【正文】 文件很有可能就是網(wǎng)站的一些重要文件的備份信息，或者是網(wǎng)站管理員忘記刪除的網(wǎng)站數(shù)據(jù)庫(kù)備份。這些文件是最有可能導(dǎo)致網(wǎng)站重要數(shù)據(jù)的泄漏的風(fēng)險(xiǎn)點(diǎn)，直接威脅著整個(gè)網(wǎng)站的整體安全。 可能的安全危害 源代碼、私密文件泄露。 解決方案建議 及時(shí)刪除備份文件。 5． CGI 漏洞掃描 這種類型的漏洞通常是導(dǎo)致服務(wù)端腳本文件源代碼的暴露，或者是程序的任意執(zhí)行等等。同時(shí)，由于這類已知的 CGI 漏洞利用技術(shù)都是很成熟了的，所以對(duì)網(wǎng)站的安全也有較大的威脅。 可能的安全危害 敏感數(shù)據(jù)泄漏，服務(wù)器被入侵 解決方案建議 及時(shí)安裝 WEB 服務(wù)器的安全補(bǔ)丁。 6． 用戶名和密碼猜解 通常，網(wǎng)站是不提供內(nèi)部用戶注冊(cè)的，但是由于內(nèi)部用戶的粗心大意留下了簡(jiǎn)單密碼的帳戶，導(dǎo)致外部人員可以使用內(nèi)部功能。于此同時(shí)，內(nèi)部功能上的風(fēng)險(xiǎn)也暴露給了外部人員。 可能的安全危害 網(wǎng)絡(luò)安全實(shí)訓(xùn) 12 導(dǎo)致外部用戶可以登陸管理員后臺(tái)，使用高權(quán)限功能，并造成內(nèi) 部功能缺陷的暴露。 解決方案建議 使用強(qiáng)壯的帳號(hào)密碼，內(nèi)部用戶避免使用常見(jiàn)的用戶名。 7． 跨站腳本漏洞挖掘 跨站腳本攻擊漏洞通常出現(xiàn)在用戶和應(yīng)用程序進(jìn)行信息交互的接口處，這種漏洞使用戶訪問(wèn)應(yīng)用程序的時(shí)候執(zhí)行惡意代碼，可以直接導(dǎo)致用戶數(shù)據(jù)的泄漏，最終不但有損網(wǎng)站的信譽(yù)度，同時(shí)還威脅到服務(wù)器的安全性。 可能的安全危害 感染病毒，泄漏敏感數(shù)據(jù)。 解決方案建議 在程序中各種輸入?yún)?shù)，進(jìn)行關(guān)鍵字的過(guò)濾。 8． SQL 注射漏洞挖掘 SQL 注射類型的漏洞通常是出現(xiàn)在用戶和服務(wù)器進(jìn)行信息交互的接口處，這種漏洞使得服務(wù)器的后臺(tái) 數(shù)據(jù)庫(kù)內(nèi)的信息很有可能直接暴露出來(lái)，造成機(jī)密信息的泄漏。如果其中包含管理員的帳號(hào)信息，其危害也就不言而喻了。更重要的是站在網(wǎng)站用戶的角度來(lái)說(shuō)，這種問(wèn)題的出現(xiàn)嚴(yán)重影響到了網(wǎng)站在客戶心中的信譽(yù)度。 可能的安全危害 未授權(quán)用戶可能通過(guò)該漏洞獲取數(shù)據(jù)庫(kù)敏感資料，造成敏感信息泄漏。 解決方案建議 針對(duì)此類型漏洞，應(yīng)盡量過(guò)慮各種輸入?yún)?shù)，如 “用戶名”或“密碼”， id 這三個(gè)參數(shù)進(jìn)行過(guò)慮。 9． 漏洞掃描 通過(guò)漏洞掃描可以發(fā)現(xiàn)服務(wù)器各種重要信息，也有可能直接發(fā)現(xiàn)系統(tǒng)重要的系統(tǒng)安全漏洞，或者發(fā)現(xiàn)操作系統(tǒng)及數(shù)據(jù)庫(kù)等應(yīng)用的弱口令 漏洞。 通過(guò)安全掃描工作充分了解系統(tǒng)安全的真實(shí)情況，也充分了解外部攻擊者所能探測(cè)到的信息，同時(shí)也檢驗(yàn)防火墻等安全設(shè)備的實(shí)際效果。 可能的安全危害 信息泄露。 解決方案建議 部署并加強(qiáng)防火墻、入侵檢測(cè)設(shè)備的安全策略。 10． 遠(yuǎn)程溢出 遠(yuǎn)程溢出測(cè)試基于漏洞掃描的結(jié)果，掃描發(fā)現(xiàn)的系統(tǒng)漏洞有可能是誤報(bào)。當(dāng)前系統(tǒng)遠(yuǎn)程網(wǎng)絡(luò)安全實(shí)訓(xùn) 13 漏洞并不多，而且大部分遠(yuǎn)程溢出漏洞都被防火墻和入侵檢測(cè)擋在外面，不過(guò)一旦遠(yuǎn)程溢出被利用，攻擊者很有可能就會(huì)獲得系統(tǒng)的最高權(quán)限。 可能的安全危害 導(dǎo)致攻擊者獲得系統(tǒng)權(quán)限。 解決方案建議 安裝系統(tǒng)補(bǔ)丁，修復(fù)系 統(tǒng)漏洞。 11． 本地權(quán)限提升 攻擊者通過(guò)攻擊網(wǎng)站等應(yīng)用程序后會(huì)獲得一定的系統(tǒng)權(quán)限，在獲得權(quán)限后他們就會(huì)利用系統(tǒng)本地溢出漏洞，系統(tǒng)缺陷，配置不當(dāng)?shù)嚷┒催M(jìn)行權(quán)限提升，達(dá)到完全控制服務(wù)器的目的。 可能的安全危害 導(dǎo)致攻擊者獲得系統(tǒng)最高權(quán)限。 解決方案建議 修復(fù)系統(tǒng)存在安全漏洞，設(shè)置恰當(dāng)?shù)哪_本執(zhí)行權(quán)限，以及目錄讀寫(xiě)權(quán)限。 12． 遠(yuǎn)程密碼猜解 使用常見(jiàn)的密碼對(duì)服務(wù)器進(jìn)行遠(yuǎn)程密碼猜解。 可能的安全危害 服務(wù)器被入侵 解決方案建議 使用強(qiáng)壯而沒(méi)有規(guī)則的帳號(hào)和密碼。建議使用蜜罐帳號(hào)，建立一個(gè)低權(quán)限的 administrator帳號(hào)，拖延攻擊者攻擊的時(shí)間。 思路 1． 建立主動(dòng)的安全檢測(cè)機(jī)制 面對(duì) Web 應(yīng)用的威脅，我們?nèi)狈τ行У臋z查機(jī)制，因此，首先要 建立 一個(gè)主動(dòng)的網(wǎng)站安全檢查機(jī)制 ， 確保網(wǎng)站安全情況的及時(shí)獲知 —— 是否已經(jīng)遭到攻擊，是否存還在被攻擊的風(fēng)險(xiǎn)。 2． 進(jìn)行有效的入侵防護(hù) 面對(duì) Web 應(yīng)用的攻擊，我們?nèi)狈τ行У臋z測(cè)防護(hù)機(jī)制，因此，需要 部署針對(duì)網(wǎng)站的入侵防護(hù)產(chǎn)品，加強(qiáng)網(wǎng)站防入侵能力 ，能夠?qū)?網(wǎng)站主流 的應(yīng)用層攻擊（如 SQL 注入和 XSS 攻擊）進(jìn)行防護(hù)。 網(wǎng)絡(luò)安全實(shí)訓(xùn) 14 3． 針對(duì)網(wǎng)站安全問(wèn)題，建立及時(shí)響應(yīng)機(jī)制 面對(duì) Web 應(yīng)用程序 漏洞和已經(jīng)造成的危害，我們?nèi)狈謴?fù)的機(jī)制和足夠的技術(shù)儲(chǔ)備，因此，需要 確立專業(yè)支持團(tuán)隊(duì)的外援保障，解決及時(shí)響應(yīng)問(wèn)題 ， 在網(wǎng)站 安全問(wèn)題被 驗(yàn)證后，能確保對(duì) 網(wǎng)站進(jìn)行木馬清除以及針對(duì) web 漏洞的 安全代碼審核修補(bǔ) 等工作。 只有通過(guò)以上 3 個(gè)環(huán)節(jié)有機(jī)結(jié)和，方可建立一套有檢測(cè)，有防護(hù)，有響應(yīng)的網(wǎng)站安全保障方案，確保在新威脅環(huán)境下網(wǎng)站的安全運(yùn)營(yíng)。 網(wǎng)絡(luò)安全實(shí)訓(xùn) 15 五． 網(wǎng)站安全方案 總結(jié) 網(wǎng)站的價(jià)值在日益提升，其安全問(wèn)題也變得愈加重要。作為網(wǎng)站所有者，組織雖然采取了一些傳統(tǒng)的安全措施，但應(yīng)對(duì)新的 Web 應(yīng)用層威脅卻顯得力不從心，主要表現(xiàn)在：缺乏 Web 應(yīng)用安全的主動(dòng)檢查機(jī)制，簡(jiǎn)陋的防護(hù)不足與應(yīng)對(duì)Web 應(yīng)用層攻擊，以及未能采取及時(shí)有效的修復(fù)措施。這些問(wèn)題使得組織仍持續(xù)遭受網(wǎng)站攻擊事件的困擾。要保證網(wǎng)站的安全需做到以下幾點(diǎn)： ，從安全制度、安全硬件、安全人員配備等都要有一定的規(guī)劃。如果網(wǎng)站的擁有者都不重視網(wǎng)站安全，僅把網(wǎng)站安全當(dāng)作一個(gè)技術(shù)問(wèn)題，那就是會(huì)帶來(lái)嚴(yán)重的麻煩 。 ，防止不幸后可以將受攻擊的損失降到最低。 ，主動(dòng)進(jìn)行滲透檢測(cè)，最好考慮聯(lián)系專業(yè)的第 三方安全服務(wù)機(jī)構(gòu)進(jìn)行獨(dú)立和專業(yè)的滲透檢測(cè)，避免內(nèi)部力量的不足和非獨(dú)立性。 ，因?yàn)榘踩?wù)不是一次檢測(cè)等就可確保安枕無(wú)憂的，需要定期進(jìn)行安全維護(hù)，以及安全服務(wù)機(jī)構(gòu)提供一些安全日常服務(wù)。 ，上國(guó)內(nèi)互聯(lián)安全類網(wǎng)站去了解。