?? 對(duì)于一些大型網(wǎng)站來說����,通常擁有一整套已經(jīng)執(zhí)行了的WEB站點(diǎn)安全防范解決方案�,但是,為什么一些網(wǎng)站還是會(huì)被攻擊者掛載木馬?其中一個(gè)最主要的原因是已經(jīng)實(shí)施的WEB站點(diǎn)安全解決方案只能夠應(yīng)對(duì)已經(jīng)出現(xiàn)的安全漏洞和威脅�。而攻擊者總是在通過各種手段來分析網(wǎng)站中可能會(huì)存在的弱點(diǎn)或漏洞,以便能夠成功繞過網(wǎng)站當(dāng)前的安全防范措施來實(shí)施掛馬攻擊�。針對(duì)這樣的一種WEB站點(diǎn)安全現(xiàn)狀,最好的方式就是在部署相應(yīng)的安全防范安全解決方案的同時(shí)�����,還必需采取與攻擊者相同的手段�,也就是在網(wǎng)站的運(yùn)營(yíng)過程中,不斷對(duì)它進(jìn)行安全評(píng)估�,以此來找到網(wǎng)站中可能存在的弱點(diǎn)和漏洞。
?? 對(duì)WEB站點(diǎn)進(jìn)行安全評(píng)估是WEB安全防范處理過程中非常重要的一個(gè)環(huán)節(jié)����,它應(yīng)當(dāng)貫穿站點(diǎn)的整個(gè)生命周期。對(duì)WEB站點(diǎn)實(shí)施安全評(píng)估的目的就是指安全評(píng)估人員��,使用相應(yīng)的評(píng)估工具和技術(shù)���,經(jīng)過一系列恰當(dāng)?shù)姆椒?�,?duì)WEB服務(wù)器本身��、服務(wù)器系統(tǒng)���、后臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)及網(wǎng)絡(luò)中已經(jīng)實(shí)施的安全機(jī)制,進(jìn)行全面的檢測(cè)和評(píng)估����,以此來檢測(cè)整個(gè)WEB系統(tǒng)是否還存在弱點(diǎn),以及驗(yàn)證實(shí)施的安全機(jī)制是否有效�。并根據(jù)最后的評(píng)估分析結(jié)果,對(duì)現(xiàn)有的安全策略進(jìn)行修訂�����,對(duì)實(shí)施的安全機(jī)制進(jìn)行補(bǔ)充����。
?? 一、制定WEB站點(diǎn)安全評(píng)估方案
?? 對(duì)WEB站點(diǎn)進(jìn)行安全評(píng)估�����,為了能夠達(dá)到最終的效果,事先先制定一個(gè)切合實(shí)際的安全評(píng)估方案是十分有意義的�。當(dāng)然,對(duì)于一些個(gè)人網(wǎng)站���,或者只進(jìn)行一次WEB站點(diǎn)弱點(diǎn)檢測(cè)來說��,也可以跳過制定安全評(píng)估方案這個(gè)環(huán)節(jié)���,直接使用系統(tǒng)或WEB弱點(diǎn)檢測(cè)工具對(duì)WEB站點(diǎn)所在的系統(tǒng)和其本身進(jìn)行詳細(xì)的弱點(diǎn)檢測(cè)即可。
?? 如果需要對(duì)一個(gè)WEB站點(diǎn)進(jìn)行全面的安全評(píng)估���,或者你需要一個(gè)安全評(píng)估方案來指導(dǎo)你完成相應(yīng)的WEB站點(diǎn)弱點(diǎn)檢測(cè)任務(wù)�,那么��,我們可以按下列列出的內(nèi)容���,來構(gòu)建一個(gè)適合自己實(shí)際需求的WEB站點(diǎn)安全評(píng)估方案:
?? 1��、為WEB站點(diǎn)安全評(píng)估確定一個(gè)最終目標(biāo)�,也就是為什么要這么做,這樣做需要達(dá)到什么的目的�����。
?? 2�、為WEB站點(diǎn)的安全評(píng)估指定安全評(píng)估人員����。
?? 3、確定安全評(píng)估時(shí)具體的評(píng)估對(duì)象���。
?? 4��、為WEB站點(diǎn)的安全評(píng)估制定具體的時(shí)間計(jì)劃表����,如果沒有什么特殊情況�,我們應(yīng)當(dāng)嚴(yán)格按照這張時(shí)間表規(guī)定的時(shí)間對(duì)WEB站點(diǎn)實(shí)施安全評(píng)估。
?? 5����、為WEB站點(diǎn)的安全評(píng)估指定具體的評(píng)估工具,并要求評(píng)估人員對(duì)這些工具進(jìn)行相應(yīng)的學(xué)習(xí)�����,以達(dá)到訓(xùn)練掌握它們的目的,還必需規(guī)定評(píng)估人員按時(shí)對(duì)這些評(píng)估軟件所依賴的評(píng)估漏洞庫(kù)和軟件本身進(jìn)行不斷的更新�。
?? 6、規(guī)定是將安全評(píng)估工具安全裝在目標(biāo)WEB服務(wù)器進(jìn)行安全評(píng)估�,還是在專門的硬件設(shè)備(例如筆記本電腦)上安裝評(píng)估軟件,然后在使用時(shí)再接入目標(biāo)網(wǎng)絡(luò)實(shí)施評(píng)估任務(wù)�����。
?? 7���、明確具體的安全評(píng)估方法
?? 8����、明確安全評(píng)估過程中需要注意的操作事項(xiàng);
?? 9�����、明確安全評(píng)估的規(guī)章制度和評(píng)估人員責(zé)任;
?? 10��、規(guī)定安全評(píng)估結(jié)果的記錄方式�,以及評(píng)估報(bào)告的上報(bào)、存檔和檢索方式����。
?? WEB站點(diǎn)安全評(píng)估方案應(yīng)當(dāng)根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境�,以及站點(diǎn)的具體內(nèi)容和功能�,經(jīng)過詳細(xì)的調(diào)查和分析后,再由安全評(píng)估參與人員共同完成�����。當(dāng)然���,一個(gè)實(shí)際的WEB站點(diǎn)安全評(píng)估方案,所包括的內(nèi)容可能比上述所列出的內(nèi)容要多得多��,也詳細(xì)得多��,在這里只是對(duì)它們做了一個(gè)簡(jiǎn)單的說明��,具體的內(nèi)容還需要大家根據(jù)實(shí)際情況做具體的補(bǔ)充�����。
?? 二����、WEB站點(diǎn)安全評(píng)估的具體實(shí)施方式
?? WEB站點(diǎn)安全評(píng)估的具體實(shí)施涉及到四個(gè)最關(guān)鍵的因素,它們是安全評(píng)估人員、評(píng)估工具��、評(píng)估方法和評(píng)估對(duì)象���。
?? 1��、安全評(píng)估人員
?? 安全評(píng)估人員��,應(yīng)當(dāng)包括WEB站點(diǎn)所有者���、管理員及安全評(píng)估實(shí)施人員。安全評(píng)估實(shí)施人員的技術(shù)和經(jīng)驗(yàn)����,以及工作態(tài)度在一定程度上決定了評(píng)估的效果和可信性。
?? 有時(shí)�����,一些WEB站點(diǎn)不得不將安全評(píng)估任務(wù)外包給一些具有安全評(píng)估資質(zhì)的第三方機(jī)構(gòu)來完成���,這也是一些沒有具體的WEB站點(diǎn)管理員的中小企業(yè)WEB網(wǎng)站經(jīng)常使用的方式�。
?? 還有一些WEB站點(diǎn)��,所有的工作都是由站點(diǎn)管理員一個(gè)人來完成,對(duì)于這樣的WEB站點(diǎn)安全評(píng)估報(bào)告��,通常只會(huì)被他自己所接受����,也就是用來對(duì)站點(diǎn)當(dāng)前的安全狀況進(jìn)行一次簡(jiǎn)單的體檢,以此來做到心中有數(shù)���。
?? 2�、安全評(píng)估工具
?? 安全評(píng)估工具需要根據(jù)所要評(píng)估的具體對(duì)象來選擇����,不同的評(píng)估對(duì)象����,所使用的評(píng)估工具是不相同的。這是由于有些安全評(píng)估工具只是針對(duì)某種服務(wù)或軟件�,有些是針對(duì)整個(gè)主機(jī)或網(wǎng)絡(luò)的;有些安全評(píng)估工具只能在某種操作系統(tǒng)平臺(tái)下運(yùn)行,而有些安全評(píng)估工具卻能在許多流行的操作系統(tǒng)平臺(tái)下運(yùn)行;一些安全評(píng)估工具是軟件方式的���,還有一些是以獨(dú)立的硬件方式存的;有些安全軟件是免費(fèi)的����,而有一些是商業(yè)的。由此�����,要找到一款合適的安全評(píng)估工具還真的不是隨便選擇幾樣這么簡(jiǎn)單�。并且,一些其他人認(rèn)為非常好用的安全評(píng)估工具��,對(duì)于我們自己來說并不見得會(huì)很喜歡�,因此,有時(shí)我們不得不經(jīng)過不斷的試用才會(huì)知道哪幾款評(píng)估軟件才是最適合我們自己的���。
?? 幸運(yùn)的是���,現(xiàn)在還是已經(jīng)有許多功能強(qiáng)大的評(píng)估工具可以供我們選擇,這些工具有:
?? (1)Nmap
?? Nmap是一個(gè)網(wǎng)絡(luò)探測(cè)和安全掃描程序��,我們可以使用它來掃描WEB站點(diǎn)所在系統(tǒng)或整個(gè)網(wǎng)絡(luò)�,并以此來得到WEB站點(diǎn)所在系統(tǒng)正在運(yùn)行及提供什么樣的服務(wù),開放了什么樣的端口���,使用什么樣的操作系統(tǒng)等信息����。Nmap支持包括UDP、TCP connect()���、TCP SYN()�����、ICMP���、FIN及ACK等掃描方式,其中有許多掃描方式還可以用來檢測(cè)防火墻及IDS/IPS等設(shè)備的回應(yīng)情況����。
?? Nmap能夠在類UNIX系統(tǒng)及Windows系統(tǒng)的終端下以命令方式運(yùn)行,它的命令執(zhí)行格式為:nmap [Scan Type(s)] [Options]��。我們可以從http://insecure.org/網(wǎng)站上下載到它的最新版本����,以及得到它的詳細(xì)說明文檔�。
?? (2)Nessus
?? Nessus同樣是一個(gè)功能強(qiáng)大的安全檢測(cè)工具,它允許用戶使用插件對(duì)它進(jìn)行功能上的擴(kuò)展����。Nessus使用一個(gè)頻繁更新的漏洞庫(kù)作為安全檢測(cè)的依據(jù)�����。我們可以到www.nessus.org網(wǎng)站上下載到它的免費(fèi)版本Nessus3��,以及得到它的詳細(xì)的使用文檔?���,F(xiàn)在大部分的安全人員都使用它來對(duì)網(wǎng)絡(luò)或主機(jī)系統(tǒng)進(jìn)行全面安全檢測(cè)�。
?? (3)Nikto
?? Nikto是一款開放源代碼、功能強(qiáng)大的WEB弱點(diǎn)掃描評(píng)估軟件����,它能對(duì)WEB服務(wù)器的多種安全項(xiàng)目進(jìn)行測(cè)試,能在230多種服務(wù)器上掃描出2600多種有潛在危險(xiǎn)的文件�����、CGI及其他問題�����。Nikto使用LibWhiske漏洞庫(kù)���,Nikto已成為WEB站點(diǎn)管理員必備的WEB安全檢測(cè)工具之一����。
?? 可以到http://www.cirt.net/網(wǎng)站上下載Nikto的最新版本。Nikto是基于PERL開發(fā)的程序�����,所以需要PERL環(huán)境��。因此���,當(dāng)Nikto需要在Windows系統(tǒng)下使用時(shí)���,要同時(shí)下載并安裝ActiveState Perl環(huán)境。當(dāng)需要Nikto使用SSL的安全方式對(duì)WEB站點(diǎn)進(jìn)行安全掃描時(shí)���,還會(huì)用到Net::SSLeay PERL模式���,此時(shí)必須保證系統(tǒng)中安裝有OpenSSL。它們的具體安裝和使用細(xì)節(jié)可以參考它們的幫助文檔��。
?? 另外��,還有一個(gè)與Nikto相似的WEB弱點(diǎn)掃描工具Wikto����,它不僅具有Nikto同樣的功能,還提供GUI圖形界面���,但只能在Windows系統(tǒng)下運(yùn)行�。它可以到http://www.sensepost.com/research/wikto/下載���。�����。
?? (4)N-Stealth
?? N-Stealth是ZMT公司出品的一款商業(yè)的WEB站點(diǎn)安全掃描軟件����,同時(shí)也有可以免費(fèi)使用的版本����,只是功能沒有商業(yè)版本的多,漏洞庫(kù)也不支持自動(dòng)更新���。我們可以到www.nstalker.com網(wǎng)站上下載它的最新版本���,它可以在win98/ME/2000/XP/2003系統(tǒng)下運(yùn)行�����。
?? (5)ISS Database Scanner
?? ISS的數(shù)據(jù)庫(kù)掃描器(DataBase Scanner)是一個(gè)針對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的檢測(cè)工具�。它可以自動(dòng)識(shí)別數(shù)據(jù)庫(kù)系統(tǒng)中各種潛在的安全問題���,產(chǎn)生通俗易懂的報(bào)告來表示安全風(fēng)險(xiǎn)和弱點(diǎn)�,并對(duì)違反和不遵循數(shù)據(jù)庫(kù)安全策略的弱點(diǎn)和漏洞提出修改建議���。
?? Database Scanner 可以掃描的數(shù)據(jù)包括Microsoft SOL Server 6.x 或7.x�����、Sybase Adaptive Server 11.x和Oracle 8i, 8.0 或 7.3�����。它能通過網(wǎng)絡(luò)快速��、方便地掃描數(shù)據(jù)庫(kù)���,去檢查數(shù)據(jù)庫(kù)中可能存在的安全漏洞�����,全面評(píng)估所有的安全漏洞和認(rèn)證、授權(quán)��、完整性方面的問題����。
?? 除了上面介紹的安全掃描軟件以外,還有一些軟件也有可以用來進(jìn)行安全檢測(cè)工作��,包括X-scan3.3����、WebInject1.41和Acunetix WVS Free Edition,以及一款功能全面且性能強(qiáng)大的商業(yè)安全掃描軟件ISS Internet Scanner等���。
?? 另外����,在使用任何評(píng)估工具之前�,要先對(duì)其漏洞庫(kù)進(jìn)行升級(jí)更新。這是由于現(xiàn)在大多數(shù)安全評(píng)估工具都是利用漏洞特征庫(kù)來進(jìn)行弱點(diǎn)檢測(cè)的�����,只有保證它們的漏洞特征庫(kù)為最新狀態(tài),才有可能發(fā)現(xiàn)WEB站點(diǎn)及所依賴的系統(tǒng)上可能存在的最新漏洞�。
?? 3、安全評(píng)估方法
?? 安全評(píng)估方法就是具體的安全評(píng)估實(shí)施方式����,它主要涉及到下列五個(gè)具體的方面:
?? (1)由外向內(nèi)測(cè)試
?? 這種安全評(píng)估方式就是以攻擊者的角度從WEB站點(diǎn)所在網(wǎng)絡(luò)結(jié)構(gòu)中的外部,對(duì)它進(jìn)行安全掃描工作��,以此來檢測(cè)WEB站點(diǎn)防范來自互聯(lián)網(wǎng)遠(yuǎn)程攻擊的能力��。此種測(cè)試方式可以使用上述評(píng)估工具中的N-stealth����、X-Scan和WebInject等工具來進(jìn)行。
?? (2)由內(nèi)向外測(cè)試
?? 由內(nèi)向外的安全檢測(cè)方式是指從WEB站點(diǎn)所在網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)部��,對(duì)它進(jìn)行安全掃描工作��。這種安全檢測(cè)方式主要用來檢驗(yàn)WEB站
關(guān)鍵詞標(biāo)簽:WEB站點(diǎn),網(wǎng)頁掛馬攻擊
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程