Ⅰ web網站安全策略 如何寫
第一部分 web的安全需求
1.1 Web安全的體系結構,包括主機安全,網路安全和應用安全;
1.2 Web瀏覽器和伺服器的安全需求;
在已知的web伺服器(包括軟硬體)漏洞中,針對該類型web伺服器的攻擊最少;
對伺服器的管理操作只能由授權用戶執行;
拒絕通過web訪問web伺服器上不公開發布的內容;
禁止內嵌在OS或者 web server軟體中的不必要的網路服務;
有能力控制對各種形式的.exe程序的訪問;
能夠對web操作進行日誌記錄,以便於進行入侵檢測和入侵企圖分析;
具有適當的容錯功能;
1.3 Web傳輸的安全需求
Web伺服器必須和內部網路隔離:
有四種實現方式,應選擇使用高性能的cisco防火牆實現隔離
Web伺服器必須和資料庫隔離;
維護一份web站點的安全拷貝:來自開發人員最終發布的版本(內容安全);
其次,存儲的地點是安全的(另一台獨立的位於防火牆之後的內網的主機);
還有,定期備份應該使用磁帶,可擦寫光碟等媒介;
1.4 Web面臨的威脅:信息泄露,拒絕服務,系統崩潰,跳板。
第二部分 web伺服器的安全策略
主機操作系統是web的直接支撐著,必須合理配置主機系統,為WEB 伺服器提供安全支持:
只提供必要的服務;
某種服務被攻擊不影響其它服務;
使用運行在其它主機上的輔助工具並啟動安全日誌;
設置web伺服器訪問控制規則:
通過IP,子網,域名來控制;
通過口令控制;
使用公用密鑰加密演算法;
設置web伺服器目錄許可權;
關閉安全性脆弱的web伺服器功能例如:自動目錄列表功能;符號連接等
謹慎組織web伺服器的內容:
鏈接檢查;
CGI程序檢測(如果採用此技術);
定期對web伺服器進行安全檢查;
輔助工具:SSH;
文件系統完整性檢測工具;
入侵檢測工具;
日誌審計工具;
第三部分 web攻擊與反攻擊
入侵檢測方法:
物理檢查;
緊急檢查;
追捕入侵者;
攻擊的類型:
拒絕服務;
第四部分 源代碼的安全及約束規則
不能留有後門程序和漏洞,包括系統架構是否合理,是否符合安全需求匯編反匯編、病毒反病毒。
最後,至於 cookies的安全、加密技術、web瀏覽器的安全、web伺服器的安全每個公司設置的規則都不一樣,因人而異。
Ⅱ 滲透測試需要學什麼
滲透測試與入侵的最大區別
滲透測試:出於保護系統的目的,更全面地找出測試對象的安全隱患。
入侵:不擇手段地(甚至是具有破壞性的)拿到系統許可權。
一般滲透測試流程
流程並非萬能,只是一個工具。思考與流程並用,結合自己經驗。
2.1 明確目標
確定范圍:測試目標的范圍,ip,域名,內外網。
確定規則:能滲透到什麼程度,時間?能否修改上傳?能否提權等。
確定需求:web應用的漏洞(新上線程序)?業務邏輯漏洞(針對業務的)?人員許可權管理漏洞(針對人員、許可權)?等等。(立體全方位)
根據需求和自己技術能力來確定能不能做,能做多少。
2.2 信息收集
方式:主動掃描,開放搜索等
開放搜索:利用搜索引擎獲得,後台,未授權頁面,敏感url等。
基礎信息:IP,網段,域名,埠
系統信息:操作系統版本
應用信息:各埠的應用,例如web應用,郵件應用等等
版本信息:所有這些探測到的東西的版本。
服務信息
人員信息:域名注冊人員信息,web應用中網站發帖人的id,管理員姓名等。
防護信息:試著看能否探測到防護設備
2.3 漏洞探索
利用上一步中列出的各種系統,應用等使用相應的漏洞。
方法:
1.漏掃,awvs,IBM appscan等。
2.結合漏洞去exploit-db等位置找利用。
3.在網上尋找驗證poc。
內容:
系統漏洞:系統沒有及時打補丁
Websever漏洞:Websever配置問題
Web應用漏洞:Web應用開發問題
其它埠服務漏洞:各種21/8080(st2)/7001/22/3389
通信安全:明文傳輸,token在cookie中傳送等。
2.4 漏洞驗證
將上一步中發現的有可能可以成功利用的全部漏洞都驗證一遍。結合實際情況,搭建模擬環境進行試驗。成功後再應用於目標中。
自動化驗證:結合自動化掃描工具提供的結果
手工驗證,根據公開資源進行驗證
試驗驗證:自己搭建模擬環境進行驗證
登陸猜解:有時可以嘗試猜解一下登陸口的賬號密碼等信息
業務漏洞驗證:如發現業務漏洞,要進行驗證