A. 如何檢測Web系統里的安全漏洞
Internet的開放性使得Web系統面臨入侵攻擊的威脅,而建立一個安全的Web系統一直是人們的目標。一個實用的方法是,建立比較容易實現的相對安全的系統,同時按照一定的安全策略建立相應的安全輔助系統,漏洞掃描器就是這樣一類安全輔助系統。 漏洞掃描就是對計算機系統或者其他網路設備進行安全相關的檢測,以找出安全隱患和可被黑客利用的漏洞。作為一種保證Web信息系統和網路安全必不可少的手段,我們有必要仔細研究利用。值得注意的是,漏洞掃描軟體是把雙刃劍,黑客利用它入侵系統,而系統管理員掌握它以後又可以有效的防範黑客入侵。 四種漏洞掃描技術 漏洞掃描通常採用兩種策略,第一種是被動式策略,第二種是主動式策略。所謂被動式策略就是基於主機之上,對系統中不合適的設置、脆弱的口令以及其他與安全規則抵觸的對象進行檢查;而主動式策略是基於網路的,它通過執行一些腳本文件模擬對系統進行攻擊的行為並記錄系統的反應,從而發現其中的漏洞。利用被動式策略的掃描稱為系統安全掃描,利用主動式的策略掃描稱為網路安全掃描。 漏洞掃描有以下四種檢測技術: 1.基於應用的檢測技術。它採用被動的、非破壞性的辦法檢查應用軟體包的設置,發現安全漏洞。 2.基於主機的檢測技術。它採用被動的、非破壞性的辦法對系統進行檢測。通常,它涉及到系統的內核、文件的屬性、操作系統的補丁等。這種技術還包括口令解密、把一些簡單的口令剔除。因此,這種技術可以非常准確地定位系統的問題,發現系統的漏洞。它的缺點是與平台相關,升級復雜。 3.基於目標的漏洞檢測技術。它採用被動的、非破壞性的辦法檢查系統屬性和文件屬性,如資料庫、注冊號等。通過消息文摘演算法,對文件的加密數進行檢驗。這種技術的實現是運行在一個閉環上,不斷地處理文件、系統目標、系統目標屬性,然後產生檢驗數,把這些檢驗數同原來的檢驗數相比較。一旦發現改變就通知管理員。 4. 基於網路的檢測技術。它採用積極的、非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對系統進行攻擊的行為,然後對結果進行分析。它還針對已知的網路漏洞進行檢驗。網路檢測技術常被用來進行穿透實驗和安全審記。這種技術可以發現一系列平台的漏洞,也容易安裝。但是,它可能會影響網路的性能。 網路漏洞掃描 在上述四種方式當中,網路漏洞掃描最為適合我們的Web信息系統的風險評估工作,其掃描原理和工作原理為:通過遠程檢測目標主機TCP/IP不同埠的服務,記錄目標的回答。通過這種方法,可以搜集到很多目標主機的各種信息(例如:是否能用匿名登錄,是否有可寫的FTP目錄,是否能用Telnet,httpd是否是用root在運行)。 在獲得目標主機TCP/IP埠和其對應的網路訪問服務的相關信息後,與網路漏洞掃描系統提供的漏洞庫進行匹配,如果滿足匹配條件,則視為漏洞存在。此外,通過模擬黑客的進攻手法,對目標主機系統進行攻擊性的安全漏洞掃描,如測試弱勢口令等,也是掃描模塊的實現方法之一。如果模擬攻擊成功,則視為漏洞存在。 在匹配原理上,網路漏洞掃描器採用的是基於規則的匹配技術,即根據安全專家對網路系統安全漏洞、黑客攻擊案例的分析和系統管理員關於網路系統安全配置的實際經驗,形成一套標準的系統漏洞庫,然後再在此基礎之上構成相應的匹配規則,由程序自動進行系統漏洞掃描的分析工作。 所謂基於規則是基於一套由專家經驗事先定義的規則的匹配系統。例如,在對TCP80埠的掃描中,如果發現/cgi-bin/phf/cgi-bin/Count.cgi,根據專家經驗以及CGI程序的共享性和標准化,可以推知該WWW服務存在兩個CGI漏洞。同時應當說明的是,基於規則的匹配系統有其局限性,因為作為這類系統的基礎的推理規則一般都是根據已知的安全漏洞進行安排和策劃的,而對網路系統的很多危險的威脅是來自未知的安全漏洞,這一點和PC殺毒很相似。 這種漏洞掃描器是基於瀏覽器/伺服器(B/S)結構。它的工作原理是:當用戶通過控制平台發出了掃描命令之後,控制平台即向掃描模塊發出相應的掃描請求,掃描模塊在接到請求之後立即啟動相應的子功能模塊,對被掃描主機進行掃描。通過分析被掃描主機返回的信息進行判斷,掃描模塊將掃描結果返回給控制平台,再由控制平台最終呈現給用戶。 另一種結構的掃描器是採用插件程序結構。可以針對某一具體漏洞,編寫對應的外部測試腳本。通過調用服務檢測插件,檢測目標主機TCP/IP不同埠的服務,並將結果保存在信息庫中,然後調用相應的插件程序,向遠程主機發送構造好的數據,檢測結果同樣保存於信息庫,以給其他的腳本運行提供所需的信息,這樣可提高檢測效率。如,在針對某FTP服務的攻擊中,可以首先查看服務檢測插件的返回結果,只有在確認目標主機伺服器開啟FTP服務時,對應的針對某FTP服務的攻擊腳本才能被執行。採用這種插件結構的掃描器,可以讓任何人構造自己的攻擊測試腳本,而不用去了解太多掃描器的原理。這種掃描器也可以用做模擬黑客攻擊的平台。採用這種結構的掃描器具有很強的生命力,如著名的Nessus就是採用這種結構。這種網路漏洞掃描器的結構如圖2所示,它是基於客戶端/伺服器(C/S)結構,其中客戶端主要設置伺服器端的掃描參數及收集掃描信息。具體掃描工作由伺服器來完成。
記得採納啊
B. WEB系統問題排查
當問題出現,第一反應是估計影響范圍。如當有用戶反饋頁面白屏,打不開時。需第一時間確認影響范圍。具體操作流程如下:
當問題是局部發生的時候。則需進行排查。首先查看伺服器各個集群的狀態:
日誌的排查不能是漫無目的的,需要根據問題的情況及對業務的了解,先後的去排查可能相關的日誌。
問題一般在如上的流程中都能定位出來。如果定位不出來:
==讓自己冷靜下來,停下來一分鍾,想一想問題,千萬不要慌亂,並在沒有思路的情況下操作,避免二次事故==
試試以下方案:
當影響范圍或這錯誤已經找到或者沒找到的情況下。需要在最短的時間內恢復系統(不一定是100%恢復,但要保持基本可用),如:
如等級系統異常導致的整站異常,則可下掉等級系統,所有用戶等級全部默認1級,以保持系統基本功能可用
從上面的處理過程會得到一個提醒:
==線上系統的備用方案非常重要,系統需要有演戲,有緊急情況下的備用方案==
上面的排查過程,需要在一系列工具的配合下才能准確,快速的定位問題,以下列一下可能需要用的工具。
==linux命令是最好用的工具==
業務的訪問情況分析,如pv,可以用網路統計等第三方統計平台(對於上述的情況,這種第三方統計平台是足夠使用的)。
介面的訪問情況,可能看起來比較麻煩。一般介面的訪問情況,可以根據入口伺服器(如nginx或apache)的訪問日誌來做一個簡單的估計和查看。但是如果是分布式的機器的情況下,就比較麻煩。建議搭建ELK日誌平台,通過對日誌的聚合統計就可以做到介面訪問情況的分析。
zabbix:是一個基於WEB界面的提供分布式系統監視以及網路監視功能的企業級的開源解決方案。可以監控到各種伺服器信息。
當然目前運維屆有各種監控工具,如單獨監控mysql集群的工具,redis的集群監控工具等都是可以用的。各個公司需要根據自己的情況,選用不同的工具。畢竟如果只需要監控mysql,那用zabbix就太重了。
業界目前比較流行的有ELK Stack。用於一站式的日誌採集,存儲,查看和分析。可以集中,方便的觀察到各台伺服器的日誌情況,又不需要每個人都開通線上機器的許可權,也方便日誌的查詢和搜索
在一般情況下(業務系統較簡單,機器不多)。linux的命令是最方便快捷的方法。配合shell的sed或awt語法,可以做很多事情。
下面列一下一些常用的命令或工具:
C. 「/WebUI」應用程序中的伺服器錯誤。 ----------------------------------------------------------------
應用程序錯誤的原因和解決方法
內存條壞了--更換內存條
雙內存不兼容--使用同品牌的內存或只用一條內存
散熱問題--加強機箱內部的散熱
驅動問題--重裝驅動。如果是新系統,要先安裝主板驅動
軟體損壞--重裝軟體 軟體有BUG--打補丁或用最新的版本。
軟體和系統不兼容--給軟體打上補丁或者試試系統的兼容模式
軟體和軟體之間有沖突--如果最近安裝了什麼新軟體,卸載了試試 軟體要使用到其它相關的軟體有問題--重裝相關軟體。
病毒問題--殺毒軟體與系統或軟體沖突--由於殺毒軟體是進入底層監控系統的,可能與一些軟體沖突,卸載了換用兼容性好的殺毒軟體(比如金山金山毒霸2011版sp6)。
這個問題,經常出現在windows2000和XP系統上,Windows 2000/XP對硬體的要求是很苛刻的,一旦遇到資源死鎖、溢出或者類似Windows 98里的非法操作,系統為保持穩定,就會出現上述情況。
D. web伺服器可能會存在那些問題應如何防範
(1)伺服器向公眾提供了不應該提供的服務。
(2)伺服器把本應私有的數據放到了可公開訪問的區域。用戶Web應用需要保存一些私有的、不能從Web訪問的數據,則根本無法找到滿足要求的位置。
(3)伺服器信賴了來自不可信賴數據源的數據。常見的安全問題是CGI程序或PHP腳本的質量低下,它們信任了來源不可靠的參數,未經嚴格的檢查就立即使用CGI參數。
防範措施:
(1)提供不應該提供的服務的防範措施:只開放必需的埠,關閉其餘的埠,關閉在自己的系統上運行那麼多的服務,而這些服務原本無需在正式提供Web服務的機器上運行,或者這些服務原本無需面向公眾開放。對於所有向公眾開放的服務,應該密切關注其程序的最新版本和安全信息,應該做好一旦發現與這些程序有關的安全問題就立即升級軟體的准備。
(2)伺服器公用目錄下的私有數據安全性的防範措施:設置Web伺服器,使它既提供私有數據存儲又提供公用頁面目錄。
(3)數據源的可靠性防範措施:通常,來自外面的數據(比如表單變數的數據)應該先傳入檢驗其合法性的函數。只有當檢驗函數表示表單提供的數據是安全的,才可以把表單數據復制到會話變數。Web應用應該把這種檢查集中到一起進行,應用的所有其餘部分永遠不應該直接接觸表單變數,而是應該使用經過檢查且確認安全的會話數據。
E. web伺服器可能存在的安全問題有哪些
1、來自伺服器本身及網路環境的安全,這包括伺服器系統漏洞,系統許可權,網路環境(如ARP等)專、網屬絡埠管理等,這個是基礎。
2、來自WEB伺服器應用的安全,IIS或者Apache等,本身的配置、許可權等,這個直接影響訪問網站的效率和結果。
3、網站程序的安全,這可能程序漏洞,程序的許可權審核,以及執行的效率,這個是WEB安全中佔比例非常高的一部分。
4、WEB Server周邊應用的安全,一台WEB伺服器通常不是獨立存在的,可能其它的應用伺服器會影響到WEB伺服器的安全,如資料庫服務、FTP服務等。
F. DMZ區域中WEB伺服器統計訪問IP問題!!
你目前做的應該是一個雙向NAT,也就是說,內網、DMZ出去時作了NAT,外網訪問DMZ時也作了NAT,所以才出現這種狀況。就決辦法:
1、製作單向NAT,內網、DMZ到Internet出口作NAT,對DMZ內需要提供Internet服務的主機作靜態NAT映射;
2、內網訪問DMZ時不做NAT,外網進入內網和DMZ時不需要做NAT,這樣,DMZ內伺服器收到的公網的訪問時,源地址就是公網的地址,不再是防火牆上的地址,而且內部的地址還是內部的地址,這就可以把地址分開;
也就是說,由防火牆到DMZ主機的埠不能使用NAT功能,由內部、DMZ到外部時才使用NAT,這個問題就可以解決了。我不知道你使用的是哪個廠家的防火牆,一般都可以做到這么定義。