Web安全问题解答(2)

时间：2015-12-08 18:28:27 晓斌668由分享

　　42、如何防止网站被挂马

　　答：防止网站被黑客挂马，可以从几个方面来考虑：Web应用程序的安全，采用专业的安全检查工具，对网页进行扫描，发现漏洞及时进行代码修改;Web服务器操作系统和主机的安全，可采用漏洞扫描工具对主机和系统进行扫描，采取升级、打补丁、修改配置等方式提高服务器主机的安全;也可以通过部署专业的Web安全防御产品来解决，通过IPS、Web应用防火墙等产品来阻断挂马行为;部署网页防篡改产品，一旦发现网页被挂马可以恢复到正常页面。

　　43、如何应对DOS/DDOS攻击

　　答：从目前现有的技术角度来讲，还没有一项解决办法针对DoS非常有效。所以，防止DoS攻击的最佳手段就是防患于未然。也就是说，首先要保证一般的外围主机和服务器的安全，使攻击者无法获得大量的无关主机，从而无法发动有效攻击。一旦单位内部的主机或临近网络的主机被黑客侵入，那么其他的主机被侵入的危险会变得很大。同时，如果网络内部或邻近的主机被用来对本机进行DoS攻击，攻击的效果会更明显。所以，必须保证这些外围主机和网络的安全。尤其是那些拥有高带宽和高性能服务器的网络，往往是黑客的首选目标。保护这些主机最好的办法就是及时了解有关本操作系统的安全漏洞以及相应的安全措施，及时安装补丁程序并注意定期升级系统软件，以免给黑客以可乘之机。另外，网管人员要加强对网络流量的管理，对网络资源的使用情况和带宽分配进行限制或控制，通过流量过滤产品进行限流，同时配合网络审计产品，可以对攻击进行审计和记录，溯源的同时可用于事后取证，必要时向ISP进行举报。

　　44、怎样才能找到网站漏洞

　　答：当网站的某个页面存在SQL注入或者跨站的漏洞时，攻击者会利用这个页面进行攻击。可以采用三种方式来找出存在漏洞的页面：

　　 1. 采用Web漏洞扫描工具对网站进行扫描

　　 2. 人工或使用工具对网站代码进行审核

　　 3. 从Web服务日志分析攻击者提交的URL

　　45、网站被攻击后该如何恢复

　　答：网站被攻击后，应迅速断开网络。审查服务器日志、审查网站代码，找出网站的漏洞，进行修补。同时清楚攻击者留在服务器上的后门、账户等，修改所有用户的密码，对安全配置进行检查，确认无误后再重新上线。

　　46、如何保障网站管理员密码安全

　　答：攻击者获取到网站管理员密码可能有几种途径：
1.通过暴力猜解对于暴力猜解，在构建网站时，需要选择强度较高的加密算法，选择密码时，应该选择复杂密码，采用大小写、数字、特殊字符混合的密码，并定期更换密码。在网站认证页面的也应该有抗暴力猜解的设计。
2.通过漏洞攻击获取权限后更改管理员密码对于通过漏洞获取权限的，需要定期检查服务器是否存在操作系统、服务、应用是否存在漏洞，及时安装补丁包，检测安全配置。
3.通过社会工程获得。对于通过社会工程泄露的，需要制定并执行安全准则，来控制密码的保存和传递的范围与流程。

　　47、突发性黑客攻击和病毒该如何应对

　　答：首先应该建立一个应急处理流程，明确在突发问题时相关人员的职责、处理流程等，这样在突发性病毒和黑客攻击时就可以做到井井有条。更重要的是应该建立日常工作的安全指南，把安全作为网站的开发、发布、维护的重要因素考虑，降低安全风险。

　　48、遭遇Web威胁防御后是不是重装系统的就可解决问题

　　答：重装系统可以简单快速地消除攻击者留下的后门和账户、修改的配置和文件等，但并没有解决原来的漏洞，因此重装系统一定要配合对操作系统、服务、应用的安全检查。

　　49、建立备份恢复体制是否可以完全保障Web业务的安全

　　答：备份恢复可以防止数据的丢失，是保证业务数据的重要步骤。但同样备份恢复并没有解决原来的漏洞，甚至可能在备份的数据中就留用攻击者留下的后门。

　　50、部署防病毒软件是否可以保护网站不遭受挂马威胁

　　答：防病毒软件可以检测和消除各种已知病毒，并能对一些病毒行为进行阻断。但对于不存在病毒体的手工和自动攻击过程无法防御。目前大量的挂马代码都是定制化，防病毒软件无法发现和避免。

　　51、做网站页面的代码修改是不是可以完全避免网站存在的问题

　　答：在Web威胁中占越来越重要位置的SQL注入和跨站脚本都是由于服务器对用户输入检查不够严格导致的。因此在代码开发时，就应该对用户数据进行过滤。但是大量的过滤将极大加中服务器负载，导致服务器可接受的请求急剧减少。

　　52、定期升级操作系统补丁和病毒库是不是就可以高枕无忧了

　　答：操作系统补丁可以解决操作系统本身的漏洞，及时更新病毒库可以使防病毒软件能够查杀最新的病毒，防止病毒对服务器的破坏。仅有这两种措施无法解决应用层漏洞带来的安全风险。

　　53、采用了非常复杂的管理员密码是不是就可防止黑客拿到管理员权限

　　答：攻击者获取到网站管理员密码可能有几种途径：1.通过暴力猜解 2.通过漏洞攻击获取权限后更改管理员密码 3.通过社会工程获得。采用复杂密码可以在防止通过暴力破解，但不能放弃黑客通过漏洞或者社会工程攻击的方式获得。

　　54、设置网站管理员密码的注意事项

　　答：设置密码，应该选择复杂密码，采用大小写、数字、特殊字符混合的密码，并定期更换密码。不应该把密码以纸质或电子的形式记录下来，防止丢失。

　　55、费用有限的情况下如何做定期安全评估

　　答：目前网络上有很多的免费资料谈到如何做安全评估，也有很多免费工具可以用来做安全评估。因此需要网络管理人员花费一些时间来了解这些资料和工具。也有一些安全公司提供了远程评估服务，和现场评估服务相比，有更高的性价比。

　　56、如何防止网站的代码被外界漏洞扫描?

　　答：首先应该在代码设计开发阶段就考虑安全因素，减少代码中出现漏洞的可能性。其次在部署网站时可以考虑部署入侵防御产品产品，阻止对网站的扫描行为。

　　57、如何防范外界通过正常开放的端口进行入侵?

　　答：通过正常端口进行入侵一般有两种情况：

　　其一系统被种植了反弹木马，反弹木马程序的网络通讯源端口为防火墙系统开放端口。对于这种情况，一方面可以通过加强防火墙配置策略的严谨性，既配置具有方向性的防火墙策略;另外一方面是各个终端部署终端安全软件，保证非法进程无法驻留到终端之中。

　　其二是入侵者利用该端口服务器程序的漏洞进行入侵，通常是针对Web服务器的入侵，对于这种情况，建议部署具备Web攻击防御能力的设备，如入侵防御系统或应用防火墙设备。

　　58、在代码开发阶段如何预防Web威胁

　　答：要从两方面入手，其一是开发项目要制定编码规范，尤其要注意非法输入检查以及避免溢出漏洞;其二是在Web系统开发结束后，利用商用Web程序安全性评估软件或者评估服务对Web系统的安全性进行测试评估。

　　59、对成型的网站如何知道自己存在哪些Web威胁

　　答：对于一个已经成型的网站，由于代码复杂度较高，利用代码检查的方法很难发现存在漏洞，最好的办法是利用商用Web程序安全性评估软件或者评估服务对Web系统的安全性进行测试评估。

　　60、保护Web服务器应当从哪些方面进行考虑

　　答：主要从四方面进行考虑，其一：Web服务器所在操作系统的安全性;其二Web服务器所在网络的安全性;其三Web应用程序的安全性;其四：Web发布系统自身的安全性。

　　61、如何提高Web服务器操作系统的安全

　　答：操作系统的安全性问题较多，这里以常用的WINDOWS系列操作系统为例，列举一些重点需要考虑的因素：

　　 1. 操作系统帐号管理，包括设置安全性较高的帐号口令;帐号文件加密或者隐藏，关闭GUEST帐号等。

　　 2. 设置访问控制策略，目前的WINDOWS操作系统均提供了主机防火墙，通过设置防火墙策略保证只有指定的端口、程序可以进行网络通讯。

　　 3. 及时进行系统补丁，WINDOWS操作系统极为复杂，几乎每隔几天就有新的安全漏洞被发现，管理员应及时对操作系统进行打补丁。

　　 4. 关闭Web服务无关的服务，减少系统与外界交互通讯的可能性。

　　 5. 安装防病毒、通讯监视等软件，可以防止一些流行工具/木马/病毒的攻击。

　　62、如何提高Web服务器的网络威胁抵御能力

　　 1. 部署硬件防火墙，进行严格的访问控制策略配置，阻挡无用的或者非法通讯进入Web服务器。

　　 2. 部署入侵检测产品，以实现对入侵的实时监测和报警

　　 3. 部署流量控制与管理硬件，以便抵御来自外界网络的DOS/DDOS攻击。

　　63、如何提高Web程序的安全性

　　答：要从三方面入手，其一是开发项目要制定编码规范，尤其要注意非法输入检查以及避免溢出漏洞;其二是在Web系统开发结束后，利用商用Web程序安全性评估软件或者评估服务对Web系统的安全性进行测试评估;其三是部署具备应用层威胁防御能力的安全产品如入侵防御产品或应用防火墙。

　　64、如何提高Web发布系统的安全性

　　答：操作系统的安全性问题较多，这里以常用的WINDOWS系列操作系统为例，列举一些重点需要考虑的因素：

　　 1. 操作系统帐号管理，包括设置安全性较高的帐号口令;帐号文件加密或者隐藏，关闭GUEST帐号等。

　　 2.设置访问控制策略，目前的WINDOWS操作系统均提供了主机防火墙，通过设置防火墙策略保证只有指定的端口、程序可以进行网络通讯。

　　 3. 及时进行系统补丁，WINDOWS操作系统极为复杂，几乎每隔几天就有新的安全漏洞被发现，管理员应及时对操作系统进行打补丁。

　　 4. 关闭Web服务无关的服务，减少系统与外界交互通讯的可能性。

　　 5. 安装防病毒、通讯监视等软件，可以防止一些流行工具/木马/病毒的攻击。

　　65、如何防御由于Web程序漏洞引起的Web服务器所面临的威胁

　　答：部署入侵防御产品或者应用防火墙设备。

　　66、如何规划网站安全

　　答：建议从如下几个方面考虑进行网站安全的规划：

　　 1. 聘请专业网站开发人员，提高网站应用程序的安全性。

　　 2. 对Web服务器所在主机的操作系统进行安全性增强并及时进行打补丁。

　　 3. 经常性的进行网站安全性测试与评估，及时了解网站的状况。

　　 4. 部署网络防火墙等设备提高服务器所在网络的安全性

　　 5.部署提供Web程序攻击防御能力的安全设备。

　　67、能否提供一些网站安全管理制度方面的建议

　　答：不同的机构对网站安全的要求不一样，因此也不会有通用的安全管理制度，这里列举一些重点需要考虑的方面供参考：

　　 数据备份制度--应当对重要文件、数据、操作系统及应用系统作定期备份，以便应急恢复。特别重要的部门还应当对重要文件和数据进行异地备份。

　　 口令管理制度--应该选择复杂密码，采用大小写、数字、特殊字符混合的密码，并定期更换密码。不应该把密码以纸质或电子的形式记录下来，防止丢失。

　　 物理安全制度--应当建立严格的门禁制度和日常管理制度，机房及机房内所有设备都应当由专人负责管理，每日应有机房值班记录、出入人员记录和各主要设备运行情况的记录。外来的系统维护人员进入机房，应当由值班人员陪同并对其工作内容做详细记录。

　　 系统运行期间的定期检测和升级制度--鉴于网络安全建设动态发展和不断更新的特点，应当对系统漏洞和弱点进行定期检测，并根据检测的结果采取相应的措施。要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级，关闭不必要的服务和端口，以防黑客利用系统漏洞和弱点非法入侵。

　　 审计制度--定期对各系统日志进行分析审计，便于发现是否存在异常的访问行为。

　　 应急响应制度--应当充分估计各种突发事件的可能性，做好应急响应方案，进行定期演练。同时，要与岗位责任制度相结合，保证应急响应方案的及时实施，将损失降到最低程度。

　　68、进行Web服务器保护应该采购那些安全设备

　　 1.在Web服务器前部署网络防火墙

　　 2. 在Web服务器前部署专业入侵防御产品或者应用防火墙设备

　　 3. 在Web服务器所在网络中部署网络入侵检测产品

　　 4. 在Web服务器前部署流量管理设备

　　 5. 在Web服务器上安装防病毒软件

　　 6. 在Web服务器上安装主机入侵检测以及主机审计软件

　　69、在网站安全建设中，有了IDS，我还需要入侵防御产品么

　　答：IDS和入侵防御产品是两类不同的设备，IDS是针对攻击进行检测发现并报警，更关注检测范围的全面性;入侵防御产品是针对攻击进行精确发现与阻断，更关注威胁防御的准确性;应该说对于网站安全二者缺一不可。

　　70、进行Web服务器保护的最关键设备是哪个?

　　答：Web服务器面临众多威胁，但其中最有破坏力的是应用层威胁，所以对Web服务器来说，最关键的设备是具备应用层防护能力的设备，可以是入侵防御产品或者应用防火墙设备。

　　71、怎样评价网站对SQL注入，XSS攻击的防御能力。

　　答：比较好的办法是进行Web系统的安全评估，可以采用商用软件进行安全性评估，也可以雇佣专业的安全服务人员进行评估。

　　72、通过网站日志是否可以准确分析出攻击全过程

　　答：网站日志可以记录所有用户在指定时间段内的所有操作。不论黑客采用何种攻击方式，在最后对网页文件进行篡改或添加网页木马的时候，都会利用已存在或者是新添加的帐号进行操作，所以这些操作也可以被网站日志系统所记录。从未被篡改和精简的网站日志系统中，有经验的用户可以分析出攻击的整个过程，但由于一般情况下，网站日志系统不存在独立的保障机制，攻击者可以在攻击完成后删除操作日志，这种情况下，将无法判断攻击者的所作所为。也就是说，网站日志在未被篡改的情况下，可以从中分析攻击过程，但如果被攻击者修改过，将无法实现全面分析。

　　73、目前哪些设备可以抵御针对Web程序漏洞的攻击?

　　答：针对Web程序漏洞攻击的安全防御设备主要有入侵防御产品和Web应用防火墙。

　　74、目前增强Web服务器安全性的技术有的载体为软件，需要部署在服务器内部，有的载体为硬件，需要部署在Web服务器前面，那种更适合Web服务器呢?

　　答：Web业务是当前运用最为广泛的网络业务，一些流量大的Web网站特别是承载了大量交互业务的Web网站，如果采用部署在服务器内部的软件级安全系统，将不得不耗费宝贵的系统资源来支撑分析计算的开销，所以，如果您的Web业务系统对资源的需求不大(流量小，访问量少)，可以考虑采用软件级安全系统，否则，建议采用硬件级安全系统。

　　75、对于SQL注入攻击，是否可以通过禁止SQL语句执行来防御?

　　答：SQL注入利用的是Web页面的代码过滤不严格，攻击者可以通过提交某些特殊构造的SQL语句插入SQL的特殊字符和字段，来实现对数据库的非正常访问。如果完全禁止SQL语句，当然可以实现对SQL注入的防御，但与此同时，正常的数据库查询语言也将无法执行，除非Web站点是纯静态页面，否则将无法正常访问。采用禁止SQL语句执行来防御SQL注入，纯粹是因噎废食。

　　76、对于SQL注入攻击，弱点检测和漏洞修补是否可以完全防止?

　　答：SQL注入攻击是由于代码编写不够严谨导致，没有考虑到代码的健壮性和安全性，由于Web程序漏洞的复杂性，安全分析人员很难通过弱点检测和漏洞修补全面的检查出SQL注入漏洞并进行修补。需要说明的是，Web系统每一次添加了新的页面或应用，就需要再次进行弱点检测和漏洞修补。

　　77、流量分析工具能够发现针对Web服务器的攻击吗

　　答：流量分析工具可以发现针对Web服务器的一段时间的访问状况，如果存在基于流量的攻击行为如拒绝服务之类，可以通过该类工具发现，但如果是基于数据内容的攻击行为，由于这类攻击并不带来流量的任何异常，所以不会被流量分析工具所发现。

　　78、对于XSS攻击，是否可以通过禁止脚本执行来防御?

　　答：XSS攻击是由于Web页面代码编写不完善，导致攻击者可以在页面中插入恶意脚本，使得网站的访问者在访问这些页面时遭受攻击。如果在自己的浏览器完全禁用脚本执行，可以起到防范XSS攻击的作用，但与此同时，那些基于脚本的正常应用将无法正常访问。

　　79、网站被XSS攻击了，该怎么办?

　　答：XSS攻击可以让黑客获得攻击任意一个访问受害网站页面的用户，虽然不直接危害网站的安全，但一方面影响网站声誉，另一方面如果网站管理者误访问恶意页面，也有权限泄漏的可能。如果确认网站被XSS攻击，首先要将黑客添加的恶意脚本清除，其次需要针对这些存在XSS漏洞的地方进行源码级修改或采用专业的安全硬件产品如入侵防御产品。

　　80、网站被挂马了，该怎么办?

　　答：最简单的办法就是备份恢复，也可以在被挂马页面上手动删除，但这只是解决表面问题的办法，黑客还可以再次在同一地方进行攻击。彻底的解决办法是修改页面源码，避免再次被挂马，也可以采用其他安全硬件产品如入侵防御产品进行防御。

　　81、网站被SQL注入攻击了，该怎么办?

　　答：SQL注入可以让黑客获得数据库权限，可以窃取密码，执行修改/增加/删除数据库表等操作。所以，如果网站被SQL注入攻击了，首先要依据日志查看是哪个用户的权限泄漏导致的数据库修改，并更换密码，同时依据日志检查存在注入点的页面，进行代码级的修复或采用专业的安全硬件产品如入侵防御产品。

　　通过这些Web安全知识学习，你更加有把握的保护好自己的电脑了么。