豆丁精品文档： 什么是web应用程序 web应用程序 web 应用程序根目录 web应用程序 ..
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
预防Web应用程序的漏洞
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口漏洞探测的局限性
渗透测试和静态代码分析可以是手动的也可以是自动化的。因为手动测试或检查需要特殊的安全资源并且很费时间，所以对于Web应用的开发人员来说自动化工具是常见的选择。当考虑漏洞检测工具的局限性时，很重要的一点就是安全测试是很困难的。确实，衡量应用程序的安全性是很有挑战性的：尽管发现一些漏洞可能很容易，但是保证应用没有漏洞是困难的。1
渗透测试和静态代码分析工具都有其固有的局限性。渗透测试依赖于有效地代码执行，但是在实践中，漏洞识别时只会检查Web应用的输出。所以，缺少查看应用的内部行为会限制渗透测试的有效性。
另一方面，详尽的源代码分析可能比较困难。代码的复杂性以及缺少动态（运行时）的观察可能会阻止发现很多安全缺陷。当然，渗透测试不需要查看源码，但是静态代码分析需要。
使用错误的检测工具会导致部署的应用含有未检测出的漏洞。图2比较了在Web服务中，知名的并广泛使用的渗透测试和静态分析工具在检测SQL注入漏洞中的表现。8结果显示静态代码分析工具&&包括FindBugs、Fortify 360以及IntelliJ IDEA（在图中匿名为SA1到SA3）&&的覆盖度通常高于渗透测试工具，包括HP WebInspect、IBM Rational AppScan、Acunetix Web Vulnerability Scanner以及科英布拉大学开发的一个原型工具（在图中匿名为VS1到VS4）。这两种方式都有的一个问题就是误报，但是在静态分析中更明显。一个重要的发现在于相同方式下的不同工具对于相同的代码通常报告不同的漏洞。
根据研究结果，需要强调工具的局限性使得有必要提高漏洞检测的有效性，比如这可以通过联合使用多种方式来实现。另外，开发人员需要定义一种机制来评估和比较不同的工具，这样它们才能选择最适合各种开发场景的工具。
为了防止对Web应用的攻击，软件工程师必须实施攻击检测机制，通常称为入侵检测系统（intrusion detection system，IDS）或Web应用防火墙（WAF）。不同的工具可以作用在应用或网络级别甚至在应用的资源上，如数据库，它们可以使用不同的方式如异常检测或签名匹配来检测攻击。
检测攻击的方法
检测攻击要区分出与所学习行为的差别。攻击检测工具所使用的方式要么基于异常检测要么基于签名。8
异常检测通常需要一个训练阶段。训练阶段会展现系统的无恶意请求，工具会在给定的架构级别观察它的行为并学习正常的操作。这些工具会考虑到每个Web应用程序的细节，但如果应用程序的正确行为发生了变化或学习不完整的话，会产生很多错误的警告。
相比之下，基于签名的工具会查找预定义的一组规则模式或标示攻击的签名。因为这些签名通常是独立于应用的，所以工具的成功与应用程序的运行配置文件或任何训练过程无关。
在网络级别进行操作的工具通常会监视和分析网络流量，以保证攻击在到达Web应用之前检测到。工作在应用级别的攻击检测工具会分析发送给应用的请求并试图利用服务端程序和请求中参数的特定关系。工作在资源层的工具会保护与每种漏洞类型相关的资源。这些工具会在应用层之下并接近受保护的资源。一个常见的例子是监控对数据库服务器的访问来检测SQL注入的IDS。
工具使用各种策略来收集应用请求以及可能收到攻击的信息。一些工具会使用嗅探策略来监控和分析通过网络传输的数据以此来观察HTTP流量，但是加密、编码以及封装可能会限制其有效性。同时，网络上可能会承载大量与受保护应用无关的数据。另一些工具会分析应用产生的日志甚至是应用所在服务器所产生的日志。尽管这种策略不会直接延迟对应用的请求，但是受限于日志中可以得到的信息。
而另一种策略就是在请求的来源和受保护的应用或资源间引入一个代理。这能够很容易地阻止攻击，因为它提供了关于目标应用或资源的有用信息，但是，它引入了不良的延时从而会影响应用的正常行为。
检测攻击的局限性
因为每个Web应用程序的细节会影响到攻击检测工具的表现，同时工具所运行的架构级别也会有所影响，所以它们的实际效果通常是未知的。10大多数工具的检测覆盖比较低（在很多场景下，低于20%），同时它们还会有很多误报（高达所产成警报的50%）。此外，有些工具在特定的场景下展现的结果很好，但是在其他场景下所提供的结果很差。
数据库级别的工具通常比应用级别的工具表现更好一些，10不过它们会产生一些关于请求的误报，这些请求是不会成功攻击数据库的。基于异常检测的工具对于简单的应用表现得更好，而基于签名的工具对于复杂的应用表现更好。在简单的应用程序中，工具能够学习并且更好地描述行为，因此从模式中检测偏差会更准确。实际上，异常检测的成功取决于训练阶段。如果训练不完整或者应用的正常操作配置在训练后发生了变化，那么攻击检测工具的有效性会降低。
使用这些工具的开发人员有时缺乏创建适当配置的培训。这会减少工具的有效性，这凸显了评估和对比不同工具及配置的重要性。10
新的趋势和方向
要达到更好的结果并提高有效性需要新的技术来克服漏洞检测工具的局限性。但是要克服这些局限性并不容易，因为它需要将传统方式改为颠覆性的方法。关键在于释放一些约束并将不同的方法结合起来以克服单个方法的局限性。
就是一个商业技术的例子，它将黑盒扫描和测试执行反馈结合起来。反馈来自于植入到目标应用程序代码中的传感器（sensor）。Acunetix声称这种技术能够发现更多的漏洞并能够精确表明漏洞在代码中的位置，而且误报也会更少。
一项最近提出的技术试图以更小的侵入性实现类似的效果，它联合使用攻击签名和接口监控来克服渗透测试对注入攻击漏洞测试的局限性。11这是一种黑盒测试技术，因为它只会监控应用程序和漏洞相关资源的接口（如数据库接口）。
Analysis and Monitoring for Neutralizing SQL-Injection Attacks（Amnesia）工具组合了静态分析和运行时监控来检测SQL注入攻击。12它对Web应用的源码进行静态分析，构建一个由应用生成的合法查询模型。在运行时，它监控动态生成的查询，检查是否与静态生成的模型相符。这个工具认为违反模型的查询为攻击并阻止它访问数据库。
为了应对Web应用安全的新威胁，开发流程必须也要有所发展。例如，微软安全开发生命周期（Microsoft Security Development Lifecycle）完善了公司的开发流程并特别针对安全问题的解决，例如明确了开发团队的安全培训。13按照微软的说法，这个流程的采用减少了软件中的安全缺陷。尽管这只是一个例子，但是它表明在这个行业中，对软件开发执行安全流程是很重要的事情。
在整个软件产品的开发和部署生命周期中，开发人员必须要考虑安全性。他们必须要使用安全编码的最佳实践、执行足够的安全测试并使用安全检测系统在运行时保护应用程序。在这个任务中，开发人员需要得到一些帮助来获取需要的技术和能够提高生产率的工具。
研究人员应该提出创新的工具，能够在开发过程中方便地使用并满足部署时有效性和生产效率的要求。这个演变的中心是安全测试工具，对于检验和确认应用程序以检查安全漏洞来讲，它们是至关重要的。不过，必须要探索新的假设。一个可以预见的可能性就是开发编译器，使其不仅能强制使用最佳编码实现，还能自动化修改存在的安全漏洞。
1. M. Howard and D.E. Leblanc， Writing Secure Code， Microsoft Press， 2002.
2. C. Ghezzi， M. Jazayeri， and D. Mandrioli， Fundamentals of Software Engineering， Prentice Hall， 2002.
3. G. McGraw， Software Security： Building Security In， Addison-Wesley， 2006.
4. D. Stuttard and M. Pinto， The Web Application Hacker&s Handbook： Discovering and Exploiting Security Flaws， John Wiley & Sons， 2007.
5. B. Arkin， S. Stender， and G. McGraw， &Software Penetration Testing，& IEEE Security & Privacy， Jan.-Feb. 2005， pp. 84-87.
6. D.P. Freedman and G.M. Weinberg， Handbook of Walkthroughs， Inspections， and Technical Reviews： Evaluating Programs， Projects， and Products， Dorset House， 2000.
7. N. Ayewah and W. Pugh， &A Report on a Survey and Study of Static Analysis Users，& Proc. Workshop Defects in Large Software Systems （DEFECTS 08） ACM， 2008， pp. 1-5.
8. N. Antunes and M. Vieira， &Comparing the Effectiveness of Penetration Testing and Static Code Analysis on the Detection of SQL Injection Vulnerabilities in Web Services，& Proc. 15th IEEE Pacific Rim Int&l Symp. Dependable Computing （PRDC 09）， IEEE CS， 2009， pp. 301-306.
9. E. Biermann， E. Cloete， and L.M. Venter， &A Comparison of Intrusion Detection Systems，& Computers & Security， Dec. 2001， pp. 676-683.
10. I.A. Elia， J. Fonseca， and M. Vieira， &Comparing SQL Injection Detection Tools Using Attack Injection： An Experimental Study，& Proc. 21st IEEE Int&l Symp. Software Reliability Eng. （ISSRE 10）， IEEE CS， 2010， pp. 289-298.
11. N. Antunes and M. Vieira， &Enhancing Penetration Testing with Attack Signatures and Interface Monitoring for the Detection of Injection Vulnerabilities in Web Services，& Proc. IEEE Int&l Conf. Services Computing （SCC 11）， IEEE CS， 2011， pp. 104-111.
12. W.G.J. Halfond and A. Orso， &Preventing SQL Injection Attacks Using AMNESIA，& Proc. 28th Int&l Conf. Software Eng. （ICSE 06）， IEEE CS， 2006， p. 798.
13. M. Howard and S. Lipner， The Security Development Lifecycle， Microsoft Press， 2006.
Nuno Antunes是葡萄牙科英布拉大学信息科学与技术系的在读博士生，在这里他获得了信息工程的理科硕士。他的研究兴趣包括开发安全Web应用程序和服务的方法论和工具。Antunes是IEEE计算机学会的会员。可以通过nmsa@dei.uc.pt联系他。
Marco Vieira是葡萄牙科英布拉大学信息科学与技术系的助理教授（assistant professor）。他的研究兴趣包括可靠性和安全基准测试、实验可靠性评估、错误注入、软件开发过程以及软件质量保证。Vieira在科英布拉大学获取了计算机工程的博士学位。他是IEEE计算机学会和ACM的会员。
是IEEE计算机学会的旗舰出版物，出版了很多为同行热议且广受赞誉的文章。这些文章大都由专家执笔撰写，代表了计算机技术软硬件及最新应用的领先研究。它提供较商业杂志更多的技术内容，而较研究学术期刊具有更多的实践性思想。Computer 传递着可适用于日常工作环境的有用信息。
查看英文原文：
本文最早发表于《》杂志，现在由InfoQ以及IEEE Computer Society合作为你呈现。。
注：相关网站建设技巧阅读请移步到频道。
编辑：wawa
猜你喜欢：
最新图文资讯
站长之家专栏推荐
增值电信业务经营许可证: 闽B2-号 - 北京公安局网监中心备案号: 95号 -
(C)CopyRight 2002- Inc All Rights Reserved. 站长之家 版权所有查看: 1146|回复: 3
网站被攻击？大流量DDOS攻击云盾云防御帮您解决！
威望值经验值金钱
没听说过 了解一下了
惠州男科医院
东莞妇科医院
威望值经验值金钱
还真是看不懂
换友链的联系QQ（精油、护肤、女性类）
威望值经验值金钱
云盾DDoS云防御（DDoS Cloud Defense）-随着Internet互联网的不时提高，网络带宽的增加，高速普遍衔接的网络给大家带来了便当，也为DDoS攻击发明了极为有利的条件。更为严峻的是，应用DDos攻击歹意竞争、敲诈讹诈曾经构成了一条完善的heike产业链！而且，发起DDoS攻击本钱极低，在网上能够随意搜索到很多DDoS攻击器，技术请求也越来越低。相反的是，专业防御DDos攻击的价钱非常昂贵，而且关于攻击源的清查难度极大，防护本钱远远大于攻击本钱，招致DDoS攻击事情正在成上升趋向。出于商业竞争、打击报仇和网络敲诈等多种要素，很多IDC托管机房、商业站点、游戏效劳器、聊天网络等网络效劳商长期以来不断被DDoS攻击所搅扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠葛、商业损失等一系列问题，因而，处理DDoS攻击问题成为网络效劳商必需思索的头号大事。在现有单一的平安防护体系及被动的战略难以有效应对时，云盾网安集成一切已部署的DDoS防御资源构成强大的云防御系统，为用户提供高效的整体网络平安处理计划，让您以最少的投资可取得最大的平安报答防CC攻击。
　　处理计划　　
　　对付大流量DDoS是一个系统工程，想仅仅依托某种产品防住是不理想的，能够肯定的是，完整根绝DDoS目前是不可能的，但经过恰当的措施抵御90%的DDoS攻击是能够做到的，基于攻击和防御都有本钱开支的缘故，若经过恰当的方法加强了抵御DDoS的才能，也就意味着加大了攻击者的攻击本钱，那么绝大多数攻击者将无法继续下去而放弃，也就相当于胜利的抵御了DDoS攻击。　　
　　这个系统工程常常要投入大量的网络设备、购置大的网络带宽，而且还需求把网站做相应的修正，还要装备相关人员去维护，这个工程采用后，也一定可以抵挡住外部攻击。目前，采用云盾云防御系统，可轻松应对各种DDoS攻击，同时也具有专业的抗DDoS参谋，7x24小时的技术效劳保证您的效劳器任何时辰都能够得到圆满的呵护，并且以攻击流量的计费形式计费，为您处理DDoS攻击问题的最经济的方式。　　
　　云盾的云防御系统，应用云中普遍的信息反应节点，大范围地跟踪平安风险，并将防护才能快速分发到各个防护节点，汇合其全局和本地的一切防御资源，可以完成大范围的主动监控和防护，对各种攻击停止实时响应，最终增强了对CC/DDoS攻击等复杂网络要挟的响应才能，进步了用户的网络整体平安性。用户在被大流量攻击的情况下，曾经无法处理时所采用的处理计划。同时也是云盾网安在互联网平安界提出首创的处理计划，从基本上处理了用户由于被DDoS攻击所带来的懊恼。　　
　　技术简介　　
　　云盾云防御系统是一个多层面、多角度、多构造的多元平面系平安防护体系。他是由云盾的多个平安产品整合而成的一个全新一代的防护体系。他们的组成部份分红高防效劳器、高防智能DNS、高防效劳器集群（高防效劳器集群集成了国内外高防效劳器、CDN防御主机、BGP防御主机）、集群式防火墙架构、网络监控系统、高防智能路由体系、而构成组合的一套智能的、完善的、快速响应机制的云平安防护架构。构成终极的CC/DDOS的防护架构。架构全球抢先的平安防护计划！为您业务保架护航、业务永续！　　
　　云防御特性：　　
　　-具有强大的攻击检测和防护才能，能够抗200G以上流量的攻击　　
　　-对已知和未知的攻击都能够圆满的防御　　
　　-所具备其他防火墙不具备的海量DDoS防御，在一定压力测试下对强大的DDoS攻击能够做到圆满的防御　　
　　-采用透明形式，在不改动网络拓扑图的前提下，具有强大的网络部署才能　　
　　-具有丰厚的管理才能，用户能够远程经过IE阅读器、或远程桌面跳转登录后台　　
　　-细致的攻击数据剖析系统，有利于对流量停止统计剖析　　
　　-运用智能负载平衡系统保证网站在线效劳不中缀　　
　　-只需求把被攻击的网站或者效劳器IP地址接到云端网络，就能够立刻完成抗攻击功用　　
　　-云防御效劳器的范围能够动态伸缩，满足应用和用户范围增长的需求　　
　　-不按带宽收费，不加收任何初始配置费用，依照攻击流量计费，比硬件防火墙可俭省50倍本钱每年　
　　细致理解云盾网安DDoS云防御的特性　
　　防御流程　　
　　一：接入云盾云防御系统　　
　　A：针对WEB攻击-将被攻击网站的域名提交给云盾　　
　　B：针对效劳器攻击-将被攻击效劳器的IP地址提交给云盾　　
　　二：配置云防御系统　　
　　后端的云防御系统配置战略交由云盾完成。　　
　　三：完成配置，承受攻击
　　常见问题：　　
　　问：云防御能够处理什么问题？　　
　　答：实践上云盾云防御（Yun Dun Cloud Defense）就是一整套网络平安支撑系统。当您的网站被攻击时；当您的机房和效劳商经过各种方式没有方法帮您处理超越流量攻击的时；当您的效劳器需求实时运营时，被DDoS攻击没有方法处理时，您就能够参加云防御。　　
　　问：云防御能不能100%保证用户不被攻击呢？　　
　　答：依照攻击流量分配是能够的，能够到达100%，但是投资预算需求用户认真思索，要有经济剖析法来剖析问题。
& && &文章来源：
威望值经验值金钱
参考，参考啊
站长运营盈利QQ群： ; 站一排，吃牛排，人人都要站一排！
当前热门 /1
1月27号晚8点，不见不散，搜外YY:
工作日:09:00-18:00 帖子删除请您加QQ: / SEO优化: / SEO建站: / 广告业务:
Powered by Discuz- -不只是分享SEO教程和搜索引擎最新动态
您现在的位置:
详解Web服务器安全攻击及防护机制作者: admin　发布:
19:26:30　分类: 网站相关　阅读: 次　
　　Web服务器攻击常利用Web服务器软件和配置中的漏洞，针对这些漏洞最佳做法是遵循一些方法搭建并运行Web服务器，本文详解了Web服务器保护的一些方法。　　Web安全分为两大类：　　· Web服务器的安全性(Web服务器本身安全和软件配置)。　　· Web应用程序的安全性(在Web服务器上运行的Java、 ActiveX、PHP、ASP代码的安全)。　　Web服务器面临的攻击　　Web服务器攻击利用Web服务器软件和配置中常见的漏洞。这些漏洞包括：　　· 缓冲区溢出　　· 文件目录遍历　　· 脚本权限　　· 文件目录浏览　　· Web服务器软件默认安装的示例代码　　· Web服务器上运行的其他软件中的漏洞，例如SQL数据库软件　　让我们对上诉漏洞依个进行深入地探讨。　　1.缓冲区溢出　　缓冲区溢出允许恶意代码注入到应用程序，它损坏应用程序的堆栈——内存中存储应用程序代码的一个地方——并用不同的代码代替原始代码的一部分来实现攻击者的目的，例如运行特洛伊木马程序或远程控制应用程序。以下是缓冲区溢出漏洞的一个简单示例代码，使用C语言编写：　　char aTmp[100];　　scanf(&%s&,aTmp);　　在第一行中，程序员声明一个长度为100的数组aTmp。在第二行中，scanf方法从控制台读取数据存到aTmp数组。代码不会检查%s 变量是否能够容纳输入数据的大小。因为程序员编码过程不对输入字符串的大小进行检查，如果给定的输入超过100个字符，就会造成缓冲区溢出。一个精心构造构的输入中可能包含汇编代码，这部分汇编代码能够获得源程序一样的运行权限。　　2.目录遍历　　目录遍历是指访问到了不是原先设想或允许的目录(或文件夹)。例如，微软IIS Web站点的默认文件夹为C:\inetpub，攻击者可使用的目录遍历漏洞，在该文件夹之外去读取他们本不该访问的文件。详细来说，假如有一个网址为“”的网站，其服务器代码中包含目录遍历漏洞。攻击者通过输入以下URL就可以利用该漏洞：　　/../autoexec.bat　　URL中的“.../”告诉服务器上溯一个目录，也就是“C:\”目录(Web 服务器可以将斜杠转换为反斜杠)。所以如果IIS服务器默认目录为“c:\inetpub”，那么该URL会转到“C:\”目录，攻击者将能够看到“c:\autoexec.bat”文件。除非将服务器配置好了避免目录遍历，不然所有目录可能都是可访问的。这种情况下，Web服务器将显示“autoexec.bat”文件的内容，或者攻击者选择的任何其他文件。　　值得注意的是:我们已经使用 IIS 作为示例;但是，此漏洞的利用不是针对IIS服务器的，在其他的Web 服务器上也有目录遍历漏洞。　　3.脚本权限　　为了运行通用网关接口(CGI)、Perl或者其他服务端应用程序，管理员必须授予对服务器端应用程序所在的目录以可执行权限。一些管理员给错误位置授予此权限(通常是因为他们不明白这么做会带来的问题)。让我们看看下面的示例，探讨如果管理员将此权限授予C盘下的所有目录将发生什么。　　/../winnt/system32/cmd.exe%20%2fc%20dir　　首先我们来破译这神秘的URL。某些字符如空格和斜杠，不能出现在URL中，因为URL是限于7 -bit编码的ASCII码。然而，某些情况下还是会使用到这些字符。可行的办法是使用其十六进制的字符来表示，或者使用类似ASCII的base 16编码。Base 16 使用字母a、b、c、d、e 和f来表示大于9的数字。举例来说，字母a表示十六进制中的数字10，f表示15，并使用10表示数字16。所以，在前面的示例：　　· 空格使用ASCII编码表示为十进制的32，使用十六进制则为20，因此变成%20。　　· 斜杠(/)使用ASCII编码表示为十进制的47，使用十六进制则为2f，因此变成%2f。　　经Web服务器解析后，就成为下面的URL：　　../winnt/system32/cmd.exe /c dir　　这是要执行“cmd.exe”并告诉它执行“dir”命令。“cmd.exe”是位于“C:\winnt\system32”　　文件夹中的命令外壳。“Dir”命令列出当前目录中的所有文件，并将结果返回给用户。当然，这是只是一个简单的例子，攻击者可以执行更复杂的命令以达到删除、运行或修改Web服务器上数据的目的。　　图1是IIS目录权限的配置的截屏。最佳做法是只给包含需要执行的服务端应用的文件夹设置可执行的权限，而不是包含可被攻击者利用的软件的文件夹，例如包含“cmd.exe”或者其他内置的操作系统命令。　　　　图1 IIS脚本权限控制台的屏幕截图　　那是用于网站访问者运行的命令，而不是可能援助攻击者的软件，如cmd.exe或其他内置操作系统命令。　　4.目录浏览　　通常情况下，目录浏览是禁用的，但是如果启用它，则它显示该目录中的所有文件，并允许浏览的子目录。有时知道一个文件存在可以帮助攻击者利用Web 服务器上文件和程序的漏洞。为此，不建议启用Web 服务器上的目录浏览。　　5.默认示例　　默认示例是包含在Web 服务器软件中并在服务器软件安装时默认安装的应用程序。一些默认安装的示例包含安全漏洞。针对这些漏洞保护的最佳办法是不要安装示例，如果已经安装了，最好把它们删除掉。　　6.其他服务　　攻击者可以通过攻击在Web服务器上运行的其他服务来攻陷Web服务器。这些服务包括FTP、SMTP、POP3、SQL服务器和NetBIOS服务。防止此类攻击的最佳方法是减少“受攻击面”。关闭所有运行在Web服务器操作系统上不必要的服务并对剩下的服务进行安全地配置。最佳做法是使 Web服务器只有一个Web服务程序，而没有其他的服务。运行数据库和其他的软件应部署在单独的服务器上，这样服务器受防火墙保护，只有Web服务器易受Web攻击。如果攻击者设法利用其他服务的漏洞来攻击服务器，他们也能够干扰或攻陷Web站点。　　7.Web服务器软件的固有漏洞　　每个Web服务器软件，包括IIS和Apache，由于缺乏安全的编码技术，该软件的程序员已经提供了内置漏洞。例如，IIS的.htr漏洞，允许攻击者看到驻留在服务器上的文件的内容。几乎每周都会发布主要的Web服务器软件平台中的新漏洞。　　Web服务器的保护　　针对上述漏洞最佳做法是遵循以下建议搭建并运行Web服务器。采取下列措施将提高Web服务器的安全性。　　· 给Web服务器服务或守护程序配置能够使它正常运行最少的权限。这样，即使攻击者控制了Web 服务器，他们只能获得运行该软件对应的用户账户的权限。这样，攻击计算机或网络上的其他软件可行方案就极为有限了。　　· 安装最新的安全补丁并时刻关注漏洞的最新动态。　　· 删除默认示例并避免安装类似的示例。　　· 通过删除不需要的应用程序，安全配置同一台计算机上的其他网络服务，确保操作系统已安装最新的安全补丁来保证承载Web服务器的计算机的安全。　　· 确保只给需要执行的脚本单独的目录运行的权限。　　· 在Web服务器上每个目录中，都提供一个index.html文件，以避免需要目录浏览。　　第三方安全产品　　商业和免费的产品也可以帮助抵御与Web服务器相关的不同漏洞。主要有以下产品：　　· 软硬件防火墙　　· Web应用防火墙(WAFs)　　· 病毒防御软件　　· 基于ISAPI的安全产品　　· 安全日志　　· 反馈分析软件　　· 入侵检测系统和入侵检测防御系统　　· 漏洞扫描软件　　· 输入验证　　软硬件防火墙。防火墙过滤掉不属于正常 Web会话的流量。所有Web服务器都应配备技术先进的第四代防火墙。第四代防火墙可以区分出普通的Web浏览器合法的流量和攻击者的恶意攻击流量。直接部署在Web服务器上的防火墙软件可以为服务器提供额外的防护。　　Web应用防火墙。Web应用防火墙(WAFs)是具有Web流量深度检查功能的设备。WAFs能够提供基于内容的攻击的良好保护，因为他们会解析HTTP会话的实际内容，寻找与正常使用模式不匹配的已知错误或异常行为。这些设备可以是非常有效的防范大多数攻击。　　病毒防御软件。Web服务器上应该安装防御毒软件。如果攻击者利用安全漏洞企图控制Web 服务器，并且漏洞已知，病毒防御软件能够检测到并阻止。　　基于ISAPI的安全产品。此类产品截取URL请求，过滤掉可能的攻击，如缓冲区溢出。Web服务器供应商通常会免费提供基于ISAPI的安全产品。　　反馈分析软件。反馈分析软件解析Web服务器的响应并与已知的正常网站响应进行比较。如果网站含有恶意代码或者被修改，响应将不匹配原始的已知的正常响应，这样能够检测出未经授权的网站更改。　　入侵检测与防御。入侵检测系统(IDS)一般用于入侵的后期处理，因为系统保留事件的详细记录。而入侵预防系统(IDP)能够阻止某些已知的不良行为。　　漏洞扫描软件。管理员应运行漏洞扫描程序定期来测试Web服务器的安全性，因为假如扫描仪发现了安全漏洞，攻击者很可能也会发现同样的漏洞。有很多免费或商业的漏洞扫描软件。其中有些是基于Web，有些是硬件程序，剩下的是纯软件。　　输入验证。输入验证产品检查提交到Web站点每个数据是否存在异常、SQL注入命令或缓冲区溢出攻击代码。　　安全日志。安全日志可以提供Web服务器攻击入侵的证据。除了存放在在 Web 服务器上，还应该将它们存储网络上安全的位置以防止攻击者更改日志或删除记录。　　--51CTO
　　来源： 转载注明出处！
　　本文关键词: &&
站长SEO学院
百度SEO资料文档