhone手机用户调查研究报告》,据报告称,此次样本调查置信度为96.3%,主要数据的最大允许误差为2%。
网站内容安全防护技术浅析 篇4
随着信息技术的飞速发展和广泛应用,社会信息化进程不断加快,网络正在以前所未有的规模与速度改变着人类的生活。网站是网络信息发布的基础设施,根据中国互联网络信息中心(CNNIC)调查报告显示,截至2009年6月,我国网民数量已达到3.38亿,网站数量达306万,比上年同期增长114万,增长率为59.6%。庞大的网民数量和网站群为互联网应用的快速发展奠定了良好的基础,同时也使网络安全面临更大的威胁。
目前,保障网站安全方面的工具多种多样,有各种硬件的、软件的防火墙,还有入侵检测、端口扫描一类的反黑客工具,虽然如此,各类网站和Web应用系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防,服务中断、黑客入侵、页面篡改和信息泄漏等事件时有发生。公司、政府、企事业单位的网站主页被篡改的事情屡见不鲜,并且网页篡改事件发生数量正在急剧增长。网页篡改事件对公众产生的影响是非常严重的。一方面,网络系统的重要性不断提高,信息资料的丢失、泄密,以及服务的中断都会造成巨大的损失;另一方面,网络安全威胁程度的不断提高,攻击威力与日俱增。就权威的政府和媒体网站来说,其上出现的假新闻和错误导向的言论可能导致社会生活出现混乱,进而对经济生产、政府形象甚至社会稳定造成严重的不良影响。因此,采取必要的安全措施保障网络信息的安全,其作用和价值不言而喻。
要防止黑客入侵,仅靠防火墙、入侵检测系统等安全防护设备是远远不够的。这些技术只是从防御的角度来防止入侵,并不能从根本上解决问题。网站内容保护就是要在事前、事中、事后都要做好充分的防范工作,尤其是在发生了篡改事件之后,更要尽可能地把损失降低到最小。因此,开展网页防篡改关键技术的研究,对于解决和杜绝非法入侵,保障国家和企事业单位网络安全与信息安全,维护社会的安定团结具有重要意义。
1 网站信息安全现状
根据调研,在很多单位和部门,网站信息建设均存在下列问题:
1)服务器漏洞多,系统安全配置水平低。无论是Windows、Linux还是Unix系统,无论是操作系统软件、Web服务器软件、数据库软件或是第3方软件都存在着大量漏洞,成为潜在的安全威胁。同时,服务器系统的安全配置水平普遍偏低,多余的服务、端口被开放,留下了系统后门。
2)网站安全系统薄弱。很多单位只注重了网站的可用性维护,而忽略了网站信息安全性维护;有些单位注意了网络信息安全性维护,但又不能兼顾网站可用性,降低了网站使用效益。
3)泄密危险普遍存在。泄密危险具体体现在:第一,网络规模的扩大,很多单位的办公网络都联入公用网络;第二,同一个网络中可能存在着不同密级的信息内容;第三,各种Web应用系统的出现,使得网络信息泄密的危险更为突出。
4)对各种网站的发布、浏览和使用缺乏有效的监管。一方面用户发布的信息可能会造成有意无意的泄密,同时用户可能故意发布一些违反国家政策和法律、法规的内容,造成恶劣影响;另一方面,用户也有可能无法得到正常的网站服务或者浏览到被篡改的网站。
5)网站被篡改或信息泄漏危害严重。篡改网站页面或者信息泄漏页面传播速度快、阅读人群多;复制容易,事后消除影响难;预先检查和实时防范较难;网
络环境复杂难以追查责任。
因此,保障网站与Web应用系统的可用性和安全性具有重要的实用价值,面对网站系统的蓬勃发展和日益严峻的网络安全形势,在网络建设中部署防篡改系统是十分必要的。
2 网站内容安全防护相关技术
2.1 网站内容安全防护技术
为保护网页,所用技术涉及范围较广,并且随黑客进攻手段的发展而变化。
2.1.1 口令认证
为保证系统的安全,方便网站系统管理员的管理,在系统中设置口令认证。一般的方法是在界面设置认证机制,要求用户输入正确的口令才能访问。但是口令认证在传输过程中容易被窃听截取,最好采用一次性口令(One-Time Password)机制,它无须在网上传输用户的真实口令,并且具有一次性的特点,可有效防止重放攻击。
2.1.2 优先算法
为保证主页和重要页面文件拥有较高的扫描优先权,运用数据结构中的优先算法。一般页面的优先级与页面所处的链接层次有关,主页采用较高的优先级,较深层次的链接文件和次要文件采取较低优先级,这样可以保证在网站被攻破后,能够及时优先恢复主页文件,这种分清主次的恢复策略可以减轻网站被破坏以后造成的影响。常用的广度优先算法能够从一个顶点出发首先依次访问临近的全部节点,然后再顺次访问第3级的未被访问的临近节点,直到所有节点都被访问。将优先算法应用于保护系统中,添加递归结束条件,如链接的最大层数限制在20以内,可重点保护主页并能减少资源占用。
2.1.3 多线程技术
线程是进程内部的一个执行单元,它的执行环境小、负担小,包含独立的堆栈和CPU寄存状态,每个线程共享所有进程的资源。考虑到保护系统整体的实效性,为完成监控、报警、备份恢复、日志记录等多个任务的并行处理,一般采取多线程编程模型。
2.1.4 散列函数
散列函数(又称Hash函数)是将一个不同长度的报文转换成一个数字串(即报文摘要)的公式,该函数不需要密钥。不同的Hash算法对相同尺寸的文件进行一次检测所用的时间不同,并且不同大小的文件其差异也不相同。网页保护中采用单向Hash算法将需要保护的明文进行摘要,产生具有固定长度的单向散列值,通过比较文件的Hash函数值来判断内容是否被修改。最常见的MD5算法,是将整个文件当作一个大文本信息,通过其不可逆的字符串变换算法,产生一个唯一的128位MD5信息摘要。
2.1.5 加密传输
由于FTP协议在网络中传输明文数据,建立起来的连接有可能导致用户信息的泄露,使系统的安全性降低。为确保系统的安全性,对网络传输关键数据进行加密,使信息的可靠性增强。如以安全套接层协议SSL进行加密传输,可增强信息的安全性。
2.2 网页防篡改技术
2.2.1 轮询扫描
轮询扫描是最早应用于防篡改系统的核心技术,采用该技术的系统在启动之后按照一定的时间规则对待保护文件进行轮询检查。随后将该数字水印或消息摘要与备份数据库中的相应内容进行一致性对比,以判断该文件是否被改动过。轮询扫描技术原理简单,且由于该技术与网站服务器的操作系统、Web/应用服务器软件无关,即该技术在平台兼容性方面具备一定的优势,基于该技术实现一套监控保护系统的代价相对较小,因此,目前国内外诸多防篡改系统是基于该技术实现的。不过该技术存在的两个致命缺陷:一是关键资源消耗高,采用该技术的系统为了检测文件合法性,必须频繁扫描磁盘,这肯定会消耗高的系统内存和CPU资源,从而必然影响系统其他服务的效率;二是检测不具备实时性,通常来讲,对于一般规模的网站,针对某个网页文件轮询扫描可能会存在着几分钟,甚至几十分钟的时间间隔,在这个时间间隔里,黑客完全可以攻击系统并使公众访问到被篡改的网页文件。轮询扫描技术由于存在效率和安全性方面的缺陷,其作为安全类产品的核心技术必然会带来诸多隐患,因此,该技术必将慢慢被其他技术所取代。
2.2.2 核心内嵌技术
所谓核心内嵌技术即密码水印技术,最初先将网页内容采取非对称加密存放,在外来访问请求时将经过加密验证过的网页,进行解密对外发布;若未经过验证,则拒绝请求,调用备份网站文件进行验证解密后对外发布。核心内嵌技术避免了时间轮巡技术的轮巡间隔的缺点。但是由于这种技术是对每个流出网页都进行完整检查,占用很大的系统资源,给服务器造成较大负载。
2.2.3 事件触发技术
众所周知,操作系统实际上就是磁盘文件的管理系统,因此所有文件的变化都会无延迟的映射到操作系统内核,事件触发技术借助系统内核信号获取文件变更的事件,经过严格的分析认证,确定非法更改事件。因此,该技术不仅能够检测到常规的文件变化,而且针对其他高级黑客技术,例如写磁盘、借助操作系统漏洞等技术进行的文件修改,也同样具备准确的检测功能。此外,事件触发技术在准确性、实时性、资源占用等多个关键方面更优于传统的轮询扫描技术。事件触发技术在基本保证安全的基础上,最大程度提高了监控软件的实时性能,并且能耗较低。
事件触发技术也存在一定的问题,最主要的就是针对操作系统的平台兼容性差。该技术的实现依赖于操作系统提供的底层API接口,目前仅Windows系列平台开放了此类接口,限制了事件触发技术在防篡改领域的应用。此外,事件触发技术在文件恢复过程还是需要一定时间的,即使这个时间非常短暂,针对那些访问并发量很大的公众网站,仍旧有可能出现互联网用户浏览到篡改页面的可能。
2.2.4 文件过滤驱动技术
文件过滤驱动技术将篡改监测的核心程序通过文件底层驱动技术应用到Web服务器中,通过事件触发方式进行自动监测,对文件夹的所有文件内容,对照其底层文件属性,经过内置散列快速算法,实时进行监测,若发现属性变更,通过底层文件驱动技术进行恢复,整个文件复制过程毫秒级。
文件过滤驱动技术的不足之处是使用它实现的防篡改系统依赖于操作系统文件底层驱动,不能跨平台使用,当操作系统版本发生改变时,系统必须进行相应更改。
3 结束语
文中概述了网络信息安全面临的威胁以及网络信息安全防护研究现状,并对当前网站内容保护采用的相关技术进行了分析。要防止黑客入侵,仅靠防火墙、入侵检测系统等安全防护设备是远远不够的。这些技术只是从防御的角度来防止入侵,并不能从根本上解决问题。网站内容保护就是要在事前、事中、事后都要做好充分的防范工作,尤其是在发生了篡改事件之后,更要尽可能地把损失降低到最小。因此,开展网页防篡改关键技术的研究,对于解决和杜绝非法入侵,保障国家和企事业单位网络安全与信息安全,维护社会的安定团结具有重要意义。
参考文献
[1]蒋睿,胡爱群,陆哲明,等.网络信息安全理论与技术[M].华中科技大学出版社,2007.
[2]牛冠杰,笋大伟,李晨,等.网络安全技术实践与代码详解[M].北京:人民邮电出版社,2007.
[3]肖遥.网站入侵与脚本攻防修炼[M].北京:电子工业出版社,2008.
[4]刘彤,蒋继娅,胡祥义.分布式环境下文件内容防篡改系统研究[J].计算机安全,2007(11):1-4.
[5]李枫,刘志永,马丽.网页防篡改技术研究及应用[J].电力信息化,2008,6(7):124-126.
[6]张磊,王丽娜,王德军.一种网页防篡改的系统模型[J].武汉大学学报,2009,55(1):121-124.
[7]高延龄,张玉清,白宝明,等.网页保护系统综述[J].计算机工程,2004,30(10):113-115.
[8]Noureddine Boudriga,Jihene Krichene.Managing NetworkSecurity Projects:Classification Models and Scale Effect[M].Information and Communication Technologies:FromTheory to Applications,2008.
网站安全方案(范文) 篇5
针对与网站被挂马,网站被挂黑链,首页被篡改,网站被挂弹窗,打开自己网站时,会自动跳转到赌博网站,网站自动收录一些恶意的百度快照,网站订单数据劫持,网站劫持跳转攻击等等情况而制定的网站安全维护服务。
网站数据过滤,漏洞修复,网站程序代码的安全审计,包括PHP、ASP、JSP.NET等程序代码的安全审计,上传漏洞,SQL注入漏洞,身份验证漏洞,XSS跨站漏洞,网站防篡改方案,网站管理页面的身份登录验证,以及网站后门木马和程序恶意挂马代码的检测和清除,网站源代码及数据库的加密和防止泄露。
对用户网站程序进行系统性的代码安全审查,包括网站功能安全分析,SQL注入漏洞,COOKIES注入漏洞分析,XSS跨站漏洞,上传漏洞截断分析,PHP网站远程代码包含漏洞的分析,伪造referer漏洞分析,代码执行漏洞,网站变量覆盖,网站权限提升漏洞等安全代码的审计。
黑客入侵网站,拿到权限后会进一步的上传木马,然后通过木马后门提权拿到服务器的管理员权限,这种木马叫做网站木马,也叫webshell。根据webshell的特征和加密算法进行深度的挖掘和定位检测,包括黑链木马,数据库木马,asp,aspx,php,jsp木马后门等都能进行全面的查杀,对于网站的挂马代码达到彻底清除,来保障网站的安全稳定。
为了隐私安全,远离社交网站吧 篇6
我一直都不喜欢社交网站。我几乎不用MySpace、Facebook或其他会把我的私人信息与“网上朋友”圈子分享的服务。我避免使用这些服务的主要原因是我无法确定,运行这些服务的公司会如何使用我的信息,或者说,他们根本无法保护我的个人信息。
上个月,关于Facebook广告和Beacon技术的争议激怒了用户,这正好证明了我对社交网络隐私的顾虑是完全有道理的,甚至是有预见性的。
事情是这样的,Facebook采用了新的自动化口碑广告服务。个人用户、安全专家和隐私监管人则抱怨Facebook暗中搜集用户数据或Facebook合作伙伴的服务数据。这些用户在网上的行为和活动都受到了跟踪,有时还在他们不知情或没有授权的情况下就被公开了。而据Facebook说,搜集信息的意图在于向网络用户和其社交网络中的人们提供有针对性的广告。
从上个月开始,人们就一直在表达着他们的愤怒和震惊。我也很愤怒,但我一点也不惊讶。搜集使用信息的技术很早之前就有了,只不过Facebook是第一家有胆量用它来获取经济利益的公司。
要怪就怪网络经济学吧。
互联网有大量的内容和无数服务,但基本上只有两种融资方式,用户直接为内容或服务付费,或服务提供商使用广告来抵消内容或服务的真正成本。
作为用户,我们非常不情愿自己付费。有一种观点甚至认为,互联网上的就是免费的。我们习惯了免费使用复杂的服务,如旅行计划、娱乐信息、研究能力、比较购物,还有社交网络等。
但是总得有人为这些内容或服务买单,所以网站只有转向广告来支持他们的业务。
对于这些社交网络来说,融资计划也是如此。开发应用程序和为我们的虚拟生活提供存储空间需要大量的资金。如果Facebook不从用户那里收钱,那就必须得从广告商身上取得资金。这会怎样?广告商希望他们的钱能有回报。Beacon的设计就是为了提供这种回报。
我敢说,在美国没有一个广告商不渴望获得像Facebook这样的个人信息,这是为了明确2000万人喜欢什么和不喜欢什么,为了使用这些信息向那些可能想购买某种产品的顾客投递合适的广告。这就是做广告的目标。
但有一个问题,尽管这些人付费使你能够提供服务,但并不意味着他们有权使用你搜集的数据。Facebook在估计顾客对隐私权的期望时超出了底线。公众的愤怒迫使Facebook改变其广告计划。但这个公司还将继续搜集大量的个人信息,而且无论现在或将来,我们还是不知道这些信息会被如何使用。
网站安全的威胁与防护 篇7
关键词:网站,安全,防护
1 网站技术简介安全威胁的来源
1.1 WWW技术简介
World Wide Web称为万维网, 简称Web。分成服务器端、客户接收机及通讯协议三个部分。
1.1.1 服务器 (Web服务器)
服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。Web服务器的作用就是管理这些文档, 按用户的要求返回信息。
1.1.2 客户接收机 (Web浏览器)
客户机系统称为Web浏览器, 用于向服务器发送资源索取请求, 并将接收到的信息进行解码和显示。Web浏览器是客户端软件, 它从Web服务器上下载和获取文件, 翻译下载文件中的HTML代码, 进行格式化, 根据HTML中的内容在屏幕上显示信息。
1.1.3 通讯协议 (HTTP协议)
Web浏览器与服务器之间遵循HTTP协议进行通讯传输。HTTP (HyperText Transfer Protocol, 超文本传输协议) 是分布式的Web应用的核心技术协议, 在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式, 以及Web页面在Internet上的传输方式。
1.2 服务器安全威胁
对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞, 恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑:
Web服务器操作系统本身存在一些漏洞, 能被黑客利用侵入到系统, 破坏一些重要文件, 甚至造成系统瘫痪。
Web数据库中安全配置不完整, 存在弱口令或被数据库注入等安全漏洞, 导致数据丢失或服务中断。
Web服务器上的数据存储结构不合理, 没有划分安全区域或重要数据没有存放在安全区域, 导致被侵入。
Web服务器上运行的程序存在安全漏洞, 或应用程序所需要的权限过高没有优化, 容易被黑客侵入。
1.3 客户端安全威胁
现在网页中的活动内容已被广泛应用, 活动内容的不安全性是造成客户端的主要威胁。主要用到Java Applet、ActiveX、Cookie等技术都存在不同的安全隐患。
1.4 数据传输中的安全威胁
Internet是连接Web客户机和服务器通信的信道, 是不安全的。未经授权的用户可以改变信道中的信息流传输内容, 造成对信息完整性的安全威胁。此外, 还有像利用拒绝服务攻击, 向网站服务器发送大量请求造成主机无法及时响应而瘫痪, 或者发送大量的IP数据包来阻塞通信信道, 使网络的速度便缓慢。
2 WEB安全保护的原则
2.1 实用的原则
针对网站架构, 网站安全问题主要分为以下四个方面:服务器安全、边界安全、Internet和Extranet上的安全, 在攻击行为发生前, 做到防患于未然是预防措施的关键。
2.2 积极预防的原则
对WEB系统进行安全评估, 权衡考虑各类安全资源的价值和对它们实施保护所需要的费用, 通过评估, 确定不安全情况发生的几率, 采用必要的软硬件产品, 加强网站日常安全监控。
2.3 及时补救的原则
在攻击事件发生后尽快恢复系统的正常运行, 并找出发生攻击事件问题的原因, 将损失降至最低, 并研究攻击发生后应对措施。
3 建立安全的Web网站
3.1 合理配置主机系统
3.1.1 仅提供必要的服务
默认安装的操作系统都有一系列常用的服务。例如UNIX系统将提供Finger、Sendmail、FTP、NFS、IP转发等, Windows NT系统将提供RPC、IP) 转发、FTP、SMTP等。而且, 系统在缺省的情况下自动启用这些服务, 或提供简单易用的配置向导。为此, 在安装操作系统时, 应该只选择安装必要的协议和服务;对于UNIX系统, 应检查/etc/rc.d/目录下的各个目录中的文件, 删除不必要的文件;对于Windows系统, 应删除没有用到的网络协议, 不要安装不必要的应用软件。一般情况下, 应关闭Web服务器的IP转发功能。
对于专门提供Web信息服务 (含提供虚拟服务器) 的网站, 最好由专门的主机 (或主机群) 作Web服务器系统, 对外只提供Web服务, 没有其他任务。这样, 可以保证 (1) 使系统最好地为Web服务提供支持; (2) 管理人员单一, 避免发生管理员之间的合作不调而出现安全漏洞的现象; (3) 用户访问单一, 便于控制; (4) 日志文件较少, 减轻系统负担。
对于必须提供其他服务, 则必须仔细设置目录、文件的访问权限, 确保远程用户无法通过Web服务获得操作权限。
3.1.2 使用必要的辅助工具, 简化安全管理
启用系统的日志 (系统帐户日志和Web服务器日志) 记录功能。监视并记录访问企图是主机安全的一个重要机制, 以利于提高主机的一致性以及其数据保密性。
3.2 合理配置Web服务器
在Unix OS中, 以非特权用户而不是Root身份运行Web服务器。
(1) 设置Web服务器访问控制。
通过IP地址控制、子网域名来控制, 未被允许的IP地址、IP子网域发来的请求将被拒绝;
(2) 通过用户名和口令限制。
只有当远程用户输入正确的用户名和口令的时候, 访问才能被正确响应。
(3) 用公用密钥加密方法。
对文件的访问请求和文件本身都将加密, 以便只有预计的用户才能读取文件内容。
3.3 设置Web服务器有关目录的权限
为了安全起见, 管理员应对”文档根目录“和“服务器根目录”做严格的访问权限控制。
服务器根目录下存放日志文件、配置文件等敏感信息, 它们对系统的安全至关重要, 不能让用户随意读取或删改。
服务器根目录下存放CGI脚本程序, 用户对这些程序有执行权限, 恶意用户有可能利用其中的漏洞进行越权操作。
服务器根目录下的某些文件需要由Root来写或者执行, 如Web服务器需要Root来启动, 如果其他用户对Web服务器的执行程序有写权限, 则该用户可以用其他代码替换掉Web服务器的执行程序, 当Root 再次执行这个程序时, 用户设定的代码将以Root身份运行。
3.4 安全管理Web服务器
Web服务器的日常管理、维护工作包括Web服务器的内容更新, 日志文件的审计, 安装一些新的工具、软件, 更改服务器配置, 对Web进行安全检查等。
参考文献
网站安全问题及其防护措施分析 篇8
CNNIC统计显示的07 年上半年TCP 协议流量端口排名, HTTP80端口服务居第1位, 占所有业务的23.97%, 网页服务网站已成为网上交流的最重要的手段。网站安全问题已成为网络防护的主要问题。由于Web架构在成本与应用能力方面的优势, 越来越多的企业和机构将应用迁移到基于Web的架构。Web 应用已经从最初提供简单的静态内容演变到提供丰富的动态内容, 还可以同数据库进行通信以生成对用户有用的内容, 这些都为攻击提供了机会。
2007 年上半年抽样监测发现我国大陆约有3 百多万个IP 地址的主机被植入僵尸程序。2007 年上半年, 中国大陆被篡改网站的数量相比往年处于明显上升趋势。CNCERT/CC监测到中国大陆被篡改网站总数达到28367 个, 比去年全年增加了近16%。CNCERT/CC 在2007 年上半年抽样监测, 境内外控制者利用木马控制端对主机进行控制的事件中, 木马控制端IP 地址总数为209949 个, 被控制端IP 地址总数为1863753 个。
怎样来构建一个安全的Web应用平台呢?Web设计人员首先必须在Web应用的每个层面精心设计安全性。但是, 许多企业在设计Web应用时, Web设计人员并未全面考虑安全性。从实际的案例中, 我们发现, 大部分被攻击的网站也都有防火墙防护。但由于黑客多采用SQL代码注入等协议层的攻击, 以及采用大规模僵尸网络DDOS攻击, 对于这类攻击, 防火墙则显得无能为力。
其根本的原因是, 传统的防火墙设备对于应用层的攻击防范, 作用十分有限。目前的大多防火墙都是工作在网络层, 通过对网络层的数据过滤 (基于 TCP/IP报文头部的ACL) 实现访问控制的功能;通过状态包过滤防火墙可以保证内部网络不会被外部网络非法接入, 而应用层攻击的特征在网络层次上是无法检测出来的。
目前常见的Web攻击主要分为三类:一是利用Web服务器的漏洞进行攻击, 如CGI缓冲区溢出、目录遍历漏洞等攻击;二是利用网页自身的安全漏洞进行攻击, 如 SQL注入、跨站脚本攻击、Cookie假冒、认证逃避、非法输入、强制访问、隐藏变量篡改等;三是利用僵尸网络的分布式DOS攻击, 造成网站拒绝服务。利用网上随处可见的攻击软件, 攻击者甚至不需要对网络协议的深厚理解基础, 即可完成诸如更换web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据, 和正常数据没有什么区别。对于和后台数据库产生交互的网页, 如果没有对用户输入数据的合法性进行全面的判断, 用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码, 使后台应用执行攻击着的SQL代码, 攻击者根据程序返回的结果, 获得某些他想得知的敏感数据, 如管理员密码, 保密商业资料等。
随着网络攻击向应用层发展, 网络中的WEB应用部署面临的安全问题现在可以通过一种全新设计的高性能防护应用层攻击的安全防护设备——WEB专用应用防御系统来解决。它需要通过执行应用会话内部的请求来处理应用层, 专门保护Web应用通信流和所有相关的应用资源免受利用 Web协议发动的攻击。Web应用层防御系统可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击。这些攻击包括利用特殊字符或通配符修改数据的数据攻击, 设法得到命令串或逻辑语句的逻辑内容攻击, 以及以账户、文件或主机为主要目标的目标攻击。
下面简单的介绍一下WEB专用应用防御系统的几个主要功能:
1 恶意代码主动防御
利用信任链机制, 对系统中所有装载的可执行文件代码 (例如:EXE、DLL、COM等) 进行控制, 所有可执行文件代码在加载运行之间都需要先经过检验, 只有通过验证的代码才可以加载。这种方式可以有效阻止恶意代码的运行。
2 网页文件过滤驱动保护
利用操作系统漏洞, 应用缓冲区溢出等方法可以获得管理员权限, 从而可以任意修改网页文件, 以达到攻击的目的。针对这种攻击方式, 采用对象相关 (Object—Specific) 保护方式来保护静态网页不被篡改。即网站管理员可以自行选择需要保护的网页文件设定为受控对象, 对于每一个受保护的对象, 管理员为其设定一个对象相关授权码。对象相关保护方式是一种不基于系统用户身份的访问控制技术, 对于所有受保护的对象, 网站防护系统在操作系统内核对其加以保护, 在不知道对象相关授权码的情况下, 即使是系统管理员, 系统也禁止其对于受保护对象 (比如主页) 的任何特定操作, 比如修改内容、删除、重命名等。通过对象相关保护方式, 即使攻击者拿到系统管理员的权限, 由于不知道受控对象的授权码, 因而也无法对其进行修改, 从而可以有效阻止溢出类攻击对系统静态网页的篡改。
3 防SQL注入功能
随着B/S模式应用开发的发展, 使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高, 程序员的水平及经验也参差不齐, 相当大一部分程序员在编写代码的时候, 没有对用户输入数据的合法性进行判断, 使应用程序存在安全隐患。用户可以提交一段数据库查询代码, 根据程序返回的结果, 获得某些他想得知的数据, 这就是所谓的SQL注入。网站防护系统可以通过高效的URL过滤技术, 把SQL注入的关键字过滤掉, 从而有效的避免网站服务器受到SQL注入攻击。
4 双机热备功能
网站防护系统支持双机热备功能, 从而提高系统的稳定性和可靠性。两台网站防护系统分为主机和从机, 在主机工作的同时, 从机处于实时监控主机的工作状态, 这时所有对内部网络的保护工作由主机完成。
5 抗网络攻击能力
作为一种网络安全防护设备, 网站防护系统在网络中自然成为众多攻击者的首要目标, 所以抗攻击能力也是网站防护系统的必备功能。该系统采取多种安全措施, 可以防范Internet环境中的攻击, 如:抗网络安全性分析 DDOS攻击等。
参考文献
[1]王瑞洋.系统防护与反入侵[M].北京:机械工业出版社, 2003.
网站安全防护 篇9
在单位内网中, 通常设置有各种网络服务器, 但是将内网网站直接发布到Internet上, 存在很大的安全风险。这就需要使用防火墙来保护其安全。但硬件防火墙价格较高, 而利用Forefront TMG2010防火墙软件就可以为内网提供有效的保护。
Forefront TMG是一款高级状态检测以及应用层检测防火墙, 同时还包括VPN以及Web缓存, 能最大化提升信息安全和性能。这里就以实例来介绍和分析如何使用Forefront TMG 2010安全发布内网网站。
在本例的域架构中存在Web服务器, DC控制器, Exchange 2010服务器等主机。Web服务器IP为192.168.1.9, DC控制器IP为192.168.1.2, Exchange服务器IP为192.168.1.10。在DC控制器上安装了CA证书服务和DNS服务, 网关服务器上安装的是Forefront TMG 2010防火墙, 在其中安装了两块网卡, 其公网IP为某具体值。内网IP为192.168.1.1。在这些主机上在其上安装的都是Windows Server 2008。
使用Forefront TMG发布HTTP站点
为让外网用户方便访问内网服务器, 需向Internet上的域名提供商申请一个域名, 之后添加对应的主机记录使之指向内网的公网地址。需在Forefront TMG防火墙上对80端口设置一个映射, 使之映射到内网的Web服务器上。
在Forefront TMG控制台窗口左侧选择“防火墙策略”项, 在其右键菜单上依次点击“新建”、“网站发布规则”项, 输入本规则名称, 如图1所示。在“下一步”窗口中选择“允许”项, 点击“下一步”按钮, 在发布类型窗口中选择“发布单个网站或负载平衡器”项, 在下一步窗口中选择“使用不安全的连接发布的Web服务器或服务器场”项表示发布HTTP网站。在下一步的内部发布详细信息窗口中输入内部站点名称, 选择“使用计算机名称或IP地址连接到发布的服务器”项, 输入内网Web服务器地址192.168.1.9。在下一步窗口中“路径”栏中输入“/*”, 表示发布整个网站。
点击“下一步”按钮, 在发布名称细节窗口中的“公网名称”栏中输入实际的网站域名, 即上述申请的域名信息。在下一步的选择Web侦听器窗口中点击“新建”按钮, 在弹出窗口中输入该侦听器名称。点击“下一步”按钮, 选择“不需要与客户端建立SSL安全连接”项, 点击下一步按钮, 在Web侦听器IP地址窗口 (如图2) 中选择“外部”项, 在下一步窗口中的列表中选择“没有身份验证”项, 点击完成按钮, 创建该侦听器。该Web侦听器的作用在于当Forefront TMG接收到外部用户访问其80端口时才执行映射操作。返回上一级窗口, 选择使用该侦听器, 在下一步窗口中选择“无委派, 但是客户端可以直接进行身份验证”项, 之后点击完成按钮, 创建该发布规则。
点击Forefront TMG窗口上部的“应用”按钮激活该规则。为测试该规则是否发挥作用, 可在Forefront TMG窗口中部的所有防火墙策略列表中选择名为“Publish Web Site”的规则, 在其属性窗口中点击“测试规则”按钮, 在Web发布规则测试结果窗口中显示相关的测试信息, 如果出现错误提示需对其进行调整。例如出现需要将Web侦听器配置为侦听SSL端口之类的信息时, 需要在该属性窗口中的“侦听器”面板中选择上述侦听器名称, 点击“属性”按钮, 在其属性窗口的“身份验证”面板中点击“高级”按钮, 在弹出窗口 (如图3) 中选择“允许通过HTTP进行客户端身份验证”项, 点击应用和确定按钮保存配置信息。之后点击Forefront TMG窗口上部的“应用”按钮, 重新激活该规则。之后可以重新执行测试, 就会发现测试成功。
申请和管理安全证书
使用HTTP协议访问网站存在很大的安全问题。为提高安全性, 应该为网站绑定安全证书, 使用SSL加密的方式进行数据的传输, 这样即使有黑客对其进行拦截嗅探, 也无法获取真实的内容。在实际工作中, 需要向第三方证书颁发机构购买证书, 这里为了便于说明, 可以在DC控制器上安装活动目录证书服务, 来执行证书的颁发操作。对使用者来说, 首先要信任该证书颁发机构, 对加入域的主机来说, 只需在CMD窗口中执行“gpupdate/force”命令, 通过刷新组策略的方法, 可以让该机信任证书颁发机构。
申请证书的方法有很多, 例如在Exchange2010中打开管理控制器, 在其左侧点击“服务器配置”项, 在右侧点击“新建Exchange证书”链接, 在向导界面 (如图4) 中输入该证书的友好名称, 在下一步窗口中打开“客户端访问服务器”项, 选择其中的“Outlook Web App在Intranet上”和“Outlook Web App在Internet上”项, 在下一步窗口中选择合适的域名, 点击“设置为公用名称”按钮, 将其设置为的公用名称, 在下一步窗口中输入组织, 组织范围, 位置等内容, 点击浏览按钮, 选择证书请求文件存储路径。这样就生成了证书请求文件, 例如“qqzs.req”。
只要将该证书文件提交给第三方证书颁发机构, 就可以买到所需的证书。这里为了简单起见, 可以向DC中的证书服务申请证书。使用记事本打开该文件, 复制其全部内容。在浏览器中访问“http://192.168.1.2/certsrv”地址, 在认证窗口中输入域管理员名称和密码, 在打开的网页中点击“申请证书”链接, 在下一步窗口中点击“高级证书申请”链接, 接下来点击“使用base64编码的CMC或PKCS#10文件提交一个证书申请, 在提交页面中的“保存的申请”栏中粘贴请求证书内容, 在“证书模板”列表中选择“Web服务器”项, 点击“提交”链接, 点击“下载证书”链接, 就可以将证书文件保存在本地, 其后缀名为“.p7b”。
在上述Exchange 2010窗口中选择上述申请证书项目, 在其右键菜单中点击“完成搁置请求”项, 在弹出窗口中点击“浏览”按钮, 选择上述证书文件, 完成导入操作。在该证书的右键菜单上点击“将服务分配给证书”项, 在弹出窗口中选择“邮局协议”, “Internet Information Services”, “简单邮件传输协议”, “Internet邮件访问协议”等服务, 点击完成按钮, 在弹出窗口中选择“全是”, 替换之前的证书, 并将之前存在的证书删除。对于工作组中的主机来说, 也可以执行证书申请操作。例如本例中的Web服务器就处于工作组状态, 在该机中的IIS管理器中选择服务器名, 打开服务器证书管理窗口, 在右侧点击“创建证书申请”链接, 执行证书申请操作。
注意, 在其中的“通用名称”栏中必须输入对应的网站域名。按照提示创建申请文件, 之后按照上述方法, 来访问证书服务器, 获得所需的证书。点击“导入”链接, 完成证书导入操作。注意, 在证书存储格式中选择“Web宿主”项。如果出错说明该Web服务器没有信任根证书颁发机构。可以打开上述证书申请页面, 点击“下载CA证书, 证书链或CRL”链接, 点击“下载CA证书链”链接下载用来信任根证书颁发机构的证书。
运行“mmc”程序, 在控制台中分别点击菜单“文件”、“添加或删除管理单元”项, 选择证书项目, 点击添加按钮, 并选择“计算机账户”项, 完成证书项目添加操作。依次选择“证书”、“受信任的根证书颁发机构”项在, 依次点击“所有任务”、“导入”项, 导入上述“xinren.p7b”文件, 就可以让该Web服务器信任CA证书颁发机构。之后在IIS中选择目标网站, 在右侧点击“绑定”链接, 在弹出窗口中的“类型”列表中选择“https”项, 在“SSL证书”列表中选择对应的证书, 就可以为网站绑定证书。对于IIS 8.0来说, 对于HTTPS网站来说, 同样是支持主机头的, 这个网站的发布带来了便利。如果在IIS中的对应网站中打开SSL设置窗口, 选择“要求SSL”项, 那么就只能访问HTTPS网站。但是为了提高通用性, 需要采取更加常规的方法来发布SSL站点。
使用Forefront TMG隧道模式发布SSL站点
在Forefront TMG控制台左侧选择“防火墙策略”项, 在其右键菜单上依次点击“新建”、“Exchange Web客户端访问发布规则”项, 输入该规则名称, 在选择服务器窗口中输入Exchange邮件服务器IP, 点击下一步按钮, 在选择协议窗口 (如图5) 中选择“HTTPS服务器”项, 在下一步的网络侦听器IP地址窗口中选择“外部”项, 点击“地址”按钮, 在弹出窗口中的“可用的IP地址”列表中显示Forefront TMG服务器上所有可用的外网地址, 根据需要为Exchange服务选择对应的IP。按照常规方法, 需要在Forefront TMG主机上配置多个外网地址, 为不同的内网服务器主机指定不同的外网IP。
点击完成按钮, 创建该规则。之后在Forefront TMG中点击“应用”按钮, 激活该规则。之后在外网服务器上访问“https://mail.xxx.com/owa”地址, 就可以访问内网中的Exchange服务器, 本例中“mail.xxx.com”为Exchange服务器域名。注意, 在外网主机上必须导入证书, 让其信任内网中的CA证书颁发机构。当然, 前提是必须在ForefrontTMG控制台窗口左侧选择“防火墙策略”项, 在其右键菜单上依次点击“新建”、“网站发布规则”项, 为内网CA主机创建一条规则, 将CA主机的80端口发布出去。
如何打造网站安全屏障 篇10
一、配置UrlScan, 拦截了SQL注入攻击, 增强了IIS的安全性。
安装环境:IIS4.0及以上版本。
安装文件:setup.exe
下载地址:http://technet.microsoft.com/zh-cn/security/cc242650 (en-us) .aspx
UrlScan是一个ISAPI筛选器, 它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。
运行setup.exe文件安装完成后, 在%windir%system32inetsrv下多了一个urlscan文件夹, 里面包含一个urlscan.ini文件, 这个文件很重要, 因为对UrlScan的所有配置, 都是通过修改这个文件来完成的。
如果IIS服务没有特殊要求, 采用UrlScan的默认配置就可以了。配置文件Urlscan.ini是一个是标准的INI文件, 它由节、串和值组成。用记事本打开urlscan.ini文件, 它主要包含以下节:
如果要更深了解urlscan.ini的用法, 请参阅微软的帮助文档。
UrlScan的常用配置举例:
如果服务器运行ASP程序, 在DenyExtensions节删除与ASP相关的内容 (图1) 。
如果服务器运行ASP.NET程序, 在AllowVerbs节添加debug谓词, 注意此节是区分大小写的 (图2) 。
如果你的网页使用了非ASCII代码, 你需要在Option节中将AllowHighBitCharacters的值设为1 (图3) 。
修改后保存urlscan.ini文件。
在对urlscan.ini文件做了更改后, 你需要重启IIS服务才能生效。快速重启IIS的方法是:在“开始”→“运行”中输入iisreset后, 单击“确定”即可应用UrlScan的新配置。
二、加密WEB配置文件
.NET应用程序的设置信息通常都存储在一个名为Web.config的XML文件里。由于Web.config文件中包含了连接字符串等敏感信息, 所以确保Web.config文件内容的安全性是很重要的。ASP.NET 2.0中有一个新的安全特性, 可以对Web.config文件中的任何节进行加密处理。某两种加密方法:RSA Providers和DPAPI Providers, 在加密和解密时都使用“密匙 (keys) ”, 这些“密匙”可以存储在“机器级”和“用户级”。
如果在本地电脑上运行这个命令, 然后又将加了密的连接字符串上载到服务器上, 该服务器是无法对其解密的, 因为机器密匙是在本地电脑上产生的。相反, 如果别人设法得到了加密的Web.config文件, 离开这台服务器, 也是没有办法解密的。
三、更改SQL数据库端口, 并在三层交换机上进行访问控制
为了防止利用SQL默认的1433端口入侵, 我们要将其改为其它端口。
如把SQL 2005的TCP端口修改为2466, 操作方法:打开SQL Server配置管理器->SQL Server 2005网络配置->MSSQLSERVER的协议->TCP/IP, 在弹出对话框中选择IP地址->IPALL->TCP端口, 设置端口为2466。
在连接WEB服务器和数据库服务器的三层交换机上, 对两个服务器的访问进行控制, 只让访问WEB服务器80端口和数据库指定端口通过。在华为S5516上可由以下三条规则来实现。
政府网站安全环节薄弱频遭“黑” 篇11
此外,报告还指出,政府网站的安全防护较为薄弱,2010年有4000余个中国政府网站遭到黑客攻击,而其中近半数来自境外。
手机恶意代码日益泛滥
报告显示,2010年,基础网络运行总体平稳,未发生重大网络安全事件。但域名系统仍然是互联网安全的薄弱环节。2010年1月12日,由于在境外注册的域名信息被篡改,百度网站发生近4小时的访问故障,引起网民广泛关注。
在公共网络环境安全方面,木马和僵尸网络依然对网络安全构成直接威胁。2010年,国家互联网应急中心共发现近500万个境内主机IP地址感染了木马和僵尸程序,较2009年大幅增加。
此外,手机恶意代码日益泛滥也引起社会关注。据“中国互联网协会反网络病毒联盟(ANVA)”监测数据显示,2010年新截获手机恶意代码1600余个,累计感染智能终端800万部以上。
金融网站成“钓鱼”重点目标
网页仿冒俗称网络钓鱼。当前,大型电子商务、金融机构、第三方在线支付网站成为网络钓鱼的主要对象,黑客仿冒这些网站或伪造购物网站诱使用户登录和交易,窃取用户账号密码,造成用户经济损失。
报告显示,2010年,国家互联网应急中心共接收网络钓鱼事件举报1597件,较2009年增长33.1%;“中国反钓鱼网站联盟”处理钓鱼网站事件20570起,较2009年增长140%;其中被仿冒的大都是电子商务网站、金融机构网站、第三方在线支付站点、社区交友网站。另外,报告还指出,被仿冒的网站按事件次数排在前十位的除中国中央电视台外,其余9家均为金融或经济机构,包括美国电子商务网站、中国香港汇丰银行、中国工商银行等。
可见,2010年金融行业网站已成为不法分子骗取钱财和窃取隐私的重点目标,频遭“网络钓鱼”。
政府网站频遭“黑”凸显防护薄弱
报告还称,2010年中国内地共有近3.5万家网站被黑客篡改,其中被篡改的政府网站达4635个,占比达到10.3%,即全国有约十分之一的政府网站都遭到黑客篡改,显然,政府网站安全防护总体较为薄弱。
监测显示,2010年被篡改的政府网站数量比2009年上升67.6%。中央和省部级政府网站安全状况明显优于地市以下级别的政府网站,但仍有约60%的部委级网站存在不同程度的安全隐患。
另外,据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2010年在中国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。在国家互联网应急中心监测发现的共近48万个木马控制端IP中,有22.1万个位于境外,前两位分别是美国(占14.7%)、印度(占8.0%);而在发现的13782个僵尸网络控制端IP中,有6531个位于境外,前三位分别是美国(占21.7%)、印度(占7.2%)和土耳其(占5.7%)。
ASP网站安全探讨 篇12
根据单位或个人的实际需求, 可采用服务器租用 (空间租用) 、服务器托管及自备服务器等方式。其中空间租用是指租用IDC服务商的服务器空间来建立网站;服务器托管是指自己准备服务器, 但将此服务器交由IDC服务商来管理;所谓自备服务器是指自己准备服务器并完全自主管理及应用。其中, 后两者的机器均是自己准备的;而前两者所使用的互联网线路均不用自己考虑。
网站的硬件安全主要指的就是服务器本身的安全, 即实体安全。计算机实体安全是指为了保证计算机信息系统安全可靠运行, 确保在对信息进行采集、处理、传输和存储过程中, 不致受到人为或自然因素的危害, 而使信息丢失、泄密或破坏, 对计算机设备、设施 (包括机房建筑、供电、空调等) 、环境、人员等采取适当的安全措施。是防止对信息威胁和攻击的第一步, 也是防止对信息威胁和攻击的天然屏障, 是基础。主要包括以下内容:
(一) 环境安全
主要是对计算机信息系统所在环境的区域保护和灾难保护, 要求计算机场地要有防火、防水、防盗措施和设施, 有拦截、屏蔽、均压分流、接地防雷等设施;有防静电、防尘设备、温度、湿度和洁净度在一定的控制范围等等。
(二) 设备安全
主要是对计算机信息系统设备的安全保护, 包括设备的防毁、防盗、防止电磁信号辐射泄漏、防止线路截获;对UPS、存储器和外部设备的保护等。除此之外, 人员因素也非常重要。试想, 如果各方面做得都像铜墙铁壁, 但对“门”的管理却不严, 会有什么后果?
二、ASP网站的安全配置
ASP网站的实现基本采用Window s 2003 Se rve r+Inte rne t Inform ation Se rvice s (IIS) 。众所周知, 微软的东西以补丁著称, 所以, 对于Windows2003Server, 及时地打好补丁是必须的、是第一位的。
其次, 系统的杀毒软件及防火墙也是重要的一个方面。杀毒软件必须及时更新并经常查杀;而防火墙也有硬件防火墙和软件防火墙之分, 如条件许可, 最好采用优质的硬件防火墙。Windows2003Server和以前的版本相比, 已经作了很大改进, 所以对用户来讲, 只要开通必要的服务即可。这样就可以避免98%以上的蠕虫和变种病毒的入侵。
在这里, 跟网络的拓朴结构也有很大关系, 即WEB服务器放在何处?如果将服务器放在内网, 通过防火墙作IP地址及端口映射, 那肯定比直接将WEB服务器放在外网要好得多。
在IIS的安全方面, 在访问权限上, 一般来说不要把“脚本资源访问”、“写入”、“目录浏览”等选中;在执行权限上, 也只要选择“纯脚本”足矣。不要让IIS目录有执行程序的权限, 因为绝大多数的网站不需要这个。对用户上传的文件, 放在一个固定的目录下, 并设置这个目录不允许执行任何脚本。将网站文件夹放到一个专用的NTFS分区上, 并要设置相应的安全的NTFS权限。NTFS驱动器一般禁止使用“EVERYONE/完全控制”权限。作为网站管理者, 可以经常在服务器的命令行状态下运行“netstat-an”来观察有多少IP地址正尝试和你的端口建立连接, 从而尽早地发现一些可能存在的问题。
三、ASP的程序
(一) Active Server Pagers的工作流程
1) 用户在浏览器的地址栏中填上要访问的主页地址并回车触发这个申请。2) 浏览器将申请发送到IIS的Web Server上, Web Server接收这些申请并根据.asp的后缀名意识到这是一个Active Server Page rs要求。3) We b Se rve r从硬盘或内存中接收正确的ASP文件, 然后将文件发送到一个特定的名为Asp.DLL的文件中。4) ASP文件将被从头到底地执行并根据命令要求生成响应的静态页面。5) 静态页面将被送回浏览器, 被浏览器解释执行并显示在用户的浏览器上。
(二) Session和Cookies
Se s s ion主要用途是保存信息, 访问者从到达某一个特定主页到离开为止的那段时间, 每一个访问者都会单独获得一个Session。浏览器用一个或多个限定的文件支持Cookies, 它们被用来存储Cookies用户数据。WEB服务器可以用Session和Cookies配置带有用户特定会话信息的ASP应用程序。所以, 我们应当在ASP程序中注意保护Se s s ion和Cookie s, 因为截获了Se s s ion和Cookie s的计算机黑客可以使用此Cookies假冒用户。
(三) 保护数据库
在ASP程序中经常用到的数据库有ACCESS和MSSQL等。数据库不一样, 只是数据库的连接方式及数据库的字段类型等信息不太一样, 而数据库的访问基本没有多大差别, 可以说能够用几乎同样的数据库操纵语句来访问不同的数据库。而数据库内容几乎就是一个网站的“精髓”, 所以保护数据库显示额外重要。对于ACCESS这样的小型数据库, 主要是要防止数据库被下载;而对于MS SQL、ORACLE等这些大型数据库, 主要要防止连接数据库的用户名和密码泄露;而不管是哪种数据库, 都会面临同样的问题, 那就是黑客利用ASP程序中的漏洞修改数据库的内容。最典型的就是“SQL注入”。
SQL注入的原理, 就是从客户端提交特殊的代码, 从而收集程序及服务器的信息, 从而获取你想到得到的资料。SQL注入是从正常的WWW端口访问, 而且表面看起来跟一般的We b页面访问没什么区别, 所以目前市面的防火墙都不会对SQL注入发出警报, 如果管理员没查看IIS日志的习惯, 可能被入侵很长时间都不会发觉。
从分析SQL注入的原因或者了解SQL注入的过程, 程序员就可以明确以下几点:首先, 在程序中要对从URL中的后缀 (指asp文件名后面的参数) 进行检测并作一定的处理。其次, 在IIS设置中, 在“应用程序配置/调试/脚本错误信息”中选择“向客户端发送文本错误消息”。也就是不要让服务器端的错误信息发到客户端。这里还要注意的是如果采用了一些下载的ASP源代码, 那一定要注意数据库的保护, 因为在这些源代码里面, 数据库信息是公开的秘密。
四、结束语
系统架设时的不小心, 程序编写时的不注意, 往往就是可能导致泄密的主因。为了减少这种安全漏洞的威胁, 程序员要确定你的网页服务器没有任何会泄漏珍贵信息的程序或操作系统漏洞, 只安装你需要的东西, 并且定期对服务器进行检查并加装补丁, 到网上了解最新的系统安全消息和知识。
摘要:ASP是常用的网页开发技术, 它简单而实用, 但开发一个ASP网站并使之能够真正付诸使用, 却不得不将它的安全问题提到第一位。
关键词:安全,ASP,IIS,数据库
参考文献
[1]石志国编著.ASP动态网站编程[M].清华大学出版社, 2001.