web服務器安全設置

Web服務器攻擊常利用Web服務器軟件和配置中的漏洞，web服務器安全也是我們現(xiàn)在很多人關注的一點，那么你知道web服務器安全設置嗎?下面是我整理的一些關于web服務器安全設置的相關資料，供你參考。

創(chuàng)新互聯(lián)網站建設公司是一家服務多年做網站建設策劃設計制作的公司,為廣大用戶提供了做網站、成都網站制作，成都網站設計，廣告投放，成都做網站選創(chuàng)新互聯(lián)，貼合企業(yè)需求，高性價比，滿足客戶不同層次的需求一站式服務歡迎致電。

web服務器安全設置一、IIS的相關設置

刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應的文件目錄c:inetpub，配置所有站點的公共設置，設置好相關的連接數(shù)限制， 帶寬設置以及性能設置等其他設置。配置應用程序映射，刪除所有不必要的應用程序擴展，只保留asp，php，cgi，pl，aspx應用程序擴展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調試設置發(fā)送文本錯誤信息給客戶。

對于數(shù)據庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設置一個mdb的擴展映射，將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數(shù)據庫被下載。設置IIS的日志保存目錄，調整日志記錄信息。設置為發(fā)送文本錯誤信息。修改403錯誤頁面，將其轉向到其他頁，可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關軟件如banneredit修改。

對于用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應三個文件佳，wwwroot，database，logfiles，分別存放站點文件，數(shù)據庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設置具體的權限，圖片所在的目錄只給予列目錄的權限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步。

方法

用戶從腳本提升權限：

web服務器安全設置二、ASP的安全設置

設置過權限和服務之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權限，重新啟動IIS即可生效。但不推薦該方法。

另外，對于FSO由于用戶程序需要使用，服務器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務器上使用，只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組，對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權限，不需要的不給權限。重新啟動服務器即可生效。

對于這樣的設置結合上面的權限設置，你會發(fā)現(xiàn)海陽木馬已經在這里失去了作用!

web服務器安全設置三、PHP的安全設置

默認安裝的php需要有以下幾個注意的問題：

C:\winnt\php.ini只給予users讀權限即可。在php.ini里需要做如下設置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

web服務器安全設置四、MySQL安全設置

如果服務器上啟用MySQL數(shù)據庫，MySQL數(shù)據庫需要注意的安全設置為：

刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權限的時候，并限定到特定的數(shù)據庫，尤其要避免普通客戶擁有對mysql數(shù)據庫操作的權限。檢查mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權限，這些權限可能泄漏更多的服務器信息包括非mysql的 其它 信息出去。可以為mysql設置一個啟動用戶，該用戶只對mysql目錄有權限。設置安裝目錄的data數(shù)據庫的權限(此目錄存放了mysql數(shù)據庫的數(shù)據信息)。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權限。

Serv-u安全問題：

安裝程序盡量采用最新版本，避免采用默認安裝目錄，設置好serv-u目錄所在的權限，設置一個復雜的管理員密碼。修改serv-u的banner信息，設置被動模式端口范圍(4001—4003)在本地服務器中設置中做好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截“FTP bounce”攻擊和FXP，對于在30秒內連接超過3次的用戶攔截10分鐘。域中的設置為：要求復雜密碼，目錄只使用小寫字母，高級中設置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動用戶：在系統(tǒng)中新建一個用戶，設置一個復雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權限，否則無法操 作文 件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限，否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權限，為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些權限的。

web服務器安全設置五、數(shù)據庫服務器的安全設置

對于專用的MSSQL數(shù)據庫服務器，按照上文所講的設置TCP/IP篩選和IP策略，對外只開放1433和5631端口。對于MSSQL首先需要為sa設置一個強壯的密碼，使用混合身份驗證,加強數(shù)據庫日志的記錄,審核數(shù)據庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成 企業(yè)管理 器中部分功能不能使用),這些過程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊表訪問過程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統(tǒng)存儲過程，如果認為還有威脅，當然要小心drop這些過程，可以在測試機器上測試，保證正常的系統(tǒng)能完成工作，這些過程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數(shù)據庫的guest賬戶把未經認可的使用者據之在外。 例外情況是master和 tempdb 數(shù)據庫,因為對他們guest帳戶是必需的。另外注意設置好各個數(shù)據庫用戶的權限，對于這些用戶只給予所在數(shù)據庫的一些權限。在程序中不要用sa用戶去連接任何數(shù)據庫。網絡上有建議大家使用協(xié)議加密的，千萬不要這么做，否則你只能重裝MSSQL了。

Web安全問題解答

很多新手都覺得自己的電腦web經常被木馬侵襲，所以下面我為大家?guī)黼娔X基礎知識學習之Web安全問題，讓你了解下如何安全的保護好自己的電腦。

1、什么叫Web應用系統(tǒng)?

答：Web應用系統(tǒng)就是利用各種動態(tài)Web技術開發(fā)的，基于B/S(瀏覽器/服務器)模式的事務處理系統(tǒng)。用戶直接面對的是客戶端瀏覽器，使用Web應用系統(tǒng)時，用戶通過瀏覽器發(fā)出的請求，其之后的事務邏輯處理和數(shù)據的邏輯運算由服務器與數(shù)據庫系統(tǒng)共同完成，對用戶而言是完全透明的。運算后得到的結果再通過網絡傳輸給瀏覽器，返回給用戶。比如：ERP系統(tǒng)、CRM系統(tǒng)以及常見的網站系統(tǒng)(如電子政務網站、企業(yè)網站等)都是Web應用系統(tǒng)。

2、為什么Google把我的網站列為惡意網站

答：Google在對網站內容進行搜索時，同時也會檢查是否含有惡意軟件或代碼(這些惡意軟件或代碼可能威脅該網站的訪問者)。如果該網站存在這樣的惡意軟件或代碼，就會在用戶搜索到該網站時，加上一個標記：“該網站可能含有惡意軟件，有可能會危害您的電腦”。這將會使網站信譽受損，并導致潛在的用戶流失。

3、Web威脅為什么難以防范

答：針對Web的攻擊已經成為全球安全領域最大的挑戰(zhàn)，主要原因有如下兩點：

1. 企業(yè)業(yè)務迅速更新，需要大量的Web應用快速上線。而由于資金、進度、意識等方面的影響，這些應用沒有進行充分安全評估。

2. 針對Web的攻擊會隱藏在大量正常的業(yè)務行為中，而且使用各種變形偽裝手段，會導致傳統(tǒng)的防火墻和基于特征的入侵防御系統(tǒng)無法發(fā)現(xiàn)和阻止這種攻擊。

4、黑客為什么要篡改網站頁面

答：當黑客獲取網站的控制權限后，往往會更改網站頁面，可能的動機有：

1. 宣稱政治主張;

2. 炫耀技術，建立“聲望”;

3. 宣泄情緒;

4. 經濟利益，通過網站釋放木馬，從而獲取經濟利益。

5、黑客實施網站掛馬的目的是什么

答：網站掛馬的主要目的是控制訪問該網站的用戶的計算機，從而可以進一步獲取用戶的計算機隱私信息而獲利，或者將這些用戶的計算機作為“肉雞”，對 其它 服務器或網絡進行DDos攻擊。

6、為什么我網站的數(shù)據庫表內容被大量替換?

答：如果排除了管理員誤操作的可能性，則可能是網站服務器被自動化攻擊工具(如SQL注入工具等)攻擊的結果。目前已經有自動化的工具對網站進行攻擊，如果網站存在漏洞的話，攻擊工具能夠獲得對網站數(shù)據庫訪問的權限。如果發(fā)現(xiàn)這種情況，應該仔細核查網站服務器和數(shù)據庫服務器日志，找出更改記錄。

7、在Web威脅防御中防火墻的優(yōu)點和不足

答：防火墻可以過濾掉非業(yè)務端口的數(shù)據，防止非Web服務出現(xiàn)的漏洞，目前市場上可選擇的防火墻品牌也較多。但對于目前大量出現(xiàn)在應用層面上的SQL注入和XSS漏洞，防火墻無法過濾，因而無法保護Web服務器所面臨的應用層威脅。

8、常見發(fā)布系統(tǒng)之IIS

答：IIS 是Internet Information Server的縮寫，是由微軟開發(fā)的一種Web服務器(Web server)產品，用以支持HTTP、FTP和SMTP服務發(fā)布。 它主要運行在微軟的 操作系統(tǒng) 之上，是最流行的Web服務器軟件之一。

9、常見Web服務器之Apache

答：Apache是Web服務器軟件。它可以運行在幾乎所有廣泛使用的計算機平臺上。Apache源于NCSAhttpd服務器，經過多次修改，已成為世界上最流行的Web服務器軟件之一。

10、Apache是不是比IIS要安全

答：早期的IIS在安全性方面存在著很大的問題，如果使用默認設置，黑客可以輕松趁虛而入。不過在IIS6中，微軟公司對其安全方面進行了大幅改進。只要保證操作系統(tǒng)補丁更新及時，就可以將網站安全系數(shù)盡可能地提高。

Apache在安全方面一直做得比較好，更主要的原因是很多用戶都是在linux系統(tǒng)下使用Apache。相對于微軟的操作系統(tǒng)，Linux系統(tǒng)被發(fā)布的安全按漏洞更少一些。

從技術角度講，兩個Web服務器的安全性沒有本質區(qū)別，一個完整的Web系統(tǒng)的安全性更取決于Web程序的安全性以及Web服務器配置的正確性。

11、什么叫應用防火墻

答：應用防火墻的概念在上個世紀九十年代就已經被提出，但在最近幾年才真正走向成熟和應用。應用防火墻的概念與網絡防火墻相對，網絡防火墻關注網絡層的訪問控制，應用防火墻則關注應用層數(shù)據的過濾與控制。

12、什么叫網站防篡改系統(tǒng)

答：網站防篡改系統(tǒng)通過實時監(jiān)控來保證Web系統(tǒng)的完整性，當監(jiān)控到Web頁面被異常修改后能夠自動恢復頁面。網站放篡改系統(tǒng)由于其設計理念的限制，對靜態(tài)頁面的防護能力比較好，對動態(tài)頁面的防護則先天不足。

13、我的Web服務器被訪問速度變慢，經常出現(xiàn)連接失敗的現(xiàn)象，可能是什么原因造成的呢?

答：這可能有兩個方面的情況，一種是網絡方面的原因，如運營商的線路故障，或帶寬消耗型的DDOS攻擊;另外一種情況是服務器方面的原因，如感染病毒，或資源消耗型的拒絕服務攻擊。

14、我的Web服務器部署了木馬查殺軟件，為什么還被掛了木馬?

答：所謂的網頁被掛馬，很多情況下并不是有木馬程序或代碼被放到了Web服務器上，而是有一段跳轉代碼(本身不包含攻擊信息)被放在了Web服務器上網頁中。當遠程用戶訪問帶有跳轉代碼的頁面時，將會執(zhí)行這段代碼，從另外一個地址下載并執(zhí)行木馬。所以，即使在Web服務器上部署了木馬查殺軟件，也會由于木馬本身并不存在于服務器上，而無法避免網站被掛馬。

15、我的Web服務器前端部署了入侵防御產品設備，入侵防御產品設備中包含了幾百條的SQL注入攻擊防御特征庫，為什么我的Web系統(tǒng)還是被SQL注入攻擊成功了呢?

答：SQL注入是一種沒有固定特征的攻擊行為，對安全設備來說，就是屬于變種極多的攻擊行為。所以，基于數(shù)據特征的SQL注入檢測 方法 是沒有辦法窮盡所有組合的，會存在大量的誤報、漏報可能。如果采用的入侵防御產品設備采用的是基于數(shù)據特征的檢測方法，即使包含了數(shù)百條SQL注入特征庫，也會有漏報出現(xiàn)。

16、黑客為什么喜歡攻擊網站?

答：Web業(yè)務已經成為當前互聯(lián)網最為流行的業(yè)務，大量的在線應用業(yè)務都依托于Web服務進行。并且一些大型網站的日訪問量可達百萬之巨，不論是直接攻擊網站(如網絡銀行，在線游戲服務器)還是通過網站掛馬竊取訪問者信息，都可以使黑客獲得直接的經濟利益。另外一方面，網站是機構的網絡形象，通過攻擊篡改網站頁面，也可以得到最大范圍的名聲傳播。對于那些企圖出名的黑客，攻擊網站是一項不錯的選擇。

17、如何判斷自己的Web服務器是否已經成為肉雞?

答：如果發(fā)現(xiàn)自己的Web服務器上開啟了一些奇怪的進程，發(fā)現(xiàn)Web服務器總是有大量從內往外的連接，發(fā)現(xiàn)Web服務器不定時系統(tǒng)緩慢，諸如此類的現(xiàn)象，可使用木馬清除軟件進行檢查和查殺。

細分攻擊形式：

18、目前國內Web應用系統(tǒng)存在哪些最突出的安全問題?

答：Web應用程序的漏洞是很難避免的，系統(tǒng)的安全隱患主要在三方面：

首先是網絡運維人員或安全管理人員對Web系統(tǒng)的安全狀況不清楚。哪些頁面存在漏洞，哪些頁面已經被掛馬，他們不能夠清晰的掌握，從而及時采取改正 措施 ;

其次，在安全設備的部署方面，沒有選用專業(yè)的、針對Web業(yè)務攻擊的防御產品對網站進行保護，而是寄托于防火墻這種訪問控制類的網關安全設備;

另外，從安全響應來看，Web安全事件發(fā)生后的應急與處理也存在欠缺。沒有相應的頁面恢復系統(tǒng)，也沒有處理Web安全事件的專業(yè)安全服務團隊。很多單位沒有制定實時監(jiān)控的網站安全管理制度。

19、什么叫SQL注入

答：SQL注入就是利用現(xiàn)有應用程序，將惡意的SQL命令注入到網站后臺數(shù)據庫引擎執(zhí)行的能力。SQL注入利用的是正常的HTTP服務端口，表面上看來和正常的Web訪問沒有區(qū)別，隱蔽性極強，不易被發(fā)現(xiàn)。

20、SQL注入有哪些危害

答：SQL注入的主要危害包括：

? 未經授權狀況下操作數(shù)據庫中的數(shù)據;

? 惡意篡改網頁內容;

? 私自添加系統(tǒng)帳號或者是數(shù)據庫使用者帳號;

? 網頁掛木馬;

21、什么叫XSS

答：跨站腳本攻擊(XSS)是攻擊者將惡意腳本提交到網站的網頁中，使得原本安全的網頁存在惡意腳本;或者是直接添加有惡意腳本的網頁并誘使用戶打開，用戶訪問網頁后，惡意腳本就會將用戶與網站的會話COOKIE及其它會話信息全部截留發(fā)送給攻擊者，攻擊者就可以利用用戶的COOKIE正常訪問網站。攻擊者有時還會將這些惡意腳本以話題的方式提交到論壇中，誘使網站管理員打開這個話題，從而獲得管理員權限，控制整個網站。跨站腳本漏洞主要是由于沒有對所有用戶的輸入進行有效的驗證所造成的，它影響所有的Web應用程序框架。

22、XSS有哪些危害

答：XSS攻擊的危害包括：

? 盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號;

? 控制企業(yè)數(shù)據，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據的能力;

? 盜竊企業(yè)重要的具有商業(yè)價值的資料;

? 非法轉賬;

? 強制發(fā)送電子郵件;

? 網站掛馬;

? 控制受害者機器向其它網站發(fā)起攻擊。

23、什么叫Shellcode

答：Shellcode實際是一段代碼(也可以是填充數(shù)據)，可以用來發(fā)送到服務器，利用已存在的特定漏洞造成溢出，通稱“緩沖區(qū)溢出攻擊”中植入進程的代碼。這段代碼可以是導致常見的惡作劇目的的彈出一個消息框彈出，也可以用來刪改重要文件、竊取數(shù)據、上傳木馬病毒并運行，甚至是出于破壞目的的格式化硬盤等等。

24、什么叫網站漏洞

答：隨著B/S模式被廣泛的應用，用這種模式編寫Web應用程序的程序員也越來越多。但由于開發(fā)人員的水平和 經驗 參差不齊，相當一部分的開發(fā)人員在編寫代碼的時候，沒有對用戶的輸入數(shù)據或者是頁面中所攜帶的信息(如Cookie)進行必要的合法性判斷，導致了攻擊者可以利用這個編程漏洞來入侵數(shù)據庫或者攻擊Web應用程序的使用者，由此獲得一些重要的數(shù)據和利益。

25、什么叫木馬

答：木馬(Trojan)這個名字來源于古希臘 傳說 ，在互聯(lián)網時代它通常是指通過一段特定的程序(木馬程序)來控制另一臺計算機。木馬通常有兩個可執(zhí)行程序：一個是客戶端，即控制端，另一個是服務端，即被控制端。木馬的設計者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務一旦運行并被控制端連接，其控制端將享有服務端的大部分操作權限，例如給計算機增加口令，瀏覽、移動、復制、刪除文件，修改注冊表，更改計算機配置等。

26、什么叫網站掛馬

答：“掛馬” 就是黑客入侵了一些網站后，將自己編寫的網頁木馬嵌入被黑網站的主頁中。當訪問者瀏覽被掛馬頁面時，自己的計算機將會被植入木馬，黑客便可通過遠程控制他們的計算機來實現(xiàn)不可告人的目的。網頁木馬就是將木馬和網頁結合在一起，打開網頁的同時也會運行木馬。最初的網頁木馬原理是利用IE瀏覽器的ActiveX控件，運行網頁木馬后會彈出一個控件下載提示，只有點擊確認后才會運行其中的木馬。這種網頁木馬在當時網絡安全意識普遍不高的情況下還是有一點威脅的，但是其缺點顯而易見，就是會出現(xiàn)ActiveX控件下載提示。現(xiàn)在很少會有人去點擊那莫名其妙的ActiveX控件下載確認窗口了。在這種情況下，新的網頁木馬誕生了。這類網頁木馬通常利用IE瀏覽器的漏洞，在運行的時候沒有絲毫提示，因此隱蔽性極高。

27、什么叫DOS./DDOS攻擊?

答：DoS即Denial Of Service，拒絕服務的縮寫。DoS是指利用網絡協(xié)議實現(xiàn)的缺陷來耗盡被攻擊對象的資源，目的是讓目標計算機或網絡無法提供正常的服務或資源訪問，使目標系統(tǒng)服務系統(tǒng)停止響應甚至崩潰。在此攻擊中并不包括侵入目標服務器或目標網絡設備。這些被大量消耗的服務資源包括網絡帶寬、文件系統(tǒng)空間容量、開放的進程或者允許的連接。這種攻擊會導致資源的匱乏，無論計算機的處理速度多快、內存容量多大、網絡帶寬有多高，都無法避免這種攻擊帶來的后果。

DDoS(Distributed Denial Of Service)又把DoS又向前發(fā)展了一大步，這種分布式拒絕服務攻擊是黑客利用在已經被侵入并已被控制的、不同的高帶寬主機(可能是數(shù)百，甚至成千上萬臺)上安裝大量的DoS服務程序，它們等待來自中央攻擊控制中心的命令。中央攻擊控制中心再適時啟動全體受控主機的DoS服務進程，讓它們對一個特定目標發(fā)送盡可能多的網絡訪問請求，形成一股DoS洪流沖擊目標系統(tǒng)，猛烈地DoS攻擊同一個網站。被攻擊的目標網站會很快失去反應而不能及時處理正常的訪問甚至系統(tǒng)癱瘓崩潰。

28、什么叫網絡釣魚

答：網絡釣魚(Phishing?，又名釣魚法或釣魚式攻擊)是通過傳播“聲稱來自于銀行或其他知名機構”的欺騙信息，意圖引誘受害者泄漏出敏感信息(如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細信息)的一種攻擊方式。最典型的網絡釣魚攻擊將受害者引誘到一個與其目標網站非常相似的釣魚網站上，并獲取受害者在此網站上輸入的個人敏感信息。通常這個攻擊過程不會讓受害者警覺。它是“社會工程攻擊”的一種形式。

29、什么叫網絡蠕蟲

答：一般認為：蠕蟲病毒是一種通過網絡傳播的惡性病毒，它除具有病毒的一些共性外，同時具有自己的一些特征。如：不利用文件寄生(有的只存在于內存中)、對網絡造成拒絕服務，以及與黑客技術相結合，等等。蠕蟲病毒主要的破壞方式是大量的復制自身，然后在網絡中傳播，嚴重占用有限的網絡資源，最終引起整個網絡的癱瘓，使用戶不能通過網絡進行正常的工作。每一次蠕蟲病毒的爆發(fā)都會給全球經濟造成巨大損失，因此它的危害性是十分巨大的。有一些蠕蟲病毒還具有更改用戶文件、將用戶文件自動當附件轉發(fā)的功能，更是嚴重的地危害到用戶的 系統(tǒng)安全 。

30、什么叫僵尸網絡

答：僵尸網絡(英文名稱叫BotNet)，是互聯(lián)網上受到黑客集中控制的一群計算機，往往被黑客用來發(fā)起大規(guī)模的網絡攻擊。如：分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等。同時，黑客控制的這些計算機所保存的信息也都可以被黑客隨意“取用”。因此，不論是對網絡安全運行還是用戶數(shù)據安全的保護，僵尸網絡都是極具威脅的隱患。然而，發(fā)現(xiàn)一個僵尸網絡是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網絡上的“僵尸主機”，這些主機的用戶往往并不知情。因此，僵尸網絡是目前互聯(lián)網上最受黑客青睞的作案工具。

31、什么是ARP攻擊

答：ARP是地址解析協(xié)議，是一種將IP地址轉化為MAC地址的協(xié)議。在網絡中，當A主機需要向B主機發(fā)送報文時，會先查詢本地的ARP緩存表，找到與B主機IP地址對應的MAC地址后，進行數(shù)據傳輸。如果未找到，則會發(fā)送一個廣播ARP請求報文，請求對應B主機IP的B回應MAC地址。這個廣播包會被整個廣播域中所有主機收到，但只有B主機會發(fā)現(xiàn)IP地址對應自己，才會將MAC地址回應給A。此時A收到這個回應并更新自己的ARP緩存，進行下一步的數(shù)據傳輸。ARP攻擊應當叫做ARP欺騙，就是冒充網關地址對網絡中主機給出ARP查詢回應，使得本來是A-網關的數(shù)據走向，變成A-攻擊者-網關。

32、ARP攻擊的危害有哪些?

答：ARP攻擊的危害主要有兩個方面。從ARP攻擊的原理來看，這種攻擊使得受害主機的所有網絡數(shù)據都將通過攻擊者進行轉發(fā)。這樣一來，要竊取信息或控制流量就變得輕而易舉。另一方面，由于ARP緩存會不斷刷新，有的時候，真正的網關會偶爾“清醒”。當真正的網關參與到數(shù)據包轉發(fā)中來時，由于做了一個切換動作，可能會有頻繁的短暫掉線現(xiàn)象。所以，如果Web服務器所在網絡中發(fā)生了ARP攻擊，將導致Web服務器不可訪問。

細分攻擊介質：

33、WEB應用系統(tǒng)(網站)會面臨來自哪些方面的安全問題

答：網站面臨的安全問題是方方面面的，主要可概括為以下四個方面：

1)操作系統(tǒng)、后臺數(shù)據庫的安全問題

這里指操作系統(tǒng)和后臺數(shù)據庫的漏洞，配置不當，如弱口令等等，導致黑客、病毒可以利用這些缺陷對網站進行攻擊。

2)Web發(fā)布系統(tǒng)的漏洞

Web業(yè)務常用的發(fā)布系統(tǒng)(即Web服務器)，如IIS、Apache等，這些系統(tǒng)存在的安全漏洞，會給入侵者可乘之機。

3)Web應用程序的漏洞

主要指Web應用程序的編寫人員，在編程的過程中沒有考慮到安全的因素，使得黑客能夠利用這些漏洞發(fā)起對網站的攻擊，比如SQL注入、跨站腳本攻擊等等。

4)自身網絡的安全狀況

網站服務器所處的網絡安全狀況也影響著網站的安全，比如網絡中存在的DoS攻擊等，也會影響到網站的正常運營。

34、Web程序漏洞是怎么形成的

答：Web站點之所以存在如此眾多的安全漏洞，是由下列所示的這些原因造成的：

1、 大部分的中小型網站都是使用某個建站模塊建設的，而這些通用的建站模塊不僅本身存在各種安全漏洞，同時一些使用它們的建站人員根本沒有在建站完成后對站點進行安全加固。

2、 Web站點開發(fā)人員對安全不夠重視，在編寫網頁時，沒有對用戶的輸入進行驗證，沒有對數(shù)據的大小、類型和字符串進行規(guī)范，沒有限制API函數(shù)對系統(tǒng)資源的使用，以及對Web服務器沒有進行相應的資源限制，引起拒絕服務攻擊。

3、 管理員對Web服務器主機系統(tǒng)及Web應用程序本身配置不當，一些中小企業(yè)自己管理的Web站點根本沒有足夠的技術人員來管理它們的安全。

4、 當Web站點是托管在某個電信機房時，對它們進行的遠程管理存在安全風險。

5、 Web站點管理員本身技術水平的限制，對各種針對Web站點的安全攻擊不了解，也沒有端正工作態(tài)度，沒能對站點進行認真的安全加固，以及進行日常的安全檢查。

6、 Web站點所處網絡大環(huán)境的安全設計不合理，以及沒有將安全防范工作融入到站點整個生命周期的各個階段。

7、 企業(yè)領導不夠重視，在Web站點的安全防范方面投入的資金太少或不合理，沒有制定一個有效的Web站點安全防范策略，明確Web站點日常管理流程，也沒有對Web站點的管理人員和工作人員進行不斷的安全培訓。

35、黑客主要利用哪些方法對網站進行數(shù)據竊取和修改

答：黑客需要使用擁有一定權限的用戶帳戶才能對網站進行數(shù)據竊取和修改，所以可能造成用戶權限泄漏或提升的漏洞，都可以被黑客利用來進行攻擊，如SQL注入，溢出漏洞、暴力猜解等。

36、目前對Web服務器威脅較大的SQL注入工具有哪些?

答：網上常見的SQL注入工具有“啊D SQL注入工具”、pangolin、NBSI、HDSI、“管中窺豹注入工具”等。

37、目前對Web服務器威脅較大的XSS攻擊工具有哪些?

答：網上常見的XSS攻擊工具有sessionIE、Webscan、XSS Inject Scanner 等。

38、怎樣應對Web業(yè)務安全事件

答：應對Web業(yè)務安全事件，從根本上的解決辦法就是對Web應用程序源代碼進行代碼檢查和漏洞修復，但是這會影響正常Web業(yè)務運行，而且費用較高。比較有效的解決方案是通過專業(yè)的Web業(yè)務安全檢查工具或服務來檢查網站安全狀況，部署專業(yè)的Web安全產品。比如基于行為檢測的入侵防御產品。同時在管理上，要求網管人員實時對網站進行監(jiān)測，一旦發(fā)現(xiàn)網頁被篡改等問題立刻進行頁面恢復、刪除惡意腳本等工作。

39、如何防御SQL注入

答：要想從根本上解決XSS攻擊，就要對Web應用程序源代碼進行檢查，發(fā)現(xiàn)安全漏洞進行修改。但是這種方法在實際中給用戶帶來了不便，如：需要花費大量的人力財力、可能無法找到當時的網站開發(fā)人員、需要網站下線等。對代碼進行修改后，由于增加了過濾條件和功能，同時也給服務器帶來了計算壓力。通常的解決方法是在數(shù)據庫服務器前端部署入侵防御產品。SQL注入攻擊具有變種多、隱蔽性強等特點，傳統(tǒng)的特征匹配檢測方式不能有效地進行防御，需要采用“基于攻擊手法的行為監(jiān)測”的入侵防御產品才能夠精確地檢測到SQL注入攻擊。

40、如何防御XSS

答：要想從根本上解決XSS攻擊，就要對Web應用程序源代碼進行檢查，發(fā)現(xiàn)安全漏洞進行修改。但是這種方法在實際中給用戶帶來了不便，如：需要花費大量的人力財力;可能無法找到當時的網站開發(fā)人員、需要網站下線等。對代碼進行修改后，由于增加了過濾條件和功能，同時也給服務器帶來了計算壓力。通常的解決方法是在數(shù)據庫服務器前端部署入侵防御產品。XSS攻擊具有變種多、隱蔽性強等特點，傳統(tǒng)的特征匹配檢測方式不能有效地進行防御，需要采用基于攻擊手法的行為監(jiān)測的入侵防御產品產品才能夠精確地檢測到XSS攻擊。

41、如何發(fā)現(xiàn)網站掛馬

答：服務器被掛馬，通常情況下，若出現(xiàn)諸如“彈出頁面”，則可以比較容易發(fā)現(xiàn)，發(fā)現(xiàn)防病毒軟件告警之類，則可以發(fā)現(xiàn)服務器被掛馬;由于漏洞不斷更新，掛馬種類時刻都在變換，通過客戶端的反映來發(fā)現(xiàn)服務器是否被掛馬往往疏漏較大;正確的做法是經常性的檢查服務器日志，發(fā)現(xiàn)異常信息;經常檢查網站代碼，借助于專業(yè)的檢測工具來發(fā)現(xiàn)網頁木馬會大大提高工作效率和準確度。

什么是 Web安全？Web應用漏洞的防御實現(xiàn)

什么是 Web安全？

Web安全是計算機術語。隨著Web2.0、社交網絡等一系列新型的互聯(lián)網產品誕生問世，基于Web環(huán)境的互聯(lián)網應用越來越廣泛，企業(yè)信息化的過程中各種應用都架設在Web平臺上，Web業(yè)務的迅速發(fā)展也引起黑客們的窺探，接踵而至的就是Web安全威脅的凸顯。

黑客利用網站操作系統(tǒng)的漏洞和Web服務程序的SQL注入漏洞等得到Web服務器的控制權限，輕則篡改網頁內容，重則竊取重要內部數(shù)據，更為嚴重的則是在網頁中植入惡意代碼，使得網站訪問者受到侵害。

Web安全的現(xiàn)狀及原因

目前，很多業(yè)務都依賴于互聯(lián)網，無論是網上銀行、網上購物、還是網絡 游戲 等，惡意攻擊者們出于各種不良目的，對Web 服務器進行攻擊，想方設法通過各種手段獲取他人的個人賬戶信息謀取利益。正是如此，Web業(yè)務平臺最容易遭受攻擊。

而針對Web服務器的攻擊也是五花八門，常見的有掛馬、SQL注入、緩沖區(qū)溢出、嗅探、利用IIS等針對Webserver漏洞進行攻擊。

一方面，由于TCP/IP的設計是沒有考慮安全問題的，網絡上傳輸?shù)臄?shù)據是沒有任何安全防護。攻擊者們可利用系統(tǒng)漏洞造成系統(tǒng)進程緩沖區(qū)溢出，攻擊者可能獲得或者提升自己在有漏洞的系統(tǒng)上的用戶權限來運行任意程序，甚至安裝和運行惡意代碼，竊取機密數(shù)據。

而應用層面的軟件在開發(fā)過程中也沒有過多考慮到安全的問題，這使得程序本身存在很多漏洞，諸如緩沖區(qū)溢出、SQL注入等等流行的應用層攻擊，這些都屬于在軟件研發(fā)過程中疏忽了對安全的考慮所致。

另一方面，個人用戶由于好奇心，被攻擊者利用木馬或病毒程序進行攻擊，攻擊者將木馬或病毒程序捆綁在一些誘人的圖片、音視頻或免費軟件等文件中，然后將這些文件置于某些網站當中，再引誘用戶去單擊或下載運行，或通過電子郵件附件和QQ、MSN等即時聊天軟件，將這些捆綁了木馬或病毒的文件發(fā)送給用戶，讓用戶打開或運行這些文件。

Web安全的三個細分

Web安全主要分為:1、保護服務器及其數(shù)據的安全。2、保護服務器和用戶之間傳遞的信息的安全。3、保護Web應用客戶端及其環(huán)境安全這三個方面。

Web應用防火墻

Web應用安全問題本質上源于軟件質量問題。但Web應用相較傳統(tǒng)的軟件，具有其獨特性。Web應用往往是某個機構所獨有的應用，對其存在的漏洞，已知的通用漏洞簽名缺乏有效性；

需要頻繁地變更以滿足業(yè)務目標，從而使得很難維持有序的開發(fā)周期；需要全面考慮客戶端與服務端的復雜交互場景，而往往很多開發(fā)者沒有很好地理解業(yè)務流程；人們通常認為Web開發(fā)比較簡單，缺乏經驗的開發(fā)者也可以勝任。

Web應用安全，理想情況下應該在軟件開發(fā)生命周期遵循安全編碼原則，并在各階段采取相應的安全措施。

然而，多數(shù)網站的實際情況是：大量早期開發(fā)的Web應用，由于 歷史 原因，都存在不同程度的安全問題。對于這些已上線、正提供生產的Web應用，由于其定制化特點決定了沒有通用補丁可用，而整改代碼因代價過大變得較難施行或者需要較長的整改周期。

這種現(xiàn)狀，專業(yè)的Web安全防護工具是一種合理的選擇。WEB應用防火墻（以下簡稱WAF）正是這類專業(yè)工具，提供了一種安全運維控制手段：基于對HTTP/HTTPS流量的雙向分析，為Web應用提供實時的防護。

Web應用漏洞的防御實現(xiàn)

對于常見的Web應用漏洞，應該從3個方面入手進行防御：

1、對 Web應用開發(fā)者而言

大部分Web應用常見漏洞都是在Web應用開發(fā)中，由于開發(fā)者沒有對用戶輸入的參數(shù)進行檢測或者檢測不嚴格造成的。所以，Web應用開發(fā)者應該樹立很強的安全意識，開發(fā)中編寫安全代碼；

對用戶提交的URL、查詢關鍵字、HTTP頭、POST數(shù)據等進行嚴格的檢測和限制，只接受一定長度范圍內、采用適當格式及編碼的字符，阻塞、過濾或者忽略其它的任何字符。通過編寫安全的Web應用代碼，可以消除絕大部分的Web應用安全問題。

2、對Web網站管理員而言

作為負責網站日常維護管理工作Web管理員，應該及時跟蹤并安裝最新的、支撐Web網站運行的各種軟件的安全補丁，確保攻擊者無法通過軟件漏洞對網站進行攻擊。

除了軟件本身的漏洞外，Web服務器、數(shù)據庫等不正確的配置也可能導致Web應用安全問題。Web網站管理員應該對網站各種軟件配置進行仔細檢測，降低安全問題的出現(xiàn)可能。

此外，Web管理員還應該定期審計Web服務器日志，檢測是否存在異常訪問，及早發(fā)現(xiàn)潛在的安全問題。

3、使用網絡防攻擊設備

前兩種都是預防方式，相對來說很理想化。在現(xiàn)實中，Web應用系統(tǒng)的漏洞仍舊不可避免：部分Web網站已經存在大量的安全漏洞，而Web開發(fā)者和網站管理員并沒有意識到或發(fā)現(xiàn)這些安全漏洞。

由于Web應用是采用HTTP協(xié)議，普通的防火墻設備無法對Web類攻擊進行防御，因此需要使用入侵防御設備來實現(xiàn)安全防護。

如何保證Web服務器安全？

一、在代碼編寫時就要進行漏洞測試。

二、對Web服務器進行持續(xù)的監(jiān)控。

三、設置蜜罐，將攻擊者引向錯誤的方向。

四、專人對Web服務器的安全性進行測試。

在Web服務器的攻防戰(zhàn)上，這一個原則也適用。筆者建議，如果企業(yè)對于Web服務的安全比較高，如網站服務器上有電子商務交易平臺，此時最好設置一個專業(yè)的團隊。他們充當攻擊者的角色，對服務器進行安全性的測試。這個專業(yè)團隊主要執(zhí)行如下幾個任務。　

一是測試Web管理團隊對攻擊行為的反應速度。如可以采用一些現(xiàn)在比較流行的攻擊手段，對自己的Web服務器發(fā)動攻擊。當然這個時間是隨機的。預先Web管理團隊并不知道。現(xiàn)在要評估的是，Web管理團隊在多少時間之內能夠發(fā)現(xiàn)這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力。一般來說，這個時間越短越好。應該將這個時間控制在可控的范圍之內。即使攻擊最后沒有成功，Web管理團隊也應該及早的發(fā)現(xiàn)攻擊的行為。畢竟有沒有發(fā)現(xiàn)、與最終有沒有取得成功，是兩個不同的概念。

二是要測試服務器的漏洞是否有補上。畢竟大部分的攻擊行為，都是針對服務器現(xiàn)有的漏洞所產生的。現(xiàn)在這個專業(yè)團隊要做的就是，這些已發(fā)現(xiàn)的漏洞是否都已經打上了安全補丁或者采取了對應的安全措施。有時候我們都沒有發(fā)現(xiàn)的漏洞是無能為力，但是對于這些已經存在的漏洞不能夠放過。否則的話，也太便宜那些攻擊者了。

新聞標題：與web服務器安全有關的 與web服務器安全有關的措施有
文章起源：http://chinadenli.net/article32/dohjopc.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供App設計、網站收錄、品牌網站建設、品牌網站設計、App開發(fā)、全網營銷推廣

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)