?? 對于一些大型網(wǎng)站來說����,通常擁有一整套已經(jīng)執(zhí)行了的WEB站點安全防范解決方案,但是����,為什么一些網(wǎng)站還是會被攻擊者掛載木馬?其中一個最主要的原因是已經(jīng)實施的WEB站點安全解決方案只能夠應(yīng)對已經(jīng)出現(xiàn)的安全漏洞和威脅�����。而攻擊者總是在通過各種手段來分析網(wǎng)站中可能會存在的弱點或漏洞����,以便能夠成功繞過網(wǎng)站當前的安全防范措施來實施掛馬攻擊���。針對這樣的一種WEB站點安全現(xiàn)狀�,最好的方式就是在部署相應(yīng)的安全防范安全解決方案的同時���,還必需采取與攻擊者相同的手段�����,也就是在網(wǎng)站的運營過程中�,不斷對它進行安全評估��,以此來找到網(wǎng)站中可能存在的弱點和漏洞���。
?? 對WEB站點進行安全評估是WEB安全防范處理過程中非常重要的一個環(huán)節(jié)����,它應(yīng)當貫穿站點的整個生命周期。對WEB站點實施安全評估的目的就是指安全評估人員�,使用相應(yīng)的評估工具和技術(shù),經(jīng)過一系列恰當?shù)姆椒?,?a href="http://europeautoinsurance.com/key/webfuwuqi/" target="_blank">WEB服務(wù)器本身、服務(wù)器系統(tǒng)���、后臺數(shù)據(jù)庫系統(tǒng)及網(wǎng)絡(luò)中已經(jīng)實施的安全機制�����,進行全面的檢測和評估��,以此來檢測整個WEB系統(tǒng)是否還存在弱點,以及驗證實施的安全機制是否有效��。并根據(jù)最后的評估分析結(jié)果�����,對現(xiàn)有的安全策略進行修訂����,對實施的安全機制進行補充。
?? 一���、制定WEB站點安全評估方案
?? 對WEB站點進行安全評估�����,為了能夠達到最終的效果�,事先先制定一個切合實際的安全評估方案是十分有意義的。當然����,對于一些個人網(wǎng)站,或者只進行一次WEB站點弱點檢測來說����,也可以跳過制定安全評估方案這個環(huán)節(jié),直接使用系統(tǒng)或WEB弱點檢測工具對WEB站點所在的系統(tǒng)和其本身進行詳細的弱點檢測即可����。
?? 如果需要對一個WEB站點進行全面的安全評估,或者你需要一個安全評估方案來指導(dǎo)你完成相應(yīng)的WEB站點弱點檢測任務(wù)�,那么,我們可以按下列列出的內(nèi)容��,來構(gòu)建一個適合自己實際需求的WEB站點安全評估方案:
?? 1����、為WEB站點安全評估確定一個最終目標�����,也就是為什么要這么做����,這樣做需要達到什么的目的����。
?? 2、為WEB站點的安全評估指定安全評估人員���。
?? 3�、確定安全評估時具體的評估對象�����。
?? 4���、為WEB站點的安全評估制定具體的時間計劃表,如果沒有什么特殊情況���,我們應(yīng)當嚴格按照這張時間表規(guī)定的時間對WEB站點實施安全評估��。
?? 5�、為WEB站點的安全評估指定具體的評估工具,并要求評估人員對這些工具進行相應(yīng)的學(xué)習��,以達到訓(xùn)練掌握它們的目的����,還必需規(guī)定評估人員按時對這些評估軟件所依賴的評估漏洞庫和軟件本身進行不斷的更新。
?? 6��、規(guī)定是將安全評估工具安全裝在目標WEB服務(wù)器進行安全評估�,還是在專門的硬件設(shè)備(例如筆記本電腦)上安裝評估軟件,然后在使用時再接入目標網(wǎng)絡(luò)實施評估任務(wù)����。
?? 7、明確具體的安全評估方法
?? 8����、明確安全評估過程中需要注意的操作事項;
?? 9、明確安全評估的規(guī)章制度和評估人員責任;
?? 10��、規(guī)定安全評估結(jié)果的記錄方式��,以及評估報告的上報、存檔和檢索方式�。
?? WEB站點安全評估方案應(yīng)當根據(jù)實際的網(wǎng)絡(luò)環(huán)境,以及站點的具體內(nèi)容和功能�����,經(jīng)過詳細的調(diào)查和分析后���,再由安全評估參與人員共同完成��。當然��,一個實際的WEB站點安全評估方案�,所包括的內(nèi)容可能比上述所列出的內(nèi)容要多得多����,也詳細得多,在這里只是對它們做了一個簡單的說明�,具體的內(nèi)容還需要大家根據(jù)實際情況做具體的補充。
?? 二�、WEB站點安全評估的具體實施方式
?? WEB站點安全評估的具體實施涉及到四個最關(guān)鍵的因素,它們是安全評估人員��、評估工具�、評估方法和評估對象。
?? 1����、安全評估人員
?? 安全評估人員,應(yīng)當包括WEB站點所有者����、管理員及安全評估實施人員。安全評估實施人員的技術(shù)和經(jīng)驗�����,以及工作態(tài)度在一定程度上決定了評估的效果和可信性��。
?? 有時���,一些WEB站點不得不將安全評估任務(wù)外包給一些具有安全評估資質(zhì)的第三方機構(gòu)來完成�,這也是一些沒有具體的WEB站點管理員的中小企業(yè)WEB網(wǎng)站經(jīng)常使用的方式��。
?? 還有一些WEB站點�����,所有的工作都是由站點管理員一個人來完成�,對于這樣的WEB站點安全評估報告��,通常只會被他自己所接受���,也就是用來對站點當前的安全狀況進行一次簡單的體檢,以此來做到心中有數(shù)����。
?? 2、安全評估工具
?? 安全評估工具需要根據(jù)所要評估的具體對象來選擇�,不同的評估對象,所使用的評估工具是不相同的�����。這是由于有些安全評估工具只是針對某種服務(wù)或軟件�����,有些是針對整個主機或網(wǎng)絡(luò)的;有些安全評估工具只能在某種操作系統(tǒng)平臺下運行���,而有些安全評估工具卻能在許多流行的操作系統(tǒng)平臺下運行;一些安全評估工具是軟件方式的����,還有一些是以獨立的硬件方式存的;有些安全軟件是免費的�,而有一些是商業(yè)的�。由此��,要找到一款合適的安全評估工具還真的不是隨便選擇幾樣這么簡單�����。并且����,一些其他人認為非常好用的安全評估工具����,對于我們自己來說并不見得會很喜歡,因此�����,有時我們不得不經(jīng)過不斷的試用才會知道哪幾款評估軟件才是最適合我們自己的��。
?? 幸運的是��,現(xiàn)在還是已經(jīng)有許多功能強大的評估工具可以供我們選擇���,這些工具有:
?? (1)Nmap
?? Nmap是一個網(wǎng)絡(luò)探測和安全掃描程序�,我們可以使用它來掃描WEB站點所在系統(tǒng)或整個網(wǎng)絡(luò),并以此來得到WEB站點所在系統(tǒng)正在運行及提供什么樣的服務(wù)���,開放了什么樣的端口���,使用什么樣的操作系統(tǒng)等信息。Nmap支持包括UDP�����、TCP connect()��、TCP SYN()���、ICMP��、FIN及ACK等掃描方式���,其中有許多掃描方式還可以用來檢測防火墻及IDS/IPS等設(shè)備的回應(yīng)情況。
?? Nmap能夠在類UNIX系統(tǒng)及Windows系統(tǒng)的終端下以命令方式運行����,它的命令執(zhí)行格式為:nmap [Scan Type(s)] [Options]。我們可以從http://insecure.org/網(wǎng)站上下載到它的最新版本,以及得到它的詳細說明文檔�����。
?? (2)Nessus
?? Nessus同樣是一個功能強大的安全檢測工具�,它允許用戶使用插件對它進行功能上的擴展。Nessus使用一個頻繁更新的漏洞庫作為安全檢測的依據(jù)�����。我們可以到www.nessus.org網(wǎng)站上下載到它的免費版本Nessus3���,以及得到它的詳細的使用文檔。現(xiàn)在大部分的安全人員都使用它來對網(wǎng)絡(luò)或主機系統(tǒng)進行全面安全檢測�。
?? (3)Nikto
?? Nikto是一款開放源代碼、功能強大的WEB弱點掃描評估軟件�,它能對WEB服務(wù)器的多種安全項目進行測試,能在230多種服務(wù)器上掃描出2600多種有潛在危險的文件�����、CGI及其他問題����。Nikto使用LibWhiske漏洞庫,Nikto已成為WEB站點管理員必備的WEB安全檢測工具之一。
?? 可以到http://www.cirt.net/網(wǎng)站上下載Nikto的最新版本��。Nikto是基于PERL開發(fā)的程序�,所以需要PERL環(huán)境。因此����,當Nikto需要在Windows系統(tǒng)下使用時,要同時下載并安裝ActiveState Perl環(huán)境���。當需要Nikto使用SSL的安全方式對WEB站點進行安全掃描時����,還會用到Net::SSLeay PERL模式�����,此時必須保證系統(tǒng)中安裝有OpenSSL���。它們的具體安裝和使用細節(jié)可以參考它們的幫助文檔�����。
?? 另外�����,還有一個與Nikto相似的WEB弱點掃描工具Wikto�,它不僅具有Nikto同樣的功能,還提供GUI圖形界面����,但只能在Windows系統(tǒng)下運行。它可以到http://www.sensepost.com/research/wikto/下載�����。�����。
?? (4)N-Stealth
?? N-Stealth是ZMT公司出品的一款商業(yè)的WEB站點安全掃描軟件�����,同時也有可以免費使用的版本��,只是功能沒有商業(yè)版本的多���,漏洞庫也不支持自動更新。我們可以到www.nstalker.com網(wǎng)站上下載它的最新版本,它可以在win98/ME/2000/XP/2003系統(tǒng)下運行�����。
?? (5)ISS Database Scanner
?? ISS的數(shù)據(jù)庫掃描器(DataBase Scanner)是一個針對數(shù)據(jù)庫管理系統(tǒng)進行風險評估的檢測工具��。它可以自動識別數(shù)據(jù)庫系統(tǒng)中各種潛在的安全問題����,產(chǎn)生通俗易懂的報告來表示安全風險和弱點,并對違反和不遵循數(shù)據(jù)庫安全策略的弱點和漏洞提出修改建議�。
?? Database Scanner 可以掃描的數(shù)據(jù)包括Microsoft SOL Server 6.x 或7.x、Sybase Adaptive Server 11.x和Oracle 8i, 8.0 或 7.3���。它能通過網(wǎng)絡(luò)快速�、方便地掃描數(shù)據(jù)庫����,去檢查數(shù)據(jù)庫中可能存在的安全漏洞,全面評估所有的安全漏洞和認證����、授權(quán)、完整性方面的問題�。
?? 除了上面介紹的安全掃描軟件以外�����,還有一些軟件也有可以用來進行安全檢測工作����,包括X-scan3.3��、WebInject1.41和Acunetix WVS Free Edition�����,以及一款功能全面且性能強大的商業(yè)安全掃描軟件ISS Internet Scanner等�。
?? 另外,在使用任何評估工具之前��,要先對其漏洞庫進行升級更新�����。這是由于現(xiàn)在大多數(shù)安全評估工具都是利用漏洞特征庫來進行弱點檢測的�����,只有保證它們的漏洞特征庫為最新狀態(tài)�����,才有可能發(fā)現(xiàn)WEB站點及所依賴的系統(tǒng)上可能存在的最新漏洞��。
?? 3����、安全評估方法
?? 安全評估方法就是具體的安全評估實施方式,它主要涉及到下列五個具體的方面:
?? (1)由外向內(nèi)測試
?? 這種安全評估方式就是以攻擊者的角度從WEB站點所在網(wǎng)絡(luò)結(jié)構(gòu)中的外部����,對它進行安全掃描工作,以此來檢測WEB站點防范來自互聯(lián)網(wǎng)遠程攻擊的能力����。此種測試方式可以使用上述評估工具中的N-stealth、X-Scan和WebInject等工具來進行����。
?? (2)由內(nèi)向外測試
?? 由內(nèi)向外的安全檢測方式是指從WEB站點所在網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)部,對它進行安全掃描工作���。這種安全檢測方式主要用來檢驗WEB站
關(guān)鍵詞標簽:WEB站點,網(wǎng)頁掛馬攻擊
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程