一個網(wǎng)站，安全問題來自于多方面。如果只是保證了單一的任何一方面，都不可能保證絕對的安全。所以需要使用諸多的技術(shù)手段來保證網(wǎng)站的全面安全，比如最重要的就是進(jìn)行預(yù)先的檢測、過程中的防護(hù)以及事后的響應(yīng)：前者可理解為如何找出網(wǎng)站的漏洞，而后兩者則是發(fā)現(xiàn)漏洞后做出的安全防護(hù)和及時的響應(yīng)。這也正是目前市場上出現(xiàn)眾多WEB安全產(chǎn)品的原因。 

本期門診就特邀啟明星辰的兩位技術(shù)專家，他們可以幫助大家解答網(wǎng)站安全諸多方面的問題，特別會將涵蓋了檢測、防護(hù)、響應(yīng)的全方位網(wǎng)站安全保護(hù)的技術(shù)手段和大家一起進(jìn)行深入交流和探討。希望能夠?yàn)榇蠹以诟纳凭W(wǎng)站安全方面的工作提供參考，并采取相應(yīng)的防范措施。

技術(shù)門診是51CTO社區(qū)品牌欄目，每周邀請一位客座專家，為廣大技術(shù)網(wǎng)友解答疑問。從熱門技術(shù)到前沿知識，從技術(shù)答疑到職業(yè)規(guī)劃。每期一個主題，站在最新最熱的技術(shù)前沿為你引航！

[[11700]]

姓　　名：孫  薇

擅長領(lǐng)域：網(wǎng)絡(luò)安全、應(yīng)用安全

北京啟明星辰信息安全技術(shù)有限公司安全研究中心研究部部門經(jīng)理。具有十三年的信息安全領(lǐng)域研究經(jīng)驗(yàn)，承接多項(xiàng)攻關(guān)類研究項(xiàng)目，并負(fù)責(zé)公司在Web安全檢測領(lǐng)域的平臺開發(fā)、服務(wù)支持等相關(guān)工作。。

[[11701]]

姓　　名：孫陽波

擅長領(lǐng)域：網(wǎng)絡(luò)安全、應(yīng)用安全、操作系統(tǒng)安全

北京啟明星辰信息安全技術(shù)有限公司高級產(chǎn)品經(jīng)理。加入啟明星辰以來，先后擔(dān)任過多條產(chǎn)品線的產(chǎn)品管理工作，針對網(wǎng)絡(luò)安全、應(yīng)用安全、操作系統(tǒng)安全等領(lǐng)域有著全面的了解，參與了多個信息安全項(xiàng)目的安全規(guī)劃與解決方案設(shè)計(jì)?，F(xiàn)任啟明星辰入侵防御產(chǎn)品線產(chǎn)品經(jīng)理，針對攻擊防御、Web應(yīng)用安全領(lǐng)域進(jìn)行深入研究。

查看本期門診精彩實(shí)錄: http://doctor.51cto.com/develop-175.html 

參與最新技術(shù)門診：http://doctor.51cto.com/

下面精選本期網(wǎng)友提問與專家解答，以供網(wǎng)友學(xué)習(xí)參考。

Q：曾經(jīng)了解過一些網(wǎng)站的安全的東西。最近想想關(guān)于防火墻的東西。對于網(wǎng)站的安全來說，代碼安全和系統(tǒng)安全是很重要的。代碼安全就靠人為編寫代碼的安全。而系統(tǒng)安全的話，可能是FW，IPS，IDS的問題。目前的防火墻都是居于規(guī)則來控制的。想問問目前的FW有沒有采用比價新的技術(shù)的?。坑袥]有比居于規(guī)則更好的？

A：您好！個人拙見，防火墻的技術(shù)應(yīng)該包括：基于規(guī)則、基于狀態(tài)、基于行為、基于應(yīng)用，這幾類層次。前兩類技術(shù)大家都很熟悉，就是目前已經(jīng)非常成熟的“基于規(guī)則的狀態(tài)防火墻”技術(shù)?；谛袨?，就是基于網(wǎng)絡(luò)攻擊行為，例如碎片攻擊、DoS/DDoS攻擊、DNS攻擊等等，這類功能實(shí)現(xiàn)包含了一些統(tǒng)計(jì)學(xué)及行為分析的技術(shù)?；趹?yīng)用，就是應(yīng)用層的防護(hù)，一般就是深度檢測技術(shù)。防火墻功能向高層延伸是一個必然的趨勢，例如UTM、IPS都是防火墻由網(wǎng)絡(luò)層向高層協(xié)議延伸的產(chǎn)物。在啟明星辰，天清漢馬UTM、天清漢馬FW、天清NIPS等產(chǎn)品，都在“基于規(guī)則的狀態(tài)防火墻”技術(shù)的基礎(chǔ)上，不同程度提供了基于行為、基于應(yīng)用等更高層次的技術(shù)，以滿足用戶針對網(wǎng)絡(luò)攻擊、應(yīng)用層防護(hù)、上網(wǎng)行為管理等方面的安全需求。

Q：網(wǎng)站安全都分哪些呢？全新搭建一個網(wǎng)站，需要注意哪些方面，之前幾次搭建網(wǎng)站總是被人入侵，不知道怎么防御好，好像HK就是盯上我了似的，很痛苦。。謝謝專家慷慨解答呀。

A：網(wǎng)站安全工作總的來說主要從三個方面開展：P、D、R，即防護(hù)、檢測和響應(yīng)。

1. P。包括做好服務(wù)器本身的安全加固。選擇一個口碑比較好的Web IPS，這種產(chǎn)品通常可以阻斷掉SQL注入、XSS等攻擊，即便后臺的web程序存在這樣的漏洞，也不會被黑客發(fā)現(xiàn)或利用。

2. D。網(wǎng)站上線前最好做一次全面的白盒測試，即對網(wǎng)站源代碼做全面檢測、加固。上線后，選擇定期的黑盒檢查服務(wù)。

3. R。選擇好一個專業(yè)的安全服務(wù)團(tuán)隊(duì)，簽署一個應(yīng)急響應(yīng)的協(xié)議，一旦出了問題，這些安全團(tuán)隊(duì)會及時遠(yuǎn)程或到現(xiàn)場解決問題，包括溯源、恢復(fù)、加固等。

對于全新搭建網(wǎng)站來說，特別要注意網(wǎng)站代碼的安全，盡可能選擇正規(guī)的網(wǎng)站開發(fā)團(tuán)隊(duì)，不輕易使用開源程序，注意對輸入輸出權(quán)限的控制。

Q：有幾個問題需向兩位請教！個人理解的“網(wǎng)站安全”，只要是影響到網(wǎng)站無法訪問和訪問速度慢的因素都應(yīng)包含在網(wǎng)站安全范圍之列。今天我想請教專家的問題也就是圍繞個人的理解展開，如有跑題，請多多包含。

1、軟件環(huán)境的安全，網(wǎng)站運(yùn)行在軟件環(huán)境之上，如apache和操作系統(tǒng)等，這些軟件環(huán)境本身的安全漏洞或者被破壞如何應(yīng)對？最近有消息說某個軟件環(huán)境就有文件漏洞。

2、硬件環(huán)境的安全：設(shè)計(jì)到物理上的安全，如硬盤壞，服務(wù)器down機(jī)、網(wǎng)絡(luò)線路問題等。如何保證硬件環(huán)境出現(xiàn)故障依然保證網(wǎng)站繼續(xù)運(yùn)行呢？

3、數(shù)據(jù)庫環(huán)境的安全;動態(tài)網(wǎng)站都有數(shù)據(jù)庫支持，這些數(shù)據(jù)庫性能如何，并發(fā)處理能力如何，決定了網(wǎng)站運(yùn)行的效率。有無方案，一旦數(shù)據(jù)庫崩潰如何處理？

4、高突發(fā)訪問、南北訪問安全：又如何處理呢？

語言組織比較亂，文字水平不高，多多體諒。安全本身是個很廣而且泛的東西，所以問的也比較的雜，哈哈難怪我語無倫次了。

A：問題1.軟件環(huán)境安全，針對操作系統(tǒng)及發(fā)布程序漏洞，建議您做以下工作：

（1）及時打補(bǔ)丁，進(jìn)行預(yù)防；

（2）對服務(wù)器和網(wǎng)絡(luò)進(jìn)行監(jiān)控，及時發(fā)現(xiàn)問題；

（3）設(shè)定合理的訪問權(quán)限和規(guī)則，阻止一部分0day或者其他漏洞的攻擊生效；

（4）部署Web IPS或Web應(yīng)用安全網(wǎng)關(guān)，面向操作系統(tǒng)及發(fā)布程序漏洞，阻斷針對漏洞的掃描與探測行為，并實(shí)現(xiàn)Web入侵防御、虛擬補(bǔ)丁等防護(hù)職能。

問題2.硬件環(huán)境安全，首先建議熟悉常見硬件問題的排查處理方法、掌握軟件問題的快速修復(fù)方法。然后，一方面可以建立服務(wù)器高可靠性工作模式，即搭建服務(wù)器主備工作狀態(tài)或者服務(wù)器集群，在某臺服務(wù)器出現(xiàn)硬件問題時迅速切換、不影響網(wǎng)站正常運(yùn)行；另一方面也可以利用服務(wù)器虛擬化技術(shù)，不僅某臺服務(wù)器在出現(xiàn)硬件問題時不會影響網(wǎng)站正常運(yùn)行，同時在出現(xiàn)軟件問題時也能實(shí)現(xiàn)迅速切換及網(wǎng)站的重新發(fā)布。

問題3.數(shù)據(jù)庫環(huán)境的安全，防止數(shù)據(jù)庫崩潰，需要在代碼設(shè)計(jì)、數(shù)據(jù)庫設(shè)計(jì)、服務(wù)器選型、擴(kuò)容性角度時充分估算到未來可能遇到的查詢、入庫峰值流量，中大型網(wǎng)站最好選擇商用數(shù)據(jù)庫，并在代碼層面進(jìn)行優(yōu)化，如網(wǎng)站分層分別進(jìn)行封裝等。防止數(shù)據(jù)庫崩潰后帶來的損失，最好的辦法就是勤備份，或者是部署數(shù)據(jù)容災(zāi)備份系統(tǒng)。在網(wǎng)站系統(tǒng)中，數(shù)據(jù)庫的性能和服務(wù)器操作系統(tǒng)、Web應(yīng)用系統(tǒng)、數(shù)據(jù)庫設(shè)計(jì)等幾方面息息相關(guān)。因此，不建議單獨(dú)只站在數(shù)據(jù)庫品牌、軟件版本角度去獨(dú)立評價數(shù)據(jù)庫在真實(shí)應(yīng)用中的性能。

問題4.高突發(fā)訪問：在問題3中已經(jīng)有回答。還可以考慮服務(wù)器集群、服務(wù)器虛擬化、負(fù)載均衡等手段。有時有的高突發(fā)訪問不一定代表是正常的網(wǎng)站訪問行為，如DDoS攻擊，可以考慮部署UTM/FW/IPS等安全產(chǎn)品進(jìn)行防御。

問題5.南北訪問安全：主要需要解決原電信、網(wǎng)通線路的訪問速度問題。這塊我的見解并不是很深、不能給出更多建議，建議可以采取的技術(shù)手段有：智能DNS、鏈路轉(zhuǎn)換、帶寬保證、設(shè)備冗余等。

Q：剛好有點(diǎn)時間，再請教下，現(xiàn)在都講一體化，一體化打印復(fù)印傳真機(jī)，utm也是一個一體化的東西，i服務(wù)t管理一體化解決方案。專家建議在啟明設(shè)備和其他供應(yīng)商的基礎(chǔ)上給個“網(wǎng)站安全”的一體化的解決方案。當(dāng)然是個可以用的，不是銷售員給的那種方案。最好是“鸚鵡教程”一般。

A：網(wǎng)站安全，是個系統(tǒng)化工程，包含事前、事中、事后整個過程。每個過程都需要部署相關(guān)安全產(chǎn)品、或者是從安全管理角度進(jìn)行加強(qiáng)。啟明星辰提供的《網(wǎng)站安全解決方案》主要是基于網(wǎng)站安全評估、入侵防護(hù)的角度給出了建議。

在啟明星辰提供的《網(wǎng)站安全解決方案》基礎(chǔ)上，如果您有更高級別的網(wǎng)站建設(shè)要求，建議還可以在網(wǎng)站安全評估、入侵防護(hù)的基礎(chǔ)上，采取以下手段或措施：

1.專業(yè)的網(wǎng)頁防篡改產(chǎn)品：通過系統(tǒng)級的目錄文件修改看護(hù)進(jìn)程監(jiān)控網(wǎng)站是否被篡改，或者通過文件安全保護(hù)功能，對主目錄文件進(jìn)行鎖定，只允許網(wǎng)站發(fā)布系統(tǒng)才可以修改文件。這種網(wǎng)頁防篡改技術(shù)是基于事前的，不同于傳統(tǒng)的網(wǎng)頁防篡改產(chǎn)品，可以與Web入侵防御系統(tǒng)構(gòu)成雙重防線。

2.數(shù)據(jù)容災(zāi)備份系統(tǒng)：面向業(yè)務(wù)連續(xù)性。目前絕大多數(shù)網(wǎng)站是以動態(tài)網(wǎng)頁為主的，其服務(wù)器承載了大量的數(shù)據(jù)庫數(shù)據(jù)、文件數(shù)據(jù)，部署數(shù)據(jù)容災(zāi)備份系統(tǒng)，可以通過在異地建立和維護(hù)一個備份存儲系統(tǒng)，利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對災(zāi)難性事件的抵御能力。能夠有效防范由于管理員在本地誤操作、服務(wù)器物理損壞、或者其它方式造成的數(shù)據(jù)文件刪除、丟失等情況造成的損失。

3.數(shù)據(jù)庫審計(jì)產(chǎn)品：面向合規(guī)管理，針對所有對數(shù)據(jù)庫進(jìn)行的操作進(jìn)行記錄，這些行為通常是不包含攻擊特征的，對數(shù)據(jù)庫修改行為追蹤、溯源，啟明星辰有專門的數(shù)據(jù)庫審計(jì)產(chǎn)品。

4.專業(yè)的負(fù)載均衡設(shè)備：面向應(yīng)用交付，優(yōu)化針對服務(wù)器的訪問質(zhì)量、提升可交付能力，這對于很多大型網(wǎng)站來講很關(guān)鍵。

5.嚴(yán)格安全管理制度，規(guī)范網(wǎng)頁代碼質(zhì)量，對操作系統(tǒng)及網(wǎng)站發(fā)布程序的漏洞及脆弱點(diǎn)進(jìn)行修補(bǔ)。

Q：1、我目前手里有貴公司的產(chǎn)品，是通過別的軟件公司買來的，這個軟件公司破產(chǎn)了！現(xiàn)在想投入使用，請問怎么處理？這個問題務(wù)必回答，我可是你們的客戶！

2、我們是路由器——防火墻——三層交換——內(nèi)網(wǎng)/外網(wǎng)。貴公司的產(chǎn)品放在哪個環(huán)節(jié)

3、貴公司的產(chǎn)品特色在哪？

A：您好！關(guān)于問題1：啟明星辰在每個省會城市都設(shè)有辦事處，您可以和您所在省區(qū)的辦事處直接聯(lián)系，您可以撥打啟明星辰服務(wù)熱線：800-810-6038，咨詢辦事處的聯(lián)系方式。

關(guān)于問題2：啟明星辰公司擁有針對網(wǎng)絡(luò)邊界至服務(wù)器、終端PC全系列的安全產(chǎn)品，在貴單位已部署防火墻并不改變當(dāng)前網(wǎng)絡(luò)拓?fù)涞那疤嵯?，您可以在防火墻和交換機(jī)之間部署天清網(wǎng)絡(luò)IPS，針對來自外網(wǎng)的4~7層入侵攻擊進(jìn)行防御，同時也可起到網(wǎng)絡(luò)防病毒、P2P及IM管理等作用；您可以在服務(wù)器前部署天清服務(wù)器IPS，針對所有服務(wù)器攻擊尤其是Web攻擊進(jìn)行防御；您可以在內(nèi)網(wǎng)部署天珣終端安全管理產(chǎn)品，避免來自內(nèi)部的病毒、木馬、疑似攻擊與未知病毒的侵襲并確保專機(jī)專用、減少核心信息資產(chǎn)失竊的可能；您也可以在交換機(jī)處旁路部署天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，針對業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行合規(guī)操作審計(jì)。

關(guān)于問題3：啟明星辰公司每款產(chǎn)品都有其獨(dú)有特色，總體歸納如下：

1. 天清漢馬一體化安全網(wǎng)關(guān)：“簡單”為核心的UTM，設(shè)計(jì)一體化、防御一體化、管理一體化；

2. 天闐入侵檢測系統(tǒng)：采用基于原理及特征相結(jié)合的檢測機(jī)制，保障檢測精度。規(guī)范的后繼服務(wù)支撐體系，確保對新型事件的快速準(zhǔn)確響應(yīng)；

3. 天清入侵防御系統(tǒng)WIPS：采用基于原理及特征相結(jié)合的檢測機(jī)制，優(yōu)秀的SQL注入、跨站腳本等Web攻擊行為的檢測和防御能力；

4. 天清入侵防御系統(tǒng)NIPS：除了基礎(chǔ)的IPS功能外，還具有網(wǎng)絡(luò)病毒檢測及多種路由功能，更加迎合網(wǎng)絡(luò)邊界部署的IPS需求；

5. 天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)：最廣泛數(shù)據(jù)庫協(xié)議支持，數(shù)據(jù)庫語句語義解析、高速事件入庫、多層關(guān)聯(lián)分析；

6. 安星：專業(yè)支持團(tuán)隊(duì)的外援保障，解決及時響應(yīng)問題。

7. 天珣終端安全管理系統(tǒng)：最全面的準(zhǔn)入控制功能，基于企業(yè)級主機(jī)防火墻的終端安全管理。

Q：專家,你好!在此我想問的是,一般在一個網(wǎng)絡(luò)邊緣都要放置防火墻等設(shè)備.它跟一些接入網(wǎng)設(shè)備里的SNMP,及ACL有什么區(qū)別?一直以來,感安這一塊東西基于路由部分要多一些,而個人現(xiàn)階段正在對交換路由相關(guān)產(chǎn)品有些熟悉.安全主要就是防護(hù)接入網(wǎng),園區(qū)網(wǎng),還是IDC網(wǎng)要多一些?

A：問題1:防火墻與接入網(wǎng)設(shè)備中ACL的區(qū)別：我覺得主要有以下幾個區(qū)別：

前者基于狀態(tài)檢測包過濾并可進(jìn)行應(yīng)用層深度檢測，后者基于包過濾即簡單的訪問控制規(guī)則、只對網(wǎng)絡(luò)層數(shù)據(jù)做處理；

前者是專門的硬件訪問控制設(shè)備、有專門優(yōu)化防火墻功能的硬件、軟件也為包過濾做了優(yōu)化、整機(jī)所有計(jì)算資源專門為訪問控制功能服務(wù)、能夠達(dá)到高性能，后者則是接入網(wǎng)設(shè)備中的功能模塊、開啟后會影響到設(shè)備正常的路由、轉(zhuǎn)發(fā)性能，尤其是訪問控制規(guī)則的增加對設(shè)備的性能影響最為明顯；

前者可以防御更多攻擊，如DDoS等，而后者只能做基礎(chǔ)的訪問控制；

前者可支持多種告警方式、豐富的事件查詢方式幫助管理員了解安全狀況、可指定復(fù)雜的安全規(guī)則，而后者在此方面的功能是弱化的，也不易讀懂。

問題2:

不論是接入網(wǎng)、園區(qū)網(wǎng)、IDC網(wǎng)或者是其它網(wǎng)絡(luò)，都有安全防護(hù)需求，只是針對不同的網(wǎng)絡(luò)、因其承載性質(zhì)的不同，都有不同針對性的解決方案。例如：接入網(wǎng)會更加關(guān)注來自外部的威脅、會側(cè)重網(wǎng)絡(luò)邊界安全設(shè)備的部署，如FW、UTM、IPS、IDS、上網(wǎng)行為管理等；園區(qū)網(wǎng)除了在網(wǎng)絡(luò)邊界處做安全防護(hù)外，更加關(guān)注來自內(nèi)部的威脅、更加關(guān)注對內(nèi)部人員的要求，會側(cè)重部署一些增強(qiáng)內(nèi)控合規(guī)管理的產(chǎn)品，如終端安全管理系統(tǒng)、業(yè)務(wù)及數(shù)據(jù)庫審計(jì)系統(tǒng)等；IDC網(wǎng)則更加關(guān)注網(wǎng)站主機(jī)的防護(hù)，會側(cè)重進(jìn)行網(wǎng)站安全評估，部署網(wǎng)站主機(jī)入侵防護(hù)、網(wǎng)站主機(jī)運(yùn)維審計(jì)、網(wǎng)站容災(zāi)備份、負(fù)載均衡等產(chǎn)品，同時也會從物理角度加強(qiáng)主機(jī)機(jī)房的安全。

Q：網(wǎng)站備份  網(wǎng)站機(jī)房維護(hù)應(yīng)該注意是么呢？

A：1.關(guān)于網(wǎng)站備份：網(wǎng)站備份最應(yīng)該注意的就是“定期”，所謂“定期”就是按時，具體的備份間隔可以根據(jù)網(wǎng)站自身的情況而定，如果是更新較快的網(wǎng)站，建議1天做1次備份，最簡單的方法就是將網(wǎng)站文件夾整體備份，可以選擇按日期歸類或者每天對前一天的文件夾文件進(jìn)行覆蓋，此種備份方法能夠?qū)撁嫖募案郊募M(jìn)行備份，但不能對數(shù)據(jù)庫進(jìn)行備份，如果對數(shù)據(jù)庫進(jìn)行備份，則還需要網(wǎng)站自身能夠支持?jǐn)?shù)據(jù)文件的導(dǎo)出，如Discuz論壇。還有一種方法，就是部署容災(zāi)備份系統(tǒng)，通過在異地建立和維護(hù)一個備份存儲系統(tǒng)，利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對災(zāi)難性事件的抵御能力。

2.網(wǎng)站機(jī)房維護(hù)：要熟悉常見硬件問題的排查處理方法、掌握軟件問題的快速修復(fù)方法，同時針對管理員針對服務(wù)器的日常運(yùn)維行為，需要部署安全審計(jì)系統(tǒng)對管理員的操作進(jìn)行審計(jì)，面向合規(guī)、針對誤操作、惡意操作等行為進(jìn)行追蹤溯源。當(dāng)然，網(wǎng)站機(jī)房還需要制訂嚴(yán)格的規(guī)章制度與管理措施，例如：嚴(yán)格的機(jī)房進(jìn)入措施、嚴(yán)格的用戶權(quán)限設(shè)置、嚴(yán)格的管理員身份認(rèn)證手段、定期的管理維護(hù)等。

Q：請問下關(guān)于CSRF和GIFAR攻擊和WEB蠕蟲和富文本攻擊如何進(jìn)行手動測試？和對應(yīng)的防護(hù)方法。

A：1.CSRF

測試：構(gòu)建一個實(shí)際環(huán)境，例如網(wǎng)站A、網(wǎng)頁B（包含網(wǎng)站A URL地址的html頁面即可），用戶登錄網(wǎng)站A、接著訪問網(wǎng)頁B，驗(yàn)證同時是否自動又訪問了網(wǎng)站A。

防御：個人用戶則需要養(yǎng)成良好的習(xí)慣，比如登錄銀行、重要業(yè)務(wù)系統(tǒng)等敏感Web系統(tǒng)時不要同時登錄其它網(wǎng)站、網(wǎng)頁，退出敏感Web系統(tǒng)時一定要注銷，不要使用瀏覽器的用戶名/密碼記錄功能。從開發(fā)角度，企業(yè)進(jìn)行Web業(yè)務(wù)系統(tǒng)、網(wǎng)站設(shè)計(jì)時，最好加入驗(yàn)證碼、token等判斷因素，盡可能使用Post而不是Get。

2.GIFAR

制止這種攻擊可以依靠Web站點(diǎn)加裝新的文件過濾器或者通過限制Java虛擬機(jī)實(shí)現(xiàn)，Sun在08年也發(fā)布過補(bǔ)丁。

3.Web蠕蟲

測試：編寫及測試方法網(wǎng)上已有很多介紹，你可以參考。

防御：Web蠕蟲大多數(shù)是利用XSS漏洞，而CSRF攻擊結(jié)合Javascript劫持技術(shù)完全可以制作自動傳播的Web蠕蟲，后者比前者更具威脅性。從開發(fā)角度，企業(yè)進(jìn)行Web業(yè)務(wù)系統(tǒng)、網(wǎng)站設(shè)計(jì)時，一定要從Web應(yīng)用開發(fā)的角度來避免，規(guī)范代碼質(zhì)量、提高安全性，降低后期被植入可能。

4.富文本攻擊

測試：例如利用XSS漏洞，讓不支持富文本的區(qū)域進(jìn)行了富文本的執(zhí)行，測試方法在網(wǎng)上已有很多介紹，你可以參考。

防御：從開發(fā)角度，企業(yè)進(jìn)行Web業(yè)務(wù)系統(tǒng)、網(wǎng)站設(shè)計(jì)時，一定要從Web應(yīng)用開發(fā)的角度來避免，如對所有用戶提交內(nèi)容進(jìn)行可靠的輸入驗(yàn)證，實(shí)現(xiàn)Session標(biāo)記、CAPTCHA系統(tǒng)或者HTTP引用頭檢查，確認(rèn)接收的的內(nèi)容被妥善的規(guī)范化，僅包含最小的、安全的Tag，去掉任何對遠(yuǎn)程內(nèi)容的引用，使用HTTP only的cookie等。當(dāng)然以上方法，人與系統(tǒng)間的交互被降到極致，僅適用于信息發(fā)布型站點(diǎn)。  

其實(shí)，以上各種針對網(wǎng)站的應(yīng)用層攻擊，有訪問惡意網(wǎng)站造成的，但絕大部分來源于合法網(wǎng)站存在漏洞，如SQL注入、XSS漏洞等，被人利用后針對網(wǎng)頁內(nèi)容進(jìn)行了修改、植入，這是根源問題。一旦訪問者訪問了以上被修改的合法網(wǎng)站，就會遇到麻煩。然而大多數(shù)中小網(wǎng)站的所有者，由于缺乏足夠的專業(yè)知識儲備，無法建立一個Web程序的安全檢查機(jī)制，因此會對網(wǎng)站安全的實(shí)際情況渾然不知。同時，Web應(yīng)用程序在開發(fā)之初如果不注意代碼的規(guī)范，在Web應(yīng)用程序開發(fā)完成后再進(jìn)行漏洞修補(bǔ)耗費(fèi)的工作量也是巨大的，同時也可能降低Web系統(tǒng)的人與系統(tǒng)交互的靈活性。因此，啟明星辰建議用戶一方面建立一套有效的專業(yè)性檢查機(jī)制，及時掌握Web網(wǎng)頁的安全狀況；另一方面部署Web入侵防御系統(tǒng)，完善Web業(yè)務(wù)的防護(hù)功能，重點(diǎn)防御主流的Web應(yīng)用攻擊如SQL注入和XSS攻擊，堵住合法網(wǎng)站網(wǎng)頁被篡改、植入的漏洞；最后一方面通過網(wǎng)頁安全修復(fù)服務(wù)，對遠(yuǎn)程網(wǎng)站安全檢查服務(wù)發(fā)現(xiàn)的網(wǎng)站安全問題進(jìn)行及時補(bǔ)救，防患與未然?？傊€是一句話：Web安全防御，要從根源做起。

查看更多精彩門診：http://doctor.51cto.com/