1. 网站的安全威胁
- 非授权访问:网站认证机制缺陷导致网站被非授权访问,攻击者通过口令猜测及“撞库”攻击手段获取网站的访问权限
- 网页篡改:网站相关组件存在缺陷,被攻击者利用,恶意篡改网页
- 数据泄露:网站的访问控制措施不当,导致外部非授权用户获取敏感信息
- 恶意代码:网页木马是一个含有恶意功能的网页文件,其目的让使用者下载设置好的木马程序并执行,最终导致数据泄露、终端被黑客远程控制
- 网站假冒:通过域名欺骗、网站劫持、中间人等手段诱骗网站用户访问敏感信息或提供恶意服务
- 拒绝服务:常见的有UDP洪水、ICMP洪水、SYN洪水、HTTP洪水
- 网站后台管理安全威胁:网站后台是控制中心,一旦失去控制,网站就难以保障安全
2. Apache Web安全分析
2.1. Apache概述
- httpd.conf:是Apache主配置文件,httpd程序启动会先读取httpd.conf
- conf/srm.conf:数据配置文件,主要设置WWW server读取文件的目录、索引等
- conf/access.conf:负责基本的读取文件控制,限制目录所能执行的功能及访问目录的权限设置
2.2. Apache安全机制
- apache web本地文件安全:apache安装后默认设置文件属主和权限是比较合理与安全的。
- aoache web模块管理机制:apache采用模块化结构,使得apache可以灵活配置
- apache web认证机制:apache提供了非常简单方便的用户认证机制
- 连接耗尽对应机制:减少apache超时、增大客户端连接数,限制同一个IP最大连接数、多线程下载保护
- apache web自带访问机制:基于IP地址或域名的访问控制
- apache web审计和日志:审计记录存放在access.log和error.log
- apache web服务器防范dos:主要是通过Apache Dos evasive Maneuvers Module来实现
3. IIS安全分析
3.1. IIS安全分析
- IIS的典型安全威胁:非授权访问、网络蠕虫、网页篡改、拒绝服务、IIS软件漏洞
3.2. IIS安全机制
- IIS认证机制:匿名认证、基本验证、证书验证、数字签名认证、IIS证书认证、Windows认证
- IIS访问控制:IIS具有请求过滤、URL授权控制、IP 地址限制、文件授权访问等控制措施
- IIS日志审计:能够记录Web访问情况,IIS相关日志升级还有操作系统、数据库、应该服务等
4. Web应用安全分析与防护
- 技术安全漏洞方向:因技术处理不当而产生的安全隐患如SQL注入、跨站脚本、恶意文件执行等
- 业务逻辑安全漏洞方向:业务流程考虑不周或者不当而产生的安全隐患如找回用户密码的缺陷攻击者可以重置任意的密码;短信炸弹漏洞,攻击者可以无限地利用接口发送短信,恶意消耗企业短信资费,
4.1. DWASP Top 10
- A1-注入漏洞:攻击者构造恶意数据输入使解析器在没有适当授权的情况下执行非预期命令或访问数据
- A2-遭受破坏的认证:web存在不限制身份认证尝试、会话令牌泄漏、会话超时设置不正确、口令复杂度不高等从而导致web应用认证机制遭到破坏
- A3-敏感数据暴露:攻击者通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为
- A4-XML外部实体引用漏洞:攻击者可利用外部实体窃取使用URL文件处理器的内部文件和共享文件、监听内部扫描端口执行远程代码和实施拒绝服务攻击
- A5-受损害的访问控制漏洞:未对通过信息验证的用户实施恰当的访问控制,导致访问控制失效。
- A6-安全配置措施:包括不安全的默认配置、不完整的临时配置、开源云存储、错误的HTTP标头配置以及包含敏感信息的详细错误信息
- A7-跨站脚本漏洞:当应用程序的新网页中包含不受信任的、未经过验证或转义的数据时,就会出现XSS缺陷
- A8-非安全反序列化漏洞:即使反序列化缺陷不会导致远程代码执行、攻击者也可以利用他们来执行攻击、包括重报攻击、注入攻击和特权升级攻击
- A9-使用含有已知漏洞的组件:漏洞组件(例如:库、框架或其他软件模块)拥有应用程序相同权限
- A10-非充分的日志记录:不充分的日志记录和监控,以及事件响应缺陷或无效的集成,使攻击者能够进一步攻击系统,保持攻击活动连续性或转向更多系统以及篡改、提取或销毁数据
4.2. Web应用漏洞防护
- sql注入:对应用程序的输入进行安全过滤、设置应用程序最小权限、部署数据防火墙和数据库审计系统、屏蔽应用程序错误提示信息、对开源Web程序做安全适配性改造
- 文件上传漏洞:设置上传目录为不可执行、检查上传文件的安全性
- 跨站攻击脚本:利用网站中的漏洞,在URL注入一些恶意的脚本,欺骗用户,经典的攻击方式有:
-
- HTML内容被替换、嵌入脚本内容、强制网页加载外部脚本等
5. 网站安全保护机制与技术方案
5.1. 网站保护机制
- 身份鉴别:常见的技术措施如用户名/口令、U盾、人脸识别以及基于证书的统一身份管理
- 访问控制:常见的技术措施有防火墙、数据加密以及操作系统、数据库、web软件、web应用程序等内置的访问控制措施综合集成实现
- 网站内容安全:确保网站符合所在区域的法律法规及政策要求,避免网站被恶意攻击者利用,技术措施如网站文字内容安全检查、网页防篡改、敏感词汇过滤
- 网站数据安全:确保网站所承受数据资源的安全性、防止数据泄露、完整性破坏以及用户隐私泄露,技术措施有数据隔离、数据加密、ssl、数据备份以及隐私保护
- 网站安全防护:目标是增强网站抗攻击能力、能识别web攻击类型及阻断攻击行为,包括非授权访问防护、暴力破解防护、webshell识别和拦截、目录遍历、sql注入攻击防护
- 网站安全审计与监控:掌握网站的安全运行状况、保留相关日志数据,提供事后的攻击取证及应急恢复指导,技术措施有syslog、web流量截取、网页篡改或木马检查、web入侵检测、电子取证等
- 网站应急响应:常见的技术措施网页防篡改、网站域名服务灾备、网络流量清洗、灾备中心、网络攻击取证
- 网站合规管理:确保符合相关规定要求、保证网站的合法性、网站管理合规包括网站备案、网站防护伪标识、网站等保测评等
- 网站安全测评:主要技术措施有漏洞扫描、渗透测试、代码审核、风险评估
- 网站安全管理机制:确保网站的安全利益相关者能够承担网站安全责任,落实网站安全措施持续改进网站安全管理工作