【正文】 務目錄都在 Web 服務器上（雖然在不同目錄上），手段極其高明的黑客有可能找到這個目錄并加以篡改。即把網(wǎng)站衛(wèi)士系統(tǒng)的監(jiān)控端軟件安裝在一臺Web 服務器上， 發(fā)布端和管理控制端軟件安裝在另一臺服務器上，用來發(fā)布、更 領先的應用安全及數(shù)據(jù)庫安全整體解決方案提供商 10 / 23 上海睿宏電子 科技 發(fā)展 有限公司 新站點文件的內(nèi)容，如圖 22所示。另外，如果網(wǎng)站管理員需要遠程到 Web服務器進行維護和更新，可以采用 VPN或 FTP的方式。 領先的應用安全及數(shù)據(jù)庫安全整體解決方案提供商 11 / 23 上海睿宏電子 科技 發(fā)展 有限公司 圖 23 擴展部署方式示例 標準部署方式 由于現(xiàn)今大多數(shù)網(wǎng)站都使用了內(nèi)容管理系統(tǒng)（ CMS）進行網(wǎng)頁的編輯、審核、簽發(fā)和合成等工作，為了滿足這些機構(gòu)組織的需求， 安恒提供了這種環(huán)境的標準部署方式。部署方式如圖 25 所示，在 CMS 上安裝安恒網(wǎng)站衛(wèi)士系統(tǒng)的發(fā)布端和管理控制端，用于更新主站點 Web服務器上的內(nèi)容；在主站點的 Web 服務器上安裝發(fā)布端和監(jiān)控端，其上的發(fā)布端主要用來更新分站點上 Web 服務器上的內(nèi)容；另外，需要在各個分站點安裝網(wǎng)站衛(wèi)士系統(tǒng)的監(jiān)控端。 Web 核心特征庫會定期升級，保障其強大的檢測能力。用戶可以通過啟用發(fā)布端的自動發(fā)布 領先的應用安全及數(shù)據(jù)庫安全整體解決方案提供商 15 / 23 上海睿宏電子 科技 發(fā)展 有限公司 功能，在不停止備份功能的前提下，自動更新網(wǎng)頁，發(fā)布端會自動將這些內(nèi)容更新到 Web 服務器上。 日志審計 提供管理員行為日志，包括：時間、事件、操作對象、行為、 IP 地址等詳盡信息，方便區(qū)分正常更新過程還是篡改攻擊行為；支持保護日志查詢審計功能；用戶不能進行日志修改、刪除操作，確保日志的準確性與完整性?？刂?Web服務器的啟用、關閉、禁用等狀態(tài)，并可對 Web 服務器的日志和報警情況做統(tǒng)計分析。 事后分析 提供詳細的 WEB 應用攻擊訪問日志，實現(xiàn)對攻擊源的定位分析，同時提供各類統(tǒng)計分析，方便掌握整個應用系統(tǒng)的動態(tài)安全狀況。 服務內(nèi)容介紹 WEB 漏洞評估服務主要包含以下三大類、六方面： 領先的應用安全及數(shù)據(jù)庫安全整體解決方案提供商 20 / 23 上海睿宏電子 科技 發(fā)展 有限公司 大類 子類 說明 提交文檔 漏洞檢測 SQL注入漏洞 SQL 注入漏洞產(chǎn)生原因是網(wǎng)站程序在編寫時，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，導致應用程序存在安全隱患 網(wǎng)站漏洞掃描報告 跨站腳本漏洞 跨站腳本攻擊簡稱為 XSS 又稱 CSS，是指服務器端的 CGI程序沒有對用戶提交變量中的 HTML代碼進行有效的過濾或轉(zhuǎn)換，允許攻擊者往 WEB 頁面里插入對終端用戶造成影響或損失的 HTML 代碼 相關漏洞檢測 檢測內(nèi)容包括： FORM檢測、 AJAX 注入檢測、中間人攻擊檢測、 X path注入檢測、 Cookies 注入檢測等 第三方軟件漏洞 第三方軟件漏洞一般是指網(wǎng)站后臺編輯器、服務器軟件如 IIS、 Apache 等本身可能存在的安全漏洞，導致對外服務網(wǎng)站存在入侵隱患 木馬檢測 由于應用系統(tǒng)存在可被利用的安全漏洞，可能已被惡意人員進行掛馬獲取相應權(quán)限或用以傳播病毒 木馬檢查報告 滲透測試 在用戶授權(quán)的前提下，通過模擬黑客的攻擊方法對 Web 應用系統(tǒng)進行非破壞性質(zhì)的攻擊性測試，目的是侵入系統(tǒng)，獲取系統(tǒng)控制權(quán)并將入侵的過程和細節(jié)產(chǎn)生報告給用戶，由此證實 Web 應用系統(tǒng)所存在的安全威脅和風險，并能及時提醒 Web 應用系統(tǒng)管理員完善安全策略 網(wǎng)站滲透性測試報告 評估實踐介紹 國內(nèi)首次發(fā)現(xiàn)網(wǎng)站群注風暴 領先的應用安全及數(shù)據(jù)庫安全整體解決方案提供商 21 / 23 上海睿宏電子 科技 發(fā)展 有限公司 2021 年 5 月，公司安全研究服務團隊在某網(wǎng)站應急響應中首次發(fā)現(xiàn)并處理了全球性的網(wǎng)站群注風暴攻擊，并且在國內(nèi)首家發(fā)布了紅色預警。 某網(wǎng)站的群注攻擊解碼后： DECLARE T varchar(255),C varchar(255) DECLARE Table_Cursor CURSOR FOR select , from sysobjects a,syscolumns b where = and =39。+T+39。+C+39。 領先的應用安全及數(shù)據(jù)庫安全整體解決方案提供商 22 / 23 上海睿宏電子 科技 發(fā)展 有限公司 4 部 分用戶案例 行業(yè) 典型客戶 國家級 /部級 農(nóng)科院、國家質(zhì)監(jiān)局 金融 中國銀行業(yè)監(jiān)督管理委員會、財通證券有限公司、英大泰和人壽保險股份有限公司、浙商證券有限責任公司、寧波銀行、諸暨農(nóng)村合作銀行、浙江禾城農(nóng)村合作銀行、浙江瑞安農(nóng)村合作銀行、浙江定海農(nóng)村合作銀行、浙江樂清農(nóng)村合作銀行 運營商 中國移動通信集團陜西有限公司、山西移動、中國網(wǎng)絡通信集團公司浙江省分公司、中國聯(lián)通、江蘇聯(lián)通南京分公司 ICT、江門移動 電力能源 無錫華潤燃氣有限公司 政府 湖州市信息中心、天津市電子政務中心、江蘇省人民政府外事辦公室、江蘇省勞動和社會保障廳、蘇州市園林和綠化管理局、江西省信息產(chǎn)業(yè)廳、浙江省人民政府外事辦公室、浙江省人民政府國有資產(chǎn)監(jiān)督管理委員會、浙江省財政廳、浙江省國土資源廳、浙江省信息產(chǎn)業(yè)廳、浙江省科技廳、浙江省交通廳、浙江省氣象 局、浙江省道路運輸管理局、浙江省廣播電視局、杭州市中級人民法院 、上海市勞動保障宣傳教育中心 公安 公安部等級保護測評中心、溫州市公安局、嘉興交警、嘉興公安局 醫(yī)療 北京積水潭醫(yī)院 教育 浙江警官職業(yè)學院、寧波理工學院、昆明理工 大學、浙江省工商職業(yè)技術(shù)學院、溫州大學城市學院、上海教育網(wǎng)絡圖書館、 領先的應用安全及數(shù)據(jù)庫安全整體解決方案提供商 23 / 23 上海睿宏電子 科技 發(fā)展 有限公司 雅安職業(yè)技術(shù)學院 稅務 浙江省國家稅務局、浙江省地方稅務局、保山市地方稅務局、蘇州地稅、嘉興市地稅局 工商 陜西工商行政管理局、杭州市工商局、浙江省工商行政管理局、 社保 蘭州市人力資源和社會保障局 測評機構(gòu) 浙江省電子產(chǎn)品檢驗所 其他 中國水利集團、寧波電視臺、杭州蕭山國際機場、中國水利水電第八工程局有限公司、中國水電工程顧問集團公司、鄭州日報、中山市慈善總會網(wǎng)站、上海方正信息安全技術(shù)有限公司、杭州格格數(shù)碼科技有限公司、北京聯(lián)信永益科技有限公司、寧波日報報業(yè)集團、重慶有線電視網(wǎng)絡有限公司、寧波三生日用品有限公司