A. 如何檢測Web系統里的安全漏洞
Internet的開放性使得Web系統面臨入侵攻擊的威脅,而建立一個安全的Web系統一直是人們的目標。一個實用的方法是,建立比較容易實現的相對安全的系統,同時按照一定的安全策略建立相應的安全輔助系統,漏洞掃描器就是這樣一類安全輔助系統。 漏洞掃描就是對計算機系統或者其他網路設備進行安全相關的檢測,以找出安全隱患和可被黑客利用的漏洞。作為一種保證Web信息系統和網路安全必不可少的手段,我們有必要仔細研究利用。值得注意的是,漏洞掃描軟體是把雙刃劍,黑客利用它入侵系統,而系統管理員掌握它以後又可以有效的防範黑客入侵。 四種漏洞掃描技術 漏洞掃描通常採用兩種策略,第一種是被動式策略,第二種是主動式策略。所謂被動式策略就是基於主機之上,對系統中不合適的設置、脆弱的口令以及其他與安全規則抵觸的對象進行檢查;而主動式策略是基於網路的,它通過執行一些腳本文件模擬對系統進行攻擊的行為並記錄系統的反應,從而發現其中的漏洞。利用被動式策略的掃描稱為系統安全掃描,利用主動式的策略掃描稱為網路安全掃描。 漏洞掃描有以下四種檢測技術: 1.基於應用的檢測技術。它採用被動的、非破壞性的辦法檢查應用軟體包的設置,發現安全漏洞。 2.基於主機的檢測技術。它採用被動的、非破壞性的辦法對系統進行檢測。通常,它涉及到系統的內核、文件的屬性、操作系統的補丁等。這種技術還包括口令解密、把一些簡單的口令剔除。因此,這種技術可以非常准確地定位系統的問題,發現系統的漏洞。它的缺點是與平台相關,升級復雜。 3.基於目標的漏洞檢測技術。它採用被動的、非破壞性的辦法檢查系統屬性和文件屬性,如資料庫、注冊號等。通過消息文摘演算法,對文件的加密數進行檢驗。這種技術的實現是運行在一個閉環上,不斷地處理文件、系統目標、系統目標屬性,然後產生檢驗數,把這些檢驗數同原來的檢驗數相比較。一旦發現改變就通知管理員。 4. 基於網路的檢測技術。它採用積極的、非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對系統進行攻擊的行為,然後對結果進行分析。它還針對已知的網路漏洞進行檢驗。網路檢測技術常被用來進行穿透實驗和安全審記。這種技術可以發現一系列平台的漏洞,也容易安裝。但是,它可能會影響網路的性能。 網路漏洞掃描 在上述四種方式當中,網路漏洞掃描最為適合我們的Web信息系統的風險評估工作,其掃描原理和工作原理為:通過遠程檢測目標主機TCP/IP不同埠的服務,記錄目標的回答。通過這種方法,可以搜集到很多目標主機的各種信息(例如:是否能用匿名登錄,是否有可寫的FTP目錄,是否能用Telnet,httpd是否是用root在運行)。 在獲得目標主機TCP/IP埠和其對應的網路訪問服務的相關信息後,與網路漏洞掃描系統提供的漏洞庫進行匹配,如果滿足匹配條件,則視為漏洞存在。此外,通過模擬黑客的進攻手法,對目標主機系統進行攻擊性的安全漏洞掃描,如測試弱勢口令等,也是掃描模塊的實現方法之一。如果模擬攻擊成功,則視為漏洞存在。 在匹配原理上,網路漏洞掃描器採用的是基於規則的匹配技術,即根據安全專家對網路系統安全漏洞、黑客攻擊案例的分析和系統管理員關於網路系統安全配置的實際經驗,形成一套標準的系統漏洞庫,然後再在此基礎之上構成相應的匹配規則,由程序自動進行系統漏洞掃描的分析工作。 所謂基於規則是基於一套由專家經驗事先定義的規則的匹配系統。例如,在對TCP80埠的掃描中,如果發現/cgi-bin/phf/cgi-bin/Count.cgi,根據專家經驗以及CGI程序的共享性和標准化,可以推知該WWW服務存在兩個CGI漏洞。同時應當說明的是,基於規則的匹配系統有其局限性,因為作為這類系統的基礎的推理規則一般都是根據已知的安全漏洞進行安排和策劃的,而對網路系統的很多危險的威脅是來自未知的安全漏洞,這一點和PC殺毒很相似。 這種漏洞掃描器是基於瀏覽器/伺服器(B/S)結構。它的工作原理是:當用戶通過控制平台發出了掃描命令之後,控制平台即向掃描模塊發出相應的掃描請求,掃描模塊在接到請求之後立即啟動相應的子功能模塊,對被掃描主機進行掃描。通過分析被掃描主機返回的信息進行判斷,掃描模塊將掃描結果返回給控制平台,再由控制平台最終呈現給用戶。 另一種結構的掃描器是採用插件程序結構。可以針對某一具體漏洞,編寫對應的外部測試腳本。通過調用服務檢測插件,檢測目標主機TCP/IP不同埠的服務,並將結果保存在信息庫中,然後調用相應的插件程序,向遠程主機發送構造好的數據,檢測結果同樣保存於信息庫,以給其他的腳本運行提供所需的信息,這樣可提高檢測效率。如,在針對某FTP服務的攻擊中,可以首先查看服務檢測插件的返回結果,只有在確認目標主機伺服器開啟FTP服務時,對應的針對某FTP服務的攻擊腳本才能被執行。採用這種插件結構的掃描器,可以讓任何人構造自己的攻擊測試腳本,而不用去了解太多掃描器的原理。這種掃描器也可以用做模擬黑客攻擊的平台。採用這種結構的掃描器具有很強的生命力,如著名的Nessus就是採用這種結構。這種網路漏洞掃描器的結構如圖2所示,它是基於客戶端/伺服器(C/S)結構,其中客戶端主要設置伺服器端的掃描參數及收集掃描信息。具體掃描工作由伺服器來完成。
記得採納啊
B. 網站安全檢測的檢測項目
1)SQL注入。檢測Web網站是否存在SQL注入漏洞,如果存在該漏洞,攻擊者對注入點進行注入攻擊,可輕易獲得網站的後台管理許可權,甚至網站伺服器的管理許可權。
2) XSS跨站腳本。檢測Web網站是否存在XSS跨站腳本漏洞,如果存在該漏洞,網站可能遭受Cookie欺騙、網頁掛馬等攻擊。
3)網頁掛馬。檢測Web網站是否被黑客或惡意攻擊者非法植入了木馬程序。
4)緩沖區溢出。檢測Web網站伺服器和伺服器軟體,是否存在緩沖區溢出漏洞,如里存在,攻擊者可通過此漏洞,獲得網站或伺服器的管理許可權。
5)上傳漏洞。檢測Web網站的上傳功能是否存在上傳漏洞,如果存在此漏洞,攻擊者可直接利用該漏洞上傳木馬獲得WebShell。
6)源代碼泄露。檢測Web網路是否存在源代碼泄露漏洞,如果存在此漏洞,攻擊者可直接下載網站的源代碼。
7)隱藏目錄泄露。檢測Web網站的某些隱藏目錄是否存在泄露漏洞,如果存在此漏洞,攻擊者可了解網站的全部結構。
8)資料庫泄露。檢測Web網站是否在資料庫泄露的漏洞,如果存在此漏洞,攻擊者通過暴庫等方式,可以非法下載網站資料庫。
9)弱口令。檢測Web網站的後台管理用戶,以及前台用戶,是否存在使用弱口令的情況。
10)管理地址泄露。檢測Web網站是否存在管理地址泄露功能,如果存在此漏洞,攻擊者可輕易獲得網站的後台管理地址。
11)網站性能檢測。檢測網站、子網站、欄目和重點頁面是否在線,記錄並統計該站點監測次數、可用次數、不可用次數及不可用的百分比,綜合統計站點的變更次數。
12)輿論信息檢測。
網路輿論信息是通過互聯網傳播的某些熱點、焦點問題,公眾對其所持有的較強影響力、傾向性的言論和觀點,簡單來說就是互聯網上傳播的一些信息公眾對其所持有的言論。它主要通過微博、新聞跟貼、轉貼,論壇、博客等進行傳播和強化。對企業來說如果是一些正面消息還好,如果是負面消息,企業可能會做一些危機公關,但問題的關鍵是企業可能不知道這些負面消息散落在互聯網的什麼地方。
網路輿論信息檢測系統可以幫助你找到消息散落的地方,以分析報告的形式顯示消息具體的位置。本系統提供話題自動發現、自動追蹤、24小時監控及預警機制等。
網路輿論信息監控系統依託自主研發的搜索引擎技術和文本挖掘技術,通過網頁內容的自動採集處理、敏感詞過濾、智能聚類分類、主題檢測、專題聚焦、統計分析,實現各單位對自己相關網路輿論監督管理的需要,最終形成輿論信息簡報、輿論信息專報、分析報告、移動快報,為決策層全面掌握輿情動態,做出正確輿論引導,提供分析依據。
13主機安全檢測。
1、身份鑒別
對登錄操作系統和資料庫系統的用戶進行身份標識和鑒別;
操作系統和資料庫系統管理用戶身份標識應具有不易被冒用的特點,口令長度至少八位以上。口令有復雜度要求,如同時包含字母、數字、特殊字元等。定期更換口令;
啟用登錄失敗處理功能,如:限定連續登錄嘗試次數、鎖定帳戶、審計登錄事件、設置連續兩次登錄的時間間隔等;
設置鑒別警示信息,描述未授權訪問可能導致的後果;
當對伺服器進行遠程管理時,採取必要措施,防止鑒別信息在網路傳輸過程中被竊聽;
為操作系統和資料庫的不同用戶分配不同的用戶名,確保用戶名具有唯一性;
採用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別,並且身份鑒別信息至少有一種是不可偽造的,例如以公私鑰對、生物特徵等作為身份鑒別信息。
2、自主訪問控制
依據安全策略控制主體對客體的訪問,如:僅開放業務需要的服務埠、設置重要文件的訪問許可權、刪除系統默認的共享路徑等;
根據管理用戶的角色分配許可權,實現管理用戶的許可權分離,僅授予管理用戶所需的最小許可權;
實現操作系統和資料庫系統特權用戶的許可權分離;
嚴格限制默認帳戶的訪問許可權,禁用或重命名系統默認帳戶,並修改這些帳戶的默認口令。及時刪除多餘的、過期的帳戶,避免共享帳戶的存在。
3、強制訪問控制
應對重要信息資源和訪問重要信息資源的所有主體設置敏感標記;
強制訪問控制的覆蓋范圍應包括與重要信息資源直接相關的所有主體、客體及它們之間的操作;
強制訪問控制的粒度應達到主體為用戶級,客體為文件、資料庫表/記錄、欄位級。
4、可信路徑
在系統對用戶進行身份鑒別時,系統與用戶之間能夠建立一條安全的信息傳輸路徑。
5、安全審計
審計范圍覆蓋到伺服器和重要客戶端上的每個操作系統用戶和資料庫用戶;
審計內容包括系統內重要的安全相關事件,如:重要用戶行為、系統資源的異常使用和重要系統命令的使用等;
安全相關事件的記錄包括日期和時間、類型、主體標識、客體標識、事件的結果等;
安全審計可以根據記錄數據進行分析,並生成審計報表;
保護審計進程避免受到未預期的中斷;
保護審計記錄避免受到未預期的刪除、修改或覆蓋等;
安全審計能夠根據信息系統的統一安全策略,實現集中審計。
6、剩餘信息保護
保證操作系統和資料庫管理系統用戶的鑒別信息所在的存儲空間,被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬碟上還是在內存中;
確保系統內的文件、目錄和資料庫記錄等資源所在的存儲空間,被釋放或重新分配給其他用戶前得到完全清除。
7、入侵防範
能夠檢測到對重要伺服器進行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,並在發生嚴重入侵事件時提供報警;
能夠對重要程序完整性進行檢測,並在檢測到完整性受到破壞後具有恢復的措施;
操作系統遵循最小安裝的原則,僅安裝需要的組件和應用程序,並通過設置升級伺服器等方式保持系統補丁及時得到更新。
8、惡意代碼防範
安裝防惡意代碼軟體,並及時更新防惡意代碼軟體版本和惡意代碼庫;
主機防惡意代碼產品具有與網路防惡意代碼產品不同的惡意代碼庫;
支持防惡意代碼的統一管理。
9、資源控制
通過設定終端接入方式、網路地址范圍等條件限制終端登錄;
根據安全策略設置登錄終端的操作超時鎖定;
對重要伺服器進行監視,包括監視伺服器的CPU、硬碟、內存、網路等資源的使用情況;
限制單個用戶對系統資源的最大或最小使用限度;
當系統的服務水平降低到預先規定的最小值時,能檢測和報警。
14)物理安全檢測。
1、物理位置的選擇
機房和辦公場地選擇在具有防震、防風和防雨等能力的建築內;
機房場地避免設在建築物的高層或地下室,以及用水設備的下層或隔壁。
2、物理訪問控制
機房出入口安排專人值守並配置電子門禁系統,鑒別進入的人員身份;
需進入機房的來訪人員經過申請和審批流程,並限制和監控其活動范圍;
對機房劃分區域進行管理,區域和區域之間設置物理隔離裝置,在重要區域前設置交付或安裝等過渡區域;
重要區域配置第二道電子門禁系統,控制、鑒別和記錄進入的人員身份。
3、防盜竊和防破壞
將主要設備放置在物理受限的范圍內;
對設備或主要部件進行固定,並設置明顯的不易除去的標記;
將通信線纜鋪設在隱蔽處,如鋪設在地下或管道中等;
對介質分類標識,存儲在介質庫或檔案室中;
利用光、電等技術設置機房的防盜報警系統,以防進入機房的盜竊和破壞行為;
對機房設置監控報警系統。
4、防雷擊
機房建築設置避雷裝置;
設置防雷保安器,防止感應雷;
機房設置交流電源地線。
5、防火
設置火災自動消防系統,自動檢測火情、自動報警,並自動滅火;
機房及相關的工作房間和輔助房採用具有耐火等級的建築材料;
機房採取區域隔離防火措施,將重要設備與其他設備隔離開。
6、防水和防潮
水管安裝,不穿過屋頂和活動地板下;
對穿過機房牆壁和樓板的水管增加必要的保護措施,如設置套管;
採取措施防止雨水通過機房窗戶、屋頂和牆壁滲透;
採取措施防止機房內水蒸氣結露和地下積水的轉移與滲透;
安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。
7、防靜電
設備採用必要的接地防靜電措施;
機房採用防靜電地板;
採用靜電消除器等裝置,減少靜電的產生。
8、濕度控制
機房設置溫濕度自動調節設施,使機房溫、濕度的變化在設備運行所允許的范圍之內。
9、電力供應
在機房供電線路上設置穩壓器和過電壓防護設備;
提供短期的備用電力供應(如UPS設備),至少滿足設備在斷電情況下的正常運行要求;
設置冗餘或並行的電力電纜線路為計算機系統供電;
建立備用供電系統(如備用發電機),以備常用供電系統停電時啟用。
10、電磁防護
應採用接地方式防止外界電磁干擾和設備寄生耦合干擾;
電源線和通信線纜應隔離,避免互相干擾;
對重要設備和磁介質實施電磁屏蔽;
C. 網站安全性如何檢測
網站安全性檢測技術屬於互聯網信息安全領域,有人說,在這個信息共享和個人隱私無處可藏的年代,安全變得越來越遙不可及,彷彿「不那麼重要」了!這種觀點,肯定了互聯網時代的共享精神主旨,但是卻忽略了分寸,任何事物都需要把握度的問題,超越了某個限度就會造成矛盾問題頻發。怎麼檢測網站是否安全_網站安全檢測——怎麼判斷網站是否安全
1、打開瀏覽器,網路搜索「360網站安全檢測」,如下圖。點擊第一個帶有官網字樣的結果進入360網站安全檢測-在線安全檢測,網站漏洞修復官方網站。
6、當然,如果您輸入的網址是可疑網址,就會不報告安全性問題。
D. 如何檢測一個網站是否有安全漏洞
掃描網站漏洞是要用專業的掃描工具,下面就是介紹幾種工具
1. Nikto
這是一個開源的Web伺服器掃描程序,它可以對Web伺服器的多種項目進行全面的測試。其掃描項目和插件經常更新並且可以自動更新。Nikto可以在盡可能短的周期內測試你的Web伺服器,這在其日誌文件中相當明顯。不過,如果你想試驗一下,它也可以支持 LibWhisker的反IDS方法。不過,並非每一次檢查都可以找出一個安全問題,雖然多數情況下是這樣的。有一些項目是僅提供信息類型的檢查,這種檢查可以查找一些並不存在安全漏洞的項目,不過Web管理員或安全工程師們並不知道。
2. Paros proxy
這是一個對Web應用程序的漏洞進行評估的代理程序,即一個基於Java的web代理程序,可以評估Web應用程序的漏洞。它支持動態地編輯/查看 HTTP/HTTPS,從而改變cookies和表單欄位等項目。它包括一個Web通信記錄程序,Web圈套程序,hash 計算器,還有一個可以測試常見的Web應用程序攻擊的掃描器。
3. WebScarab:
它可以分析使用HTTP和HTTPS協議進行通信的應用程序,WebScarab可以用最簡單地形式記錄它觀察的會話,並允許操作人員以各種方式觀查會話。如果你需要觀察一個基於HTTP(S)應用程序的運行狀態,那麼WebScarabi就可以滿足你這種需要。不管是幫助開發人員調試其它方面的難題,還是允許安全專業人員識別漏洞,它都是一款不錯的工具。
4. WebInspect:
這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助於確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web伺服器是否正確配置,並會嘗試一些常見的 Web攻擊,如參數注入、跨站腳本、目錄遍歷攻擊等等。
5. Whisker/libwhisker :
Libwhisker是一個Perla模塊,適合於HTTP測試。它可以針對許多已知的安全漏洞,測試HTTP伺服器,特別是檢測危險CGI的存在。 Whisker是一個使用libwhisker的掃描程序。
6. Burpsuite:
這是一個可以用於攻擊Web應用程序的集成平台。Burp套件允許一個攻擊者將人工的和自動的技術結合起來,以列舉、分析、攻擊Web應用程序,或利用這些程序的漏洞。各種各樣的burp工具協同工作,共享信息,並允許將一種工具發現的漏洞形成另外一種工具的基礎。
7. Wikto:
可以說這是一個Web伺服器評估工具,它可以檢查Web伺服器中的漏洞,並提供與Nikto一樣的很多功能,但增加了許多有趣的功能部分,如後端 miner和緊密的Google集成。它為MS.NET環境編寫,但用戶需要注冊才能下載其二進制文件和源代碼。
8. Acunetix Web Vulnerability Scanner :
這是一款商業級的Web漏洞掃描程序,它可以檢查Web應用程序中的漏洞,如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面,並且能夠創建專業級的Web站點安全審核報告。
9. Watchfire AppScan:
這也是一款商業類的Web漏洞掃描程序。AppScan在應用程序的整個開發周期都提供安全測試,從而測試簡化了部件測試和開發早期的安全保證。它可以掃描許多常見的漏洞,如跨站腳本攻擊、HTTP響應拆分漏洞、參數篡改、隱式欄位處理、後門/調試選項、緩沖區溢出等等。
10. N-Stealth:
N-Stealth是一款商業級的Web伺服器安全掃描程序。它比一些免費的Web掃描程序,如Whisker/libwhisker、 Nikto等的升級頻率更高。還要注意,實際上所有通用的VA工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件。N-Stealth主要為Windows平台提供掃描,但並不提供源代碼。
E. web安全測試主要測試哪些內容
一個完整的Web安全體系測試可以從部署與基礎結構,輸入驗證,身份驗證,授權,配置管理配置管理配置管理配置管理,敏感數據,會話管理,加密,參數操作,異常管理,審核和日誌記錄等幾個方面入手
F. 網站漏洞掃描工具推薦,其中兩款開源免費軟體你知道嗎
在如今互聯網的時代,互聯網的安危真真切切的影響到了我們的生活,在網路上,一直隱藏著許許多多的黑客,破壞網站的安防,挖漏洞來來找下一個金主,而網站則是不斷的使用著網站漏洞掃描工具檢查網站之中可能存在的隱患,防止有心人得逞,或者是造成網站的癱瘓,下面我們來介紹一下比較出名的網站漏洞掃描工具,在個人生活之中也可以使用的到。
一、Wireshark
這是一款開源的Web伺服器掃描工具,對網頁進行檢測,其中有著3300種潛在威脅檢測文件,包含625種伺服器的版本號,230中的伺服器問題的檢測,不過這個軟體的作者更新速度不穩定,對於新的網站的威脅可能檢測不到。不過本身的功能還是很強大的,針對危險的檢測和反偵測行為,躲避危險,並且隱藏自身的參數,將自己與危險隔離開來,並且檢測訪問的網站的問題。
G. 如何安全檢測Java Web應用網站漏洞
1、SQL注入漏洞
從SQL注入漏洞說起吧,在web漏洞里,SQL注入是最容易被利用而又最具有危害性的。怎麼快速的找到呢?先分析流程,就拿用戶查看文章這個流程為例:用戶訪問一個action,告訴它用戶想看ID為7的文章,這個action就會繼續完成前面所說的流程
2、暴露程序信息漏洞
這個漏洞是怎麼來的呢?我們需要從異常說起。有經驗的入侵者,可以從JSP程序的異常中獲取很多信息,比如程序的部分架構、程序的物理路徑、SQL注入爆出來的信息等,這個漏洞很容易防禦,卻很難快速定位漏洞文件。出現這樣漏洞的時候,通常是我們在寫代碼的時候,少了一些可能性的考慮而導致的。這樣的問題都是經驗造成的,而尋找漏洞也要通過經驗加運氣
3、AJAX暴露出來的漏洞
前面講SQL注入的時候說過的例子就是一個典型的情況,因為大多數網站不是在開發時就擁有Ajax技術的,都是後來看大家都用了,趕時髦加上。但是在加上的同時沒有意識到,在web上增加一個文件,就等於擴展了一點攻擊面。
4、業務邏輯漏洞
這個詞看起來挺抽象的,他和「暴露程序信息漏洞」有很多共同點,看名字就知道,應該是存在於業務邏輯層(service層)的漏洞。這樣的漏洞都和程序的運行邏輯有關。
5、XSS漏洞
這個漏洞也影響深遠,想要發現這樣的漏洞,除了在頁面上進行測試外,還要從流程上入手。用戶輸入有害信息後,信息保存到資料庫,從資料庫中讀出來丟給用戶時產生漏洞。也就是說我們有兩個過程可以攔截,就是保存到資料庫時,和從資料庫讀出來後交給用戶時。最快的方法是直接打開資料庫查看數據,如果數據沒有經過編碼直接放進了資料庫,那麼可能性就有了一半。剩下的一半更簡單,在action層搜索轉碼常用的字元,如果沒有,就很容易發現漏洞。即使有,也不用著急,在action層里慢慢找,很可能還有漏網之魚。
6、頁面層的邏輯漏洞
此類漏洞涵蓋面很大,包括「暴露不該暴露的數據」、「許可權控制的不精確」、「方便客戶的同時存在安全隱患」等等。這類漏洞就只能靠著自己的經驗,使用系統的每一個細小功能來尋找。