如何進(jìn)行WEB安全性測試？

一般來說，一個WEB應(yīng)用包括WEB服務(wù)器運行的操作系統(tǒng)、WEB服務(wù)器、WEB應(yīng)用邏輯、數(shù)據(jù)庫幾個部分，其中任何一個部分出現(xiàn)安全漏洞，都會導(dǎo)致整個系統(tǒng)的安全性問題。\x0d\x0a對操作系統(tǒng)來說，最關(guān)鍵的操作系統(tǒng)的漏洞，Windows上的RPC漏洞、緩沖區(qū)溢出漏洞、安全機制漏洞等等；\x0d\x0a對WEB服務(wù)器來說，WEB服務(wù)器從早期僅提供對靜態(tài)HTML和圖片進(jìn)行訪問發(fā)展到現(xiàn)在對動態(tài)請求的支持，早已是非常龐大的系統(tǒng)。\x0d\x0a對應(yīng)用邏輯來說，根據(jù)其實現(xiàn)的語言不同、機制不同、由于編碼、框架本身的漏洞或是業(yè)務(wù)設(shè)計時的不完善，都可能導(dǎo)致安全上的問題。\x0d\x0a對WEB的安全性測試是一個很大的題目，首先取決于要達(dá)到怎樣的安全程度。不要期望網(wǎng)站可以達(dá)到100%的安全，須知，即使是美國國防部，也不能保證自己的網(wǎng)站100%安全。對于一般的用于實現(xiàn)業(yè)務(wù)的網(wǎng)站，達(dá)到這樣的期望是比較合理的：\x0d\x0a1、能夠?qū)γ艽a試探工具進(jìn)行防范；\x0d\x0a2、能夠防范對cookie攻擊等常用攻擊手段；\x0d\x0a3、敏感數(shù)據(jù)保證不用明文傳輸；\x0d\x0a4、能防范通過文件名猜測和查看HTML文件內(nèi)容獲取重要信息；\x0d\x0a5、能保證在網(wǎng)站收到工具后在給定時間內(nèi)恢復(fù)，重要數(shù)據(jù)丟失不超過1個小時；

公司主營業(yè)務(wù)：成都做網(wǎng)站、成都網(wǎng)站建設(shè)、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。成都創(chuàng)新互聯(lián)是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。成都創(chuàng)新互聯(lián)推出隆安免費做網(wǎng)站回饋大家。

如何保證Web服務(wù)器安全？

一、在代碼編寫時就要進(jìn)行漏洞測試。

二、對Web服務(wù)器進(jìn)行持續(xù)的監(jiān)控。

三、設(shè)置蜜罐，將攻擊者引向錯誤的方向。

四、專人對Web服務(wù)器的安全性進(jìn)行測試。

在Web服務(wù)器的攻防戰(zhàn)上，這一個原則也適用。筆者建議，如果企業(yè)對于Web服務(wù)的安全比較高，如網(wǎng)站服務(wù)器上有電子商務(wù)交易平臺，此時最好設(shè)置一個專業(yè)的團(tuán)隊。他們充當(dāng)攻擊者的角色，對服務(wù)器進(jìn)行安全性的測試。這個專業(yè)團(tuán)隊主要執(zhí)行如下幾個任務(wù)?！?/p>

一是測試Web管理團(tuán)隊對攻擊行為的反應(yīng)速度。如可以采用一些現(xiàn)在比較流行的攻擊手段，對自己的Web服務(wù)器發(fā)動攻擊。當(dāng)然這個時間是隨機的。預(yù)先Web管理團(tuán)隊并不知道?，F(xiàn)在要評估的是，Web管理團(tuán)隊在多少時間之內(nèi)能夠發(fā)現(xiàn)這種攻擊的行為。這也是考驗管理團(tuán)隊全天候跟蹤的能力。一般來說，這個時間越短越好。應(yīng)該將這個時間控制在可控的范圍之內(nèi)。即使攻擊最后沒有成功，Web管理團(tuán)隊也應(yīng)該及早的發(fā)現(xiàn)攻擊的行為。畢竟有沒有發(fā)現(xiàn)、與最終有沒有取得成功，是兩個不同的概念。

二是要測試服務(wù)器的漏洞是否有補上。畢竟大部分的攻擊行為，都是針對服務(wù)器現(xiàn)有的漏洞所產(chǎn)生的?，F(xiàn)在這個專業(yè)團(tuán)隊要做的就是，這些已發(fā)現(xiàn)的漏洞是否都已經(jīng)打上了安全補丁或者采取了對應(yīng)的安全措施。有時候我們都沒有發(fā)現(xiàn)的漏洞是無能為力，但是對于這些已經(jīng)存在的漏洞不能夠放過。否則的話，也太便宜那些攻擊者了。

web服務(wù)器安全設(shè)置

Web服務(wù)器攻擊常利用Web服務(wù)器軟件和配置中的漏洞，web服務(wù)器安全也是我們現(xiàn)在很多人關(guān)注的一點，那么你知道web服務(wù)器安全設(shè)置嗎?下面是我整理的一些關(guān)于web服務(wù)器安全設(shè)置的相關(guān)資料，供你參考。

web服務(wù)器安全設(shè)置一、IIS的相關(guān)設(shè)置

刪除默認(rèn)建立的站點的虛擬目錄，停止默認(rèn)web站點，刪除對應(yīng)的文件目錄c:inetpub，配置所有站點的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制， 帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯誤信息給客戶。

對于數(shù)據(jù)庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個mdb的擴展映射，將這個映射使用一個無關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯誤信息。修改403錯誤頁面，將其轉(zhuǎn)向到其他頁，可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。

對于用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應(yīng)三個文件佳，wwwroot，database，logfiles，分別存放站點文件，數(shù)據(jù)庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權(quán)限。因為是虛擬主機平常對腳本安全沒辦法做到細(xì)致入微的地步。

方法

用戶從腳本提升權(quán)限：

web服務(wù)器安全設(shè)置二、ASP的安全設(shè)置

設(shè)置過權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動IIS即可生效。但不推薦該方法。

另外，對于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務(wù)器上使用，只適合于手工開通的站點?？梢葬槍π枰狥SO和不需要FSO的站點設(shè)置兩個組，對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動服務(wù)器即可生效。

對于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用!

web服務(wù)器安全設(shè)置三、PHP的安全設(shè)置

默認(rèn)安裝的php需要有以下幾個注意的問題：

C:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認(rèn)是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

web服務(wù)器安全設(shè)置四、MySQL安全設(shè)置

如果服務(wù)器上啟用MySQL數(shù)據(jù)庫，MySQL數(shù)據(jù)庫需要注意的安全設(shè)置為：

刪除mysql中的所有默認(rèn)用戶，只保留本地root帳戶，為root用戶加上一個復(fù)雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時候，并限定到特定的數(shù)據(jù)庫，尤其要避免普通客戶擁有對mysql數(shù)據(jù)庫操作的權(quán)限。檢查mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的 其它 信息出去。可以為mysql設(shè)置一個啟動用戶，該用戶只對mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息)。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。

Serv-u安全問題：

安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動模式端口范圍(4001—4003)在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時調(diào)度，攔截“FTP bounce”攻擊和FXP，對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫字母，高級中設(shè)置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動用戶：在系統(tǒng)中新建一個用戶，設(shè)置一個復(fù)雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權(quán)限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操 作文 件。另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限，否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權(quán)限，為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動就沒有這些問題，因為system一般都擁有這些權(quán)限的。

web服務(wù)器安全設(shè)置五、數(shù)據(jù)庫服務(wù)器的安全設(shè)置

對于專用的MSSQL數(shù)據(jù)庫服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對外只開放1433和5631端口。對于MSSQL首先需要為sa設(shè)置一個強壯的密碼，使用混合身份驗證,加強數(shù)據(jù)庫日志的記錄,審核數(shù)據(jù)庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成 企業(yè)管理 器中部分功能不能使用),這些過程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊表訪問過程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統(tǒng)存儲過程，如果認(rèn)為還有威脅，當(dāng)然要小心drop這些過程，可以在測試機器上測試，保證正常的系統(tǒng)能完成工作，這些過程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認(rèn)使用的1433端口。除去數(shù)據(jù)庫的guest賬戶把未經(jīng)認(rèn)可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫,因為對他們guest帳戶是必需的。另外注意設(shè)置好各個數(shù)據(jù)庫用戶的權(quán)限，對于這些用戶只給予所在數(shù)據(jù)庫的一些權(quán)限。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的，千萬不要這么做，否則你只能重裝MSSQL了。

什么是 Web安全？Web應(yīng)用漏洞的防御實現(xiàn)

什么是 Web安全？

Web安全是計算機術(shù)語。隨著Web2.0、社交網(wǎng)絡(luò)等一系列新型的互聯(lián)網(wǎng)產(chǎn)品誕生問世，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛，企業(yè)信息化的過程中各種應(yīng)用都架設(shè)在Web平臺上，Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的窺探，接踵而至的就是Web安全威脅的凸顯。

黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。

Web安全的現(xiàn)狀及原因

目前，很多業(yè)務(wù)都依賴于互聯(lián)網(wǎng)，無論是網(wǎng)上銀行、網(wǎng)上購物、還是網(wǎng)絡(luò) 游戲 等，惡意攻擊者們出于各種不良目的，對Web 服務(wù)器進(jìn)行攻擊，想方設(shè)法通過各種手段獲取他人的個人賬戶信息謀取利益。正是如此，Web業(yè)務(wù)平臺最容易遭受攻擊。

而針對Web服務(wù)器的攻擊也是五花八門，常見的有掛馬、SQL注入、緩沖區(qū)溢出、嗅探、利用IIS等針對Webserver漏洞進(jìn)行攻擊。

一方面，由于TCP/IP的設(shè)計是沒有考慮安全問題的，網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)是沒有任何安全防護(hù)。攻擊者們可利用系統(tǒng)漏洞造成系統(tǒng)進(jìn)程緩沖區(qū)溢出，攻擊者可能獲得或者提升自己在有漏洞的系統(tǒng)上的用戶權(quán)限來運行任意程序，甚至安裝和運行惡意代碼，竊取機密數(shù)據(jù)。

而應(yīng)用層面的軟件在開發(fā)過程中也沒有過多考慮到安全的問題，這使得程序本身存在很多漏洞，諸如緩沖區(qū)溢出、SQL注入等等流行的應(yīng)用層攻擊，這些都屬于在軟件研發(fā)過程中疏忽了對安全的考慮所致。

另一方面，個人用戶由于好奇心，被攻擊者利用木馬或病毒程序進(jìn)行攻擊，攻擊者將木馬或病毒程序捆綁在一些誘人的圖片、音視頻或免費軟件等文件中，然后將這些文件置于某些網(wǎng)站當(dāng)中，再引誘用戶去單擊或下載運行，或通過電子郵件附件和QQ、MSN等即時聊天軟件，將這些捆綁了木馬或病毒的文件發(fā)送給用戶，讓用戶打開或運行這些文件。

Web安全的三個細(xì)分

Web安全主要分為:1、保護(hù)服務(wù)器及其數(shù)據(jù)的安全。2、保護(hù)服務(wù)器和用戶之間傳遞的信息的安全。3、保護(hù)Web應(yīng)用客戶端及其環(huán)境安全這三個方面。

Web應(yīng)用防火墻

Web應(yīng)用安全問題本質(zhì)上源于軟件質(zhì)量問題。但Web應(yīng)用相較傳統(tǒng)的軟件，具有其獨特性。Web應(yīng)用往往是某個機構(gòu)所獨有的應(yīng)用，對其存在的漏洞，已知的通用漏洞簽名缺乏有效性；

需要頻繁地變更以滿足業(yè)務(wù)目標(biāo)，從而使得很難維持有序的開發(fā)周期；需要全面考慮客戶端與服務(wù)端的復(fù)雜交互場景，而往往很多開發(fā)者沒有很好地理解業(yè)務(wù)流程；人們通常認(rèn)為Web開發(fā)比較簡單，缺乏經(jīng)驗的開發(fā)者也可以勝任。

Web應(yīng)用安全，理想情況下應(yīng)該在軟件開發(fā)生命周期遵循安全編碼原則，并在各階段采取相應(yīng)的安全措施。

然而，多數(shù)網(wǎng)站的實際情況是：大量早期開發(fā)的Web應(yīng)用，由于 歷史 原因，都存在不同程度的安全問題。對于這些已上線、正提供生產(chǎn)的Web應(yīng)用，由于其定制化特點決定了沒有通用補丁可用，而整改代碼因代價過大變得較難施行或者需要較長的整改周期。

這種現(xiàn)狀，專業(yè)的Web安全防護(hù)工具是一種合理的選擇。WEB應(yīng)用防火墻（以下簡稱WAF）正是這類專業(yè)工具，提供了一種安全運維控制手段：基于對HTTP/HTTPS流量的雙向分析，為Web應(yīng)用提供實時的防護(hù)。

Web應(yīng)用漏洞的防御實現(xiàn)

對于常見的Web應(yīng)用漏洞，應(yīng)該從3個方面入手進(jìn)行防御：

1、對 Web應(yīng)用開發(fā)者而言

大部分Web應(yīng)用常見漏洞都是在Web應(yīng)用開發(fā)中，由于開發(fā)者沒有對用戶輸入的參數(shù)進(jìn)行檢測或者檢測不嚴(yán)格造成的。所以，Web應(yīng)用開發(fā)者應(yīng)該樹立很強的安全意識，開發(fā)中編寫安全代碼；

對用戶提交的URL、查詢關(guān)鍵字、HTTP頭、POST數(shù)據(jù)等進(jìn)行嚴(yán)格的檢測和限制，只接受一定長度范圍內(nèi)、采用適當(dāng)格式及編碼的字符，阻塞、過濾或者忽略其它的任何字符。通過編寫安全的Web應(yīng)用代碼，可以消除絕大部分的Web應(yīng)用安全問題。

2、對Web網(wǎng)站管理員而言

作為負(fù)責(zé)網(wǎng)站日常維護(hù)管理工作Web管理員，應(yīng)該及時跟蹤并安裝最新的、支撐Web網(wǎng)站運行的各種軟件的安全補丁，確保攻擊者無法通過軟件漏洞對網(wǎng)站進(jìn)行攻擊。

除了軟件本身的漏洞外，Web服務(wù)器、數(shù)據(jù)庫等不正確的配置也可能導(dǎo)致Web應(yīng)用安全問題。Web網(wǎng)站管理員應(yīng)該對網(wǎng)站各種軟件配置進(jìn)行仔細(xì)檢測，降低安全問題的出現(xiàn)可能。

此外，Web管理員還應(yīng)該定期審計Web服務(wù)器日志，檢測是否存在異常訪問，及早發(fā)現(xiàn)潛在的安全問題。

3、使用網(wǎng)絡(luò)防攻擊設(shè)備

前兩種都是預(yù)防方式，相對來說很理想化。在現(xiàn)實中，Web應(yīng)用系統(tǒng)的漏洞仍舊不可避免：部分Web網(wǎng)站已經(jīng)存在大量的安全漏洞，而Web開發(fā)者和網(wǎng)站管理員并沒有意識到或發(fā)現(xiàn)這些安全漏洞。

由于Web應(yīng)用是采用HTTP協(xié)議，普通的防火墻設(shè)備無法對Web類攻擊進(jìn)行防御，因此需要使用入侵防御設(shè)備來實現(xiàn)安全防護(hù)。