Web安全問答（1）

問：Web程序漏洞是怎么形成的

答：Web站點(diǎn)之所以存在如此眾多的安全漏洞，是由下列所示的這些原因造成的：

1、大部分的中小型網(wǎng)站都是使用某個建站模塊來速成的，而這些通用的建站模塊不僅本身存在各種安全漏洞，而且一些使用它們的建站人員根本沒有在建站完成后對站點(diǎn)起先安全加固。

2、Web站點(diǎn)開發(fā)人員對安全不夠重視，在編寫網(wǎng)頁時(shí)，沒有對用戶的輸入進(jìn)行驗(yàn)證，沒有對數(shù)據(jù)的大小、類型和字符串進(jìn)行規(guī)范，沒有限制API函數(shù)對系統(tǒng)資源的使用，以及對Web服務(wù)器沒有進(jìn)行相應(yīng)的資源限制，引起拒絕服務(wù)攻擊。

3、管理員對Web服務(wù)器主機(jī)系統(tǒng)及Web應(yīng)用程序本身配置不當(dāng)，一些中小企業(yè)自己管理的Web站點(diǎn)根本沒有足夠的技術(shù)人員來管理它們的安全。

4、當(dāng)Web站點(diǎn)是托管在某個電信機(jī)房時(shí)，對它們進(jìn)行的遠(yuǎn)程管理存在安全風(fēng)險(xiǎn)。

5、Web站點(diǎn)管理員本身技術(shù)水平的限制，對各種針對Web站點(diǎn)的安全攻擊不了解，也沒有端正工作態(tài)度，沒能對站點(diǎn)進(jìn)行認(rèn)真的安全加固，以及進(jìn)行日常的安全檢查。

6、Web站點(diǎn)所處網(wǎng)絡(luò)大環(huán)境的安全設(shè)計(jì)不合理，以及沒有將安全防范工作融入到站點(diǎn)整個生命周期的各個階段。

7、企業(yè)領(lǐng)導(dǎo)不夠重視，在Web站點(diǎn)的安全防范方面投入的資金太少或不合理，沒有制定一個有效的Web站點(diǎn)安全防范策略，明確Web站點(diǎn)日常管理流程，也沒有對Web站點(diǎn)的管理人員和工作人員進(jìn)行不斷的安全培訓(xùn)。

Web安全問答（2）

問：如何保障網(wǎng)站管理員密碼安全

答：攻擊者獲取到網(wǎng)站管理員密碼可能有幾種途徑：1.通過暴力猜解 2.通過漏洞攻擊獲取權(quán)限后更改管理員密碼 3.通過社會工程獲得。

對于暴力猜解，在構(gòu)建網(wǎng)站時(shí)，需要選擇強(qiáng)度較高的加密算法，選擇密碼時(shí)，應(yīng)該選擇復(fù)雜密碼，采用大小寫、數(shù)字、特殊字符混合的密碼，并定期更換密碼。在網(wǎng)站認(rèn)證頁面的也應(yīng)該有抗暴力猜解的設(shè)計(jì)。

對于通過漏洞獲取權(quán)限的，需要定期檢查服務(wù)器是否存在操作系統(tǒng)、服務(wù)、應(yīng)用是否存在漏洞，及時(shí)安裝補(bǔ)丁包，檢測安全配置。

對于通過社會工程泄露的，需要制定并執(zhí)行安全準(zhǔn)則，來控制密碼的保存和傳遞的范圍與流程。

Web安全問答（3）

問：如何提高Web服務(wù)器的網(wǎng)絡(luò)威脅抵御能力

（1）部署硬件防火墻，進(jìn)行嚴(yán)格的訪問控制策略配置，阻擋無用的或者非法通訊進(jìn)入Web服務(wù)器。

陪歡場女子買東西，他是老手了，只一旁隨侍，總使人不注意他。此刻的微笑也絲毫不帶諷刺性，不過有點(diǎn)悲哀。他的側(cè)影迎著臺燈，目光下視，睫毛像米色的蛾翅，歇落在瘦瘦的面頰上，在她看來是一種溫柔憐惜的神氣。

（2）部署入侵檢測產(chǎn)品，以實(shí)現(xiàn)對入侵的實(shí)時(shí)監(jiān)測和報(bào)警

（3）部署流量控制與管理硬件，以便抵御來自外界網(wǎng)絡(luò)的DOS/DDOS攻擊。

Web安全問答（4）

問：目前增強(qiáng)Web服務(wù)器安全性的技術(shù)有的載體為軟件，需要部署在服務(wù)器內(nèi)部，有的載體為硬件，需要部署在Web服務(wù)器前面，那種更適合Web服務(wù)器呢？

答：Web業(yè)務(wù)是當(dāng)前運(yùn)用最為廣泛的網(wǎng)絡(luò)業(yè)務(wù)，一些流量大的Web網(wǎng)站特別是承載了大量交互業(yè)務(wù)的Web網(wǎng)站，如果采用部署在服務(wù)器內(nèi)部的軟件級安全系統(tǒng)，將不得不耗費(fèi)寶貴的系統(tǒng)資源來支撐分析計(jì)算的開銷，所以，如果您的Web業(yè)務(wù)系統(tǒng)對資源的需求不大（流量小，訪問量少），可以考慮采用軟件級安全系統(tǒng)，否則，建議采用硬件級安全系統(tǒng)。

Web安全問答（5）

問：我的Web服務(wù)器前面部署了入侵防御產(chǎn)品設(shè)備，入侵防御產(chǎn)品設(shè)備中包含了幾百條的SQL注入攻擊防御特征庫，為什么我的Web系統(tǒng)還是被SQL注入攻擊成功了呢？

答：SQL注入是一種沒有固定特征的攻擊行為，對安全設(shè)備來說，就是屬于變種極多的攻擊行為，所以，是基于數(shù)據(jù)特征的SQL注入檢測方法是沒有辦法窮盡所有組合的，將會存在大量的誤報(bào)漏報(bào)可能。如果采用的入侵防御產(chǎn)品設(shè)備采用的是基于數(shù)據(jù)特征的檢測方法，即使包含了數(shù)百條SQL注入特征庫，也會有漏報(bào)出現(xiàn)。

Web安全問答（6）

問：網(wǎng)站被XSS攻擊了，該怎么辦？

答：XSS攻擊可以讓黑客獲得攻擊任意一個訪問受害網(wǎng)站頁面的用戶，雖然不直接危害網(wǎng)站的安全，但一方面影響網(wǎng)站聲譽(yù)，另一方面如果網(wǎng)站管理者誤訪問惡意頁面，也有權(quán)限泄漏的可能。如果確認(rèn)網(wǎng)站被XSS攻擊，首先要將黑客添加的惡意腳本清除，其次需要針對這些存在XSS漏洞的地方進(jìn)行源碼級修改或采用專業(yè)的安全硬件產(chǎn)品如入侵防御產(chǎn)品。

問：黑客為什么喜歡攻擊網(wǎng)站？

答：Web業(yè)務(wù)已經(jīng)成為當(dāng)前互聯(lián)網(wǎng)最為流行的業(yè)務(wù)，大量的在線應(yīng)用業(yè)務(wù)都依托于Web服務(wù)進(jìn)行，且一些大型網(wǎng)站的日訪問量可達(dá)百萬之巨，不論是直接攻擊網(wǎng)站（如網(wǎng)絡(luò)銀行，在線游戲服務(wù)器）還是通過網(wǎng)站掛馬竊取訪問者信息，都可以使黑客獲得直接的經(jīng)濟(jì)利益。另外一方面，網(wǎng)站是機(jī)構(gòu)的網(wǎng)絡(luò)形象，通過攻擊篡改網(wǎng)站頁面，也可以得到最大范圍的名聲傳播，對于那些企圖出名的黑客，攻擊網(wǎng)站是一項(xiàng)不錯的選擇。

問：如何判斷自己的Web服務(wù)器是不是已經(jīng)成為肉雞？

答：如果發(fā)現(xiàn)自己的Web服務(wù)器開啟了一些奇怪的進(jìn)程，發(fā)現(xiàn)Web服務(wù)器總是有大量從內(nèi)往外的連接，發(fā)現(xiàn)Web服務(wù)器不定時(shí)系統(tǒng)緩慢，如有以上現(xiàn)象，可使用木馬清除軟件進(jìn)行檢查和查殺。