對(duì)于一些大型網(wǎng)站來說，通常擁有一整套已經(jīng)執(zhí)行了的WEB站點(diǎn)安全防范解決方案，但是，為什么一些網(wǎng)站還是會(huì)被攻擊者掛載木馬?其中一個(gè)最主要的原因是已經(jīng)實(shí)施的WEB站點(diǎn)安全解決方案只能夠應(yīng)對(duì)已經(jīng)出現(xiàn)的安全漏洞和威脅。而攻擊者總是在通過各種手段來分析網(wǎng)站中可能會(huì)存在的弱點(diǎn)或漏洞，以便能夠成功繞過網(wǎng)站當(dāng)前的安全防范措施來實(shí)施掛馬攻擊。針對(duì)這樣的一種WEB站點(diǎn)安全現(xiàn)狀，最好的方式就是在部署相應(yīng)的安全防范安全解決方案的同時(shí)，還必需采取與攻擊者相同的手段，也就是在網(wǎng)站的運(yùn)營過程中，不斷對(duì)它進(jìn)行安全評(píng)估，以此來找到網(wǎng)站中可能存在的弱點(diǎn)和漏洞。

對(duì)WEB站點(diǎn)進(jìn)行安全評(píng)估是Web安全防范處理過程中非常重要的一個(gè)環(huán)節(jié)，它應(yīng)當(dāng)貫穿站點(diǎn)的整個(gè)生命周期。對(duì)WEB站點(diǎn)實(shí)施安全評(píng)估的目的就是指安全評(píng)估人員，使用相應(yīng)的評(píng)估工具和技術(shù)，經(jīng)過一系列恰當(dāng)?shù)姆椒?，?duì)WEB服務(wù)器本身、服務(wù)器系統(tǒng)、后臺(tái)數(shù)據(jù)庫系統(tǒng)及網(wǎng)絡(luò)中已經(jīng)實(shí)施的安全機(jī)制，進(jìn)行全面的檢測(cè)和評(píng)估，以此來檢測(cè)整個(gè)WEB系統(tǒng)是否還存在弱點(diǎn)，以及驗(yàn)證實(shí)施的安全機(jī)制是否有效。并根據(jù)最后的評(píng)估分析結(jié)果，對(duì)現(xiàn)有的安全策略進(jìn)行修訂，對(duì)實(shí)施的安全機(jī)制進(jìn)行補(bǔ)充。

一、制定WEB站點(diǎn)安全評(píng)估方案

對(duì)WEB站點(diǎn)進(jìn)行安全評(píng)估，為了能夠達(dá)到最終的效果，事先先制定一個(gè)切合實(shí)際的安全評(píng)估方案是十分有意義的。當(dāng)然，對(duì)于一些個(gè)人網(wǎng)站，或者只進(jìn)行一次WEB站點(diǎn)弱點(diǎn)檢測(cè)來說，也可以跳過制定安全評(píng)估方案這個(gè)環(huán)節(jié)，直接使用系統(tǒng)或WEB弱點(diǎn)檢測(cè)工具對(duì)WEB站點(diǎn)所在的系統(tǒng)和其本身進(jìn)行詳細(xì)的弱點(diǎn)檢測(cè)即可。

如果需要對(duì)一個(gè)WEB站點(diǎn)進(jìn)行全面的安全評(píng)估，或者你需要一個(gè)安全評(píng)估方案來指導(dǎo)你完成相應(yīng)的WEB站點(diǎn)弱點(diǎn)檢測(cè)任務(wù)，那么，我們可以按下列列出的內(nèi)容，來構(gòu)建一個(gè)適合自己實(shí)際需求的WEB站點(diǎn)安全評(píng)估方案：

1、為WEB站點(diǎn)安全評(píng)估確定一個(gè)最終目標(biāo)，也就是為什么要這么做，這樣做需要達(dá)到什么的目的。

2、為WEB站點(diǎn)的安全評(píng)估指定安全評(píng)估人員。

3、確定安全評(píng)估時(shí)具體的評(píng)估對(duì)象。

4、為WEB站點(diǎn)的安全評(píng)估制定具體的時(shí)間計(jì)劃表，如果沒有什么特殊情況，我們應(yīng)當(dāng)嚴(yán)格按照這張時(shí)間表規(guī)定的時(shí)間對(duì)WEB站點(diǎn)實(shí)施安全評(píng)估。

5、為WEB站點(diǎn)的安全評(píng)估指定具體的評(píng)估工具，并要求評(píng)估人員對(duì)這些工具進(jìn)行相應(yīng)的學(xué)習(xí)，以達(dá)到訓(xùn)練掌握它們的目的，還必需規(guī)定評(píng)估人員按時(shí)對(duì)這些評(píng)估軟件所依賴的評(píng)估漏洞庫和軟件本身進(jìn)行不斷的更新。

6、規(guī)定是將安全評(píng)估工具安全裝在目標(biāo)WEB服務(wù)器進(jìn)行安全評(píng)估，還是在專門的硬件設(shè)備(例如筆記本電腦)上安裝評(píng)估軟件，然后在使用時(shí)再接入目標(biāo)網(wǎng)絡(luò)實(shí)施評(píng)估任務(wù)。

7、明確具體的安全評(píng)估方法

8、明確安全評(píng)估過程中需要注意的操作事項(xiàng);

9、明確安全評(píng)估的規(guī)章制度和評(píng)估人員責(zé)任;

10、規(guī)定安全評(píng)估結(jié)果的記錄方式，以及評(píng)估報(bào)告的上報(bào)、存檔和檢索方式。

WEB站點(diǎn)安全評(píng)估方案應(yīng)當(dāng)根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境，以及站點(diǎn)的具體內(nèi)容和功能，經(jīng)過詳細(xì)的調(diào)查和分析后，再由安全評(píng)估參與人員共同完成。當(dāng)然，一個(gè)實(shí)際的WEB站點(diǎn)安全評(píng)估方案，所包括的內(nèi)容可能比上述所列出的內(nèi)容要多得多，也詳細(xì)得多，在這里只是對(duì)它們做了一個(gè)簡單的說明，具體的內(nèi)容還需要大家根據(jù)實(shí)際情況做具體的補(bǔ)充。

二、WEB站點(diǎn)安全評(píng)估的具體實(shí)施方式

WEB站點(diǎn)安全評(píng)估的具體實(shí)施涉及到四個(gè)最關(guān)鍵的因素，它們是安全評(píng)估人員、評(píng)估工具、評(píng)估方法和評(píng)估對(duì)象。

1、安全評(píng)估人員

安全評(píng)估人員，應(yīng)當(dāng)包括WEB站點(diǎn)所有者、管理員及安全評(píng)估實(shí)施人員。安全評(píng)估實(shí)施人員的技術(shù)和經(jīng)驗(yàn)，以及工作態(tài)度在一定程度上決定了評(píng)估的效果和可信性。

有時(shí)，一些WEB站點(diǎn)不得不將安全評(píng)估任務(wù)外包給一些具有安全評(píng)估資質(zhì)的第三方機(jī)構(gòu)來完成，這也是一些沒有具體的WEB站點(diǎn)管理員的中小企業(yè)WEB網(wǎng)站經(jīng)常使用的方式。

還有一些WEB站點(diǎn)，所有的工作都是由站點(diǎn)管理員一個(gè)人來完成，對(duì)于這樣的WEB站點(diǎn)安全評(píng)估報(bào)告，通常只會(huì)被他自己所接受，也就是用來對(duì)站點(diǎn)當(dāng)前的安全狀況進(jìn)行一次簡單的體檢，以此來做到心中有數(shù)。

2、安全評(píng)估工具

安全評(píng)估工具需要根據(jù)所要評(píng)估的具體對(duì)象來選擇，不同的評(píng)估對(duì)象，所使用的評(píng)估工具是不相同的。這是由于有些安全評(píng)估工具只是針對(duì)某種服務(wù)或軟件，有些是針對(duì)整個(gè)主機(jī)或網(wǎng)絡(luò)的;有些安全評(píng)估工具只能在某種操作系統(tǒng)平臺(tái)下運(yùn)行，而有些安全評(píng)估工具卻能在許多流行的操作系統(tǒng)平臺(tái)下運(yùn)行;一些安全評(píng)估工具是軟件方式的，還有一些是以獨(dú)立的硬件方式存的;有些安全軟件是免費(fèi)的，而有一些是商業(yè)的。由此，要找到一款合適的安全評(píng)估工具還真的不是隨便選擇幾樣這么簡單。并且，一些其他人認(rèn)為非常好用的安全評(píng)估工具，對(duì)于我們自己來說并不見得會(huì)很喜歡，因此，有時(shí)我們不得不經(jīng)過不斷的試用才會(huì)知道哪幾款評(píng)估軟件才是最適合我們自己的。

幸運(yùn)的是，現(xiàn)在還是已經(jīng)有許多功能強(qiáng)大的評(píng)估工具可以供我們選擇，這些工具有：

(1)Nmap

Nmap是一個(gè)網(wǎng)絡(luò)探測(cè)和安全掃描程序，我們可以使用它來掃描WEB站點(diǎn)所在系統(tǒng)或整個(gè)網(wǎng)絡(luò)，并以此來得到WEB站點(diǎn)所在系統(tǒng)正在運(yùn)行及提供什么樣的服務(wù)，開放了什么樣的端口，使用什么樣的操作系統(tǒng)等信息。Nmap支持包括UDP、TCP connect()、TCP SYN()、ICMP、FIN及ACK等掃描方式，其中有許多掃描方式還可以用來檢測(cè)防火墻及IDS/IPS等設(shè)備的回應(yīng)情況。

Nmap能夠在類UNIX系統(tǒng)及Windows系統(tǒng)的終端下以命令方式運(yùn)行，它的命令執(zhí)行格式為：nmap [Scan Type(s)] [Options]。我們可以從http://insecure.org/網(wǎng)站上下載到它的最新版本，以及得到它的詳細(xì)說明文檔。

(2)Nessus

Nessus同樣是一個(gè)功能強(qiáng)大的安全檢測(cè)工具，它允許用戶使用插件對(duì)它進(jìn)行功能上的擴(kuò)展。Nessus使用一個(gè)頻繁更新的漏洞庫作為安全檢測(cè)的依據(jù)。我們可以到www.nessus.org網(wǎng)站上下載到它的免費(fèi)版本Nessus3，以及得到它的詳細(xì)的使用文檔?，F(xiàn)在大部分的安全人員都使用它來對(duì)網(wǎng)絡(luò)或主機(jī)系統(tǒng)進(jìn)行全面安全檢測(cè)。

(3)Nikto

Nikto是一款開放源代碼、功能強(qiáng)大的WEB弱點(diǎn)掃描評(píng)估軟件，它能對(duì)WEB服務(wù)器的多種安全項(xiàng)目進(jìn)行測(cè)試，能在230多種服務(wù)器上掃描出2600多種有潛在危險(xiǎn)的文件、CGI及其他問題。Nikto使用LibWhiske漏洞庫，Nikto已成為WEB站點(diǎn)管理員必備的Web安全檢測(cè)工具之一。

可以到http://www.cirt.net/網(wǎng)站上下載Nikto的最新版本。Nikto是基于PERL開發(fā)的程序，所以需要PERL環(huán)境。因此，當(dāng)Nikto需要在Windows系統(tǒng)下使用時(shí)，要同時(shí)下載并安裝ActiveState Perl環(huán)境。當(dāng)需要Nikto使用SSL的安全方式對(duì)WEB站點(diǎn)進(jìn)行安全掃描時(shí)，還會(huì)用到Net::SSLeay PERL模式，此時(shí)必須保證系統(tǒng)中安裝有OpenSSL。它們的具體安裝和使用細(xì)節(jié)可以參考它們的幫助文檔。

另外，還有一個(gè)與Nikto相似的WEB弱點(diǎn)掃描工具Wikto，它不僅具有Nikto同樣的功能，還提供GUI圖形界面，但只能在Windows系統(tǒng)下運(yùn)行。它可以到http://www.sensepost.com/research/wikto/下載。。

(4)N-Stealth

N-Stealth是ZMT公司出品的一款商業(yè)的WEB站點(diǎn)安全掃描軟件，同時(shí)也有可以免費(fèi)使用的版本，只是功能沒有商業(yè)版本的多，漏洞庫也不支持自動(dòng)更新。我們可以到www.nstalker.com網(wǎng)站上下載它的最新版本，它可以在win98/ME/2000/XP/2003系統(tǒng)下運(yùn)行。#p#

(5)ISS Database Scanner

ISS的數(shù)據(jù)庫掃描器(DataBase Scanner)是一個(gè)針對(duì)數(shù)據(jù)庫管理系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的檢測(cè)工具。它可以自動(dòng)識(shí)別數(shù)據(jù)庫系統(tǒng)中各種潛在的安全問題，產(chǎn)生通俗易懂的報(bào)告來表示安全風(fēng)險(xiǎn)和弱點(diǎn)，并對(duì)違反和不遵循數(shù)據(jù)庫安全策略的弱點(diǎn)和漏洞提出修改建議。

Database Scanner 可以掃描的數(shù)據(jù)包括Microsoft SOL Server 6.x 或7.x、Sybase Adaptive Server 11.x和Oracle 8i, 8.0 或 7.3。它能通過網(wǎng)絡(luò)快速、方便地掃描數(shù)據(jù)庫，去檢查數(shù)據(jù)庫中可能存在的安全漏洞，全面評(píng)估所有的安全漏洞和認(rèn)證、授權(quán)、完整性方面的問題。

除了上面介紹的安全掃描軟件以外，還有一些軟件也有可以用來進(jìn)行安全檢測(cè)工作，包括X-scan3.3、WebInject1.41和Acunetix WVS Free Edition，以及一款功能全面且性能強(qiáng)大的商業(yè)安全掃描軟件ISS Internet Scanner等。

另外，在使用任何評(píng)估工具之前，要先對(duì)其漏洞庫進(jìn)行升級(jí)更新。這是由于現(xiàn)在大多數(shù)安全評(píng)估工具都是利用漏洞特征庫來進(jìn)行弱點(diǎn)檢測(cè)的，只有保證它們的漏洞特征庫為最新狀態(tài)，才有可能發(fā)現(xiàn)WEB站點(diǎn)及所依賴的系統(tǒng)上可能存在的最新漏洞。

3、安全評(píng)估方法

安全評(píng)估方法就是具體的安全評(píng)估實(shí)施方式，它主要涉及到下列五個(gè)具體的方面：

(1)由外向內(nèi)測(cè)試

這種安全評(píng)估方式就是以攻擊者的角度從WEB站點(diǎn)所在網(wǎng)絡(luò)結(jié)構(gòu)中的外部，對(duì)它進(jìn)行安全掃描工作，以此來檢測(cè)WEB站點(diǎn)防范來自互聯(lián)網(wǎng)遠(yuǎn)程攻擊的能力。此種測(cè)試方式可以使用上述評(píng)估工具中的N-stealth、X-Scan和WebInject等工具來進(jìn)行。

(2)由內(nèi)向外測(cè)試

由內(nèi)向外的安全檢測(cè)方式是指從WEB站點(diǎn)所在網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)部，對(duì)它進(jìn)行安全掃描工作。這種安全檢測(cè)方式主要用來檢驗(yàn)WEB站點(diǎn)對(duì)來自內(nèi)部的攻擊防范能力，以及檢測(cè)對(duì)用戶權(quán)限分配情況和內(nèi)部數(shù)據(jù)傳輸過程中的安全性。此時(shí)可使用一些操作系統(tǒng)內(nèi)部網(wǎng)絡(luò)命令，例如Netstat，以及Hping和Nikto、X-scan、Nmap、Acunetix WVS Free Edition等工具來進(jìn)行完成檢測(cè)任務(wù)。

(3)模擬攻擊測(cè)試

模擬攻擊測(cè)試是指在實(shí)際的測(cè)試過程中并不對(duì)WEB站點(diǎn)所在服務(wù)器系統(tǒng)及WEB應(yīng)用程序、網(wǎng)絡(luò)設(shè)備進(jìn)行真正的攻擊事件。這種測(cè)試方式并不會(huì)對(duì)WEB站點(diǎn)的性能產(chǎn)生影響，平時(shí)大部分的安全評(píng)估工作應(yīng)當(dāng)使用模擬攻擊的測(cè)試方式。

(4)真實(shí)攻擊測(cè)試

當(dāng)使用模擬攻擊測(cè)試不能真正檢驗(yàn)到網(wǎng)站的安全狀況時(shí)，就可以使用真實(shí)的攻擊測(cè)試。由于攻擊是真實(shí)的，因此會(huì)對(duì)WEB站點(diǎn)的性能造成影響，因而這種方式最好在WEB開發(fā)的最初階段，以及沒有WEB業(yè)務(wù)的時(shí)候進(jìn)行?，F(xiàn)在有很多的網(wǎng)站都會(huì)請(qǐng)一些專門的黑客來對(duì)自己的站點(diǎn)進(jìn)行真實(shí)的攻擊，以便最大程度地檢測(cè)出WEB站點(diǎn)中存在的安全漏洞問題。

(5)社會(huì)工程攻擊測(cè)試

有許多人認(rèn)為社會(huì)工程只是攻擊者用來進(jìn)行攻擊的一種手段，卻不知它也是一種很好的檢測(cè)企業(yè)內(nèi)部員工及站點(diǎn)管理員反社會(huì)工程攻擊能力強(qiáng)度的評(píng)測(cè)工具。我們可以通過電話、手機(jī)短信及電子郵件的方式對(duì)評(píng)測(cè)的人員實(shí)施與攻擊相同的社會(huì)工程攻擊測(cè)試。同樣，我們還可以通過直接接觸的方式對(duì)被評(píng)測(cè)者進(jìn)行相應(yīng)的社會(huì)工程攻擊測(cè)試評(píng)估。當(dāng)我們決定進(jìn)行社會(huì)工程方式的安全評(píng)估工作時(shí)，最好讓可信的第三方來進(jìn)行，這樣才可以達(dá)到最好的評(píng)估效果。

4、評(píng)估對(duì)象

評(píng)估對(duì)象就是指評(píng)估過程中具體的評(píng)估實(shí)施目標(biāo)，包括WEB服務(wù)器主機(jī)操作系統(tǒng)、WEB應(yīng)用程序框架、數(shù)據(jù)庫系統(tǒng)及網(wǎng)絡(luò)基礎(chǔ)設(shè)施等。

這四個(gè)因素是WEB站點(diǎn)安全評(píng)估工作中缺一不可的，缺少任何一個(gè)或任何一個(gè)出現(xiàn)問題，都會(huì)使整個(gè)評(píng)估工作中斷或使評(píng)估結(jié)果不可信。還有就是評(píng)估工具的使用并不一定得一次只使用一種工具，我們可以根據(jù)所要評(píng)估的對(duì)象和評(píng)估的內(nèi)容進(jìn)行組合應(yīng)用。畢竟，有時(shí)一種工具只在某一個(gè)方面比較有效，而且，評(píng)估軟件還存在誤報(bào)和漏報(bào)的問題，組合使用工具，再加上評(píng)估人員自己經(jīng)驗(yàn)的判斷，就能將評(píng)估結(jié)果的有效性提高到最高水平。

當(dāng)WEB站點(diǎn)安全評(píng)估工作完成后，我們還應(yīng)當(dāng)根據(jù)安全評(píng)估結(jié)果，對(duì)安全策略進(jìn)行相應(yīng)的修訂，同時(shí)對(duì)實(shí)施了的安全機(jī)制進(jìn)行相應(yīng)的補(bǔ)充。WEB站點(diǎn)的安全評(píng)估工作，在站點(diǎn)沒有真正投入運(yùn)行前，可不斷地重復(fù)進(jìn)行檢測(cè)，直到我們認(rèn)為已經(jīng)修補(bǔ)了所有已知的漏洞為止。同時(shí)，我們還必需在WEB站點(diǎn)運(yùn)營過程當(dāng)中進(jìn)行安全評(píng)估，以此來發(fā)現(xiàn)潛在的安全威脅。

不能忽略的一點(diǎn)，如今攻擊者善于主動(dòng)分析并發(fā)現(xiàn)新的漏洞，這樣就對(duì)現(xiàn)有的漏洞掃面系統(tǒng)造成了一定的瓶頸，并不能完全解決網(wǎng)站被掛馬攻擊這種威脅。因此，我們?cè)谑褂盟耐瑫r(shí)，還必需使用其它的方式來補(bǔ)充它的不足。

因此作為Web站點(diǎn)的管理者而言，需要通過不斷對(duì)WEB站點(diǎn)進(jìn)行安全評(píng)估，以便能先攻擊者一步來發(fā)現(xiàn)網(wǎng)站中可能存在的弱點(diǎn)，然后才能在攻擊沒有發(fā)動(dòng)前就修補(bǔ)好這些漏洞，這樣才有可能最大限度地減少網(wǎng)站被掛馬的風(fēng)險(xiǎn)。為了更好地了解安全趨勢(shì)，我們還可以到www.cert.org及www.securityfocus.comh訂閱最新的安全漏洞的郵件列表，讓我們可以及時(shí)了解每天的安全漏洞信息。

原文出處：http://safe.it168.com/a2011/0111/1148/000001148508.shtml