安全性分析

網站安全分析

1. 登錄頁面必須加密在登錄之後實施加密有可能有用，這就像把大門關上以防止馬兒跑出去一樣，不過他們並沒有對登錄會話加密，這就有點兒像在你鎖上大門時卻將鑰匙放在了鎖眼裡一樣。即使你的登錄會話被傳輸到了一個加密的資源，在許多情況下，這仍有可能被一個惡意的黑客攻克，他會精心地偽造一個登錄表單，藉以訪問同樣的資源，並訪問敏感數據。
2. 採取專業工具輔助 在市面目前有許多針對於網站安全的檢測平台，不過這些大多數是收費的，而目前標榜免費就只有億思網站安全檢測平台（iiscan）。通過這些網站安全檢測平台能夠迅速找到網站的安全隱患，而且這些平台都會提供針對其隱患做出相應措施。
3. 通過加密連線管理你的站點 使用不加密的連線(或僅使用輕度加密的連線)，如使用不加密的FTP或HTTP用於Web站點或Web伺服器的管理，就會將自己的大門向“中間人”攻擊和登錄/口令的嗅探等手段敞開大門。因此請務必使用加密的協定，如SSH等來訪問安全資源，要使用經證實的一些安全工具如OpenSSH等。否則，一旦某人截獲了你的登錄和口令信息，他就可以執行你可做的一切操作。
4. 使用強健的、跨平台的兼容性加密 根據目前的發展情況，SSL已經不再是Web網站加密的最先進技術。可以考慮TLS，即傳輸層安全，它是安全套接字層加密的繼承者。要保證你所選擇的任何加密方案不會限制你的用戶基礎。同樣的原則也適用於後端的管理，在這裡SSH等跨平台的強加密方案要比微軟的Windows遠程桌面等較弱的加密工具要更可取、更有優越性。
5. 從一個安全有保障的網路連線 避免從安全特性不可知或不確定的網路連線，也不要從安全性差勁的一些網路連線，如一些開放的無線訪問點等。無論何時，只要你必須登錄到伺服器或Web站點實施管理，或訪問其它的安全資源時，這一點尤其重要。如果你連線到一個沒有安全保障的網路時，還必須訪問Web站點或Web伺服器，就必須使用一個安全代理，這樣你到安全資源的連線就會來自於一個有安全保障的網路代理。
6. 不要共享登錄的機要信息 共享登錄機要信息會引起諸多安全問題。這不但適用於網站管理員或Web伺服器管理員，還適用於在網站擁有登錄憑證的人員，客戶也不應當共享其登錄憑證。登錄憑證共享得越多，就越可能更公開地共享，甚至對不應當訪問系統的人員也是如此;登錄機要信息共享得越多，要建立一個跟蹤索引藉以跟蹤、追查問題的源頭就越困難，而且如果安全性受到損害或威脅因而需要改變登錄信息時，就會有更多的人受到影響。
7. 採用基於密鑰的認證而不是口令認證 口令認證要比基於密鑰的認證更容易被攻破。設定口令的目的是在需要訪問一個安全的資源時能夠更容易地記住登錄信息。不過如果使用基於密鑰的認證，並僅將密鑰複製到預定義的、授權的系統(或複製到一個與授權的系統相分離的獨立介質中，直接需要它時才取回。)，你將會得到並使用一個更強健的難於破解的認證憑證。
8. 維護一個安全的工作站 如果你從一個客戶端系統連線到一個安全的資源站點，而你又不能完全保證其安全性，你就不能保證某人並沒有在監聽你所做的一切。因此鍵盤記錄器、受到惡意損害的網路加密客戶以及黑客們的其它一些破壞安全性的伎倆都會準許某個未得到授權的個人訪問敏感數據，而不管網路是否有安全措施，是否採用加密通信，也不管你是否部署了其它的網路保護。因此保障工作站的安全性是至關重要的。
9. 運用冗餘性保護網站 備份和伺服器的失效轉移可有助於維持最長的正常運行時間。雖然失效轉移可以極大地減少伺服器的宕機時間，但這並不是冗餘性的唯一價值。用於失效轉移計畫中的備份伺服器可以保持伺服器配置的最新，這樣在發生災難時你就不必從頭開始重新構建你的伺服器。備份可以確保客戶端數據不會丟失，而且如果你擔心受到損害系統上的數據落於不法之徒手中，就會毫不猶豫地刪除這種數據。當然，你還必須保障失效轉移和備份方案的安全，並定期地檢查以確保在需要這些方案時不至於使你無所適從。
10. 確保對所有的系統都實施強健的安全措施，而不僅運用特定的Web安全措施 在這方面，可以採用一些通用的手段，如採用強口令，採用強健的外圍防禦系統，及時更新軟體和為系統打補丁，關閉不使用的服務，使用數據加密等手段保證系統的安全等。

安全隱患分析

1. 大多數網站設計，只考慮正常用戶穩定使用 但在黑客對漏洞敏銳的發覺和充分利用的動力下，網站存在的這些漏洞就被挖掘出來，且成為黑客們直接或間接獲取利益的機會。對於Web應用程式的SQL注入漏洞，有試驗表明，通過搜尋1000個網站取樣測試，檢測到有11.3%存在SQL注入漏洞。
2. 網站防禦措施過於落後，甚至沒有真正的防禦 大多數防禦傳統的基於特徵識別的入侵防禦技術或內容過濾技術，對保護網站抵禦黑客攻擊的效果不佳。比如對SQL注入、跨站腳本這種特徵不唯一的網站攻擊，基於特徵匹配技術防禦攻擊，不能精確阻斷攻擊。因為黑客們可以通過構建任意表達式來繞過防禦設備固化的特徵庫，比如：and1=1和and2=2是一類資料庫語句，但可以人為任意構造數字構成同類語句的不同特徵。而and、=等這些標識在WEB提交資料庫套用中又是普遍存在的表達符號，不能作為攻擊的唯一特徵。因此，這就很難基於特徵標識來構建一個精確阻斷SQL注入攻擊的防禦系統。導致目前有很多黑客將SQL注入成為入侵網站的首選攻擊技術之一。基於套用層構建的攻擊，防火牆更是束手無策。網站防禦不佳還有另一個原因，有很多網站管理員對網站的價值認識僅僅是一台伺服器或者是網站的建設成本，為了這個伺服器而增加超出其成本的安全防護措施認為得不償失。而實際網站遭受攻擊之後，帶來的間接損失往往不能用一個伺服器或者是網站建設成本來衡量，很多信息資產在遭受攻擊之後造成無形價值的流失。不幸的是，很多網站負責的單位、人員，只有在網站遭受攻擊後，造成的損失遠超過網站本身造價之後才意識就這一點。
3. 黑客入侵後，未被及時發現 有些黑客通過篡改網頁來傳播一些非法信息或炫耀自己的水平，但篡改網頁之前，黑客肯定基於對漏洞的利用，獲得了網站控制許可權。這不是最可怕的，因為黑客在獲取許可權後沒有想要隱蔽自己，反而是通過篡改網頁暴露自己，這雖然對網站造成很多負面影響，但黑客本身未獲得直接利益。更可怕的是，黑客在獲取網站的控制許可權之後，並不暴露自己，而是利用所控制網站產生直接利益;網頁掛馬就是一種利用網站，將瀏覽網站的人種植其木馬的一種非常隱蔽且直接獲取利益的主要方式之一。訪問網站而被種植木馬的人通常也不知情，導致一些用戶的機密信被竊取。網站成了黑客散布木馬的一個渠道。網站本身雖然能夠提供正常服務，但訪問網站的人卻遭受著木馬程式的危害。這種方式下，黑客們通常不會暴露自己，反而會儘量隱蔽，正好比暗箭難防，所以很多網站被掛木馬數月仍然未被察覺。由於掛馬原理是木馬本身並非在網站本地，而是通過網頁中載入一個能夠讓瀏覽者自動建立另外的下載連線完成木馬下載，而這一切動作是可以很隱蔽的完成，各個用戶不可見，因此這種情況下網站本地的病毒軟體也無法發現這個掛馬實體。
4. 發現安全問題不能徹底解決 網站技術發展較快、安全問題日益突出，但由於關注重點不同，絕大多數的網站開發與設計公司，網站安全代碼設計方面了解甚少，發現網站安全存在問題和漏洞，其修補方式只能停留在頁面修復，很難針對網站具體的漏洞原理對原始碼進行改造。這些也是為什麼有些網站安裝網頁放篡改、網站恢復軟體後仍然遭受攻擊。我們在一次網站安全檢查過程中，曾經戲劇化的發現，網站的網頁放篡改系統將早期植入的惡意代碼也保護了起來。這說明很少有人能夠準確的了解網站安全漏洞解決的問題是否徹底。

具體檢測方法

常見模式介紹