Web安全問答（1）

問：怎樣應(yīng)對(duì)Web業(yè)務(wù)安全事件

答：應(yīng)對(duì)Web業(yè)務(wù)安全事件，從根本上的解決辦法就是對(duì)Web應(yīng)用程序源代碼進(jìn)行代碼檢查和漏洞修復(fù)，但是這會(huì)影響正常Web業(yè)務(wù)運(yùn)行，而且費(fèi)用較高。比較有效的解決方案是通過專業(yè)的Web業(yè)務(wù)安全檢查工具或服務(wù)來檢查網(wǎng)站安全狀況，部署專業(yè)的Web安全產(chǎn)品，比如基于行為檢測的入侵防御產(chǎn)品產(chǎn)品，同時(shí)在管理上，要求網(wǎng)管人員實(shí)時(shí)對(duì)網(wǎng)站進(jìn)行監(jiān)測，一旦發(fā)現(xiàn)被篡改等問題進(jìn)行頁面恢復(fù)、刪除惡意腳本等工作。

Web安全問答（2）

問：什么叫網(wǎng)絡(luò)蠕蟲

答：一般認(rèn)為：蠕蟲病毒是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它除具有病毒的一些共性外，同時(shí)具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及與黑客技術(shù)相結(jié)合等等。蠕蟲病毒主要的破壞方式是大量的復(fù)制自身，然后在網(wǎng)絡(luò)中傳播，嚴(yán)重的占用有限的網(wǎng)絡(luò)資源，最終引起整個(gè)網(wǎng)絡(luò)的癱瘓，使用戶不能通過網(wǎng)絡(luò)進(jìn)行正常的工作。每一次蠕蟲病毒的爆發(fā)都會(huì)給全球經(jīng)濟(jì)造成巨大損失，因此它的危害性是十分巨大的；有一些蠕蟲病毒還具有更改用戶文件、將用戶文件自動(dòng)當(dāng)附件轉(zhuǎn)發(fā)的功能，更是嚴(yán)重的危害到用戶的系統(tǒng)安全。

Web安全問答（3）

問：如何應(yīng)對(duì)DOS/DDOS攻擊

答：從目前現(xiàn)有的技術(shù)角度來講，還沒有一項(xiàng)解決辦法針對(duì)DoS非常有效。所以，防止DoS攻擊的最佳手段就是防患于未然。也就是說，首先要保證一般的外圍主機(jī)和服務(wù)器的安全，使攻擊者無法獲得大量的無關(guān)主機(jī)，從而無法發(fā)動(dòng)有效攻擊。一旦單位內(nèi)部的主機(jī)或臨近網(wǎng)絡(luò)的主機(jī)被黑客侵入，那么其他的主機(jī)被侵入的危險(xiǎn)會(huì)變得很大。同時(shí)，如果網(wǎng)絡(luò)內(nèi)部或鄰近的主機(jī)被用來對(duì)本機(jī)進(jìn)行DoS攻擊，攻擊的效果會(huì)更明顯。所以，必須保證這些外圍主機(jī)和網(wǎng)絡(luò)的安全。尤其是那些擁有高帶寬和高性能服務(wù)器的網(wǎng)絡(luò)，往往是黑客的首選目標(biāo)。保護(hù)這些主機(jī)最好的辦法就是及時(shí)了解有關(guān)本操作系統(tǒng)的安全漏洞以及相應(yīng)的安全措施，及時(shí)安裝補(bǔ)丁程序并注意定期升級(jí)系統(tǒng)軟件，以免給黑客以可乘之機(jī)。另外，網(wǎng)管人員要加強(qiáng)對(duì)網(wǎng)絡(luò)流量的管理，對(duì)網(wǎng)絡(luò)資源的使用情況和帶寬分配進(jìn)行限制或控制，通過流量過濾產(chǎn)品進(jìn)行限流，同時(shí)配合網(wǎng)絡(luò)審計(jì)產(chǎn)品，可以對(duì)攻擊進(jìn)行審計(jì)和記錄，溯源的同時(shí)可用于事后取證，必要時(shí)向ISP進(jìn)行舉報(bào)。

Web安全問答（4）

問：如何提高Web服務(wù)器操作系統(tǒng)的安全

答：操作系統(tǒng)的安全性問題較多，這里以常用的WINDOWS系列操作系統(tǒng)為例，列舉一些重點(diǎn)需要考慮的因素：

1） 操作系統(tǒng)帳號(hào)管理，包括設(shè)置安全性較高的帳號(hào)口令；帳號(hào)文件加密或者隱藏，關(guān)閉GUEST帳號(hào)等。

2） 設(shè)置訪問控制策略，目前的WINDOWS操作系統(tǒng)均提供了主機(jī)防火墻，通過設(shè)置防火墻策略保證只有指定的端口、程序可以進(jìn)行網(wǎng)絡(luò)通訊。

3） 及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁，WINDOWS操作系統(tǒng)極為復(fù)雜，幾乎每隔幾天就有新的安全漏洞被發(fā)現(xiàn)，管理員應(yīng)及時(shí)對(duì)操作系統(tǒng)進(jìn)行打補(bǔ)丁。

4） 關(guān)閉Web服務(wù)無關(guān)的服務(wù)，減少系統(tǒng)與外界交互通訊的可能性。

5） 安裝防病毒、通訊監(jiān)視等軟件，可以防止一些流行工具/木馬/病毒的攻擊。

Web安全問答（5）

問：通過網(wǎng)站日志是否可以準(zhǔn)確分析出攻擊全過程

答：網(wǎng)站日志可以記錄所有用戶在指定時(shí)間段內(nèi)的所有操作。不論黑客采用何種攻擊方式，在最后對(duì)網(wǎng)頁文件進(jìn)行篡改或添加網(wǎng)頁木馬的時(shí)候，都會(huì)利用已存在或者是新添加的帳號(hào)進(jìn)行操作，所以這些操作也可以被網(wǎng)站日志系統(tǒng)所記錄。從未被篡改和精簡的網(wǎng)站日志系統(tǒng)中，有經(jīng)驗(yàn)的用戶可以分析出攻擊的整個(gè)過程，但由于一般情況下，網(wǎng)站日志系統(tǒng)不存在獨(dú)立的保障機(jī)制，攻擊者可以在攻擊完成后刪除操作日志，這種情況下，將無法判斷攻擊者的所作所為。也就是說，網(wǎng)站日志在未被篡改的情況下，可以從中分析攻擊過程，但如果被攻擊者修改過，將無法實(shí)現(xiàn)全面分析。

Web安全問答（6）

問：什么叫網(wǎng)站掛馬？

答：“掛馬” 就是黑客入侵了一些網(wǎng)站后，將自己編寫的網(wǎng)頁木馬嵌入被黑網(wǎng)站的主頁中，當(dāng)訪問者瀏覽被掛馬頁面時(shí)，將會(huì)被植入木馬，黑客便可通過遠(yuǎn)程控制來實(shí)現(xiàn)不可告人的目的。網(wǎng)頁木馬就是將木馬和網(wǎng)頁結(jié)合在一起，打開網(wǎng)頁的同時(shí)也會(huì)運(yùn)行木馬。最初的網(wǎng)頁木馬原理是利用IE瀏覽器的ActiveX控件，運(yùn)行網(wǎng)頁木馬后會(huì)彈出一個(gè)控件下載提示，只有點(diǎn)擊確認(rèn)后才會(huì)運(yùn)行其中的木馬。這種網(wǎng)頁木馬在當(dāng)時(shí)網(wǎng)絡(luò)安全意識(shí)普遍不高的情況下還是有一點(diǎn)使用價(jià)值的，但是其缺點(diǎn)是顯而易見的，就是會(huì)出現(xiàn)ActiveX控件下載提示。當(dāng)然現(xiàn)在很少會(huì)有人去點(diǎn)擊那莫名其妙的ActiveX控件下載確認(rèn)窗口。在這種情況下，新的網(wǎng)頁木馬誕生了。這類網(wǎng)頁木馬通常利用了IE瀏覽器的漏洞，在運(yùn)行的時(shí)候沒有絲毫提示，因此隱蔽性極高。

Web安全問答（7）

問：對(duì)于SQL注入攻擊，是否可以通過禁止SQL語句執(zhí)行來防御？

答：SQL注入利用的是Web頁面的代碼過濾不嚴(yán)格，攻擊者可以通過提交某些特殊構(gòu)造的SQL語句插入SQL的特殊字符和字段，來實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的非正常訪問。如果完全禁止SQL語句，當(dāng)然可以實(shí)現(xiàn)對(duì)SQL注入的防御，但與此同時(shí)，正常的數(shù)據(jù)庫查詢語言也將無法執(zhí)行，除非Web站點(diǎn)是純靜態(tài)頁面，否則將無法正常訪問。采用禁止SQL語句執(zhí)行來防御SQL注入，純粹是因噎廢食。