防范網頁掛馬攻擊 從對WEB站點進行安全測試開始

防范網頁掛馬攻擊 從對WEB站點進行安全測試開始

對于一些大型網站來說，通常擁有一整套已經執行了的WEB站點安全防范解決方案，但是，為什么一些網站還是會被攻擊者掛載木馬?其中一個最主要的原因是已經實施的WEB站點安全解決方案只能夠應對已經出現的安全漏洞和威脅。而攻擊者總是在通過各種手段來分析網站中可能會存在的弱點或漏洞，以便能夠成功繞過網站當前的安全防范措施來實施掛馬攻擊。針對這樣的一種WEB站點安全現狀，最好的方式就是在部署相應的安全防范安全解決方案的同時，還必需采取與攻擊者相同的手段，也就是在網站的運營過程中，不斷對它進行安全評估，以此來找到網站中可能存在的弱點和漏洞。

　　對WEB站點進行安全評估是WEB安全防范處理過程中非常重要的一個環節，它應當貫穿站點的整個生命周期。對WEB站點實施安全評估的目的就是指安全評估人員，使用相應的評估工具和技術，經過一系列恰當的方法，對WEB服務器本身、服務器系統、后臺數據庫系統及網絡中已經實施的安全機制，進行全面的檢測和評估，以此來檢測整個WEB系統是否還存在弱點，以及驗證實施的安全機制是否有效。并根據最后的評估分析結果，對現有的安全策略進行修訂，對實施的安全機制進行補充。

　　一、制定WEB站點安全評估方案

　　對WEB站點進行安全評估，為了能夠達到最終的效果，事先先制定一個切合實際的安全評估方案是十分有意義的。當然，對于一些個人網站，或者只進行一次WEB站點弱點檢測來說，也可以跳過制定安全評估方案這個環節，直接使用系統或WEB弱點檢測工具對WEB站點所在的系統和其本身進行詳細的弱點檢測即可。

　　如果需要對一個WEB站點進行全面的安全評估，或者你需要一個安全評估方案來指導你完成相應的WEB站點弱點檢測任務，那么，我們可以按下列列出的內容，來構建一個適合自己實際需求的WEB站點安全評估方案：

　　1、為WEB站點安全評估確定一個最終目標，也就是為什么要這么做，這樣做需要達到什么的目的。

　　2、為WEB站點的安全評估指定安全評估人員。

　　3、確定安全評估時具體的評估對象。

　　4、為WEB站點的安全評估制定具體的時間計劃表，如果沒有什么特殊情況，我們應當嚴格按照這張時間表規定的時間對WEB站點實施安全評估。

　　5、為WEB站點的安全評估指定具體的評估工具，并要求評估人員對這些工具進行相應的學習，以達到訓練掌握它們的目的，還必需規定評估人員按時對這些評估軟件所依賴的評估漏洞庫和軟件本身進行不斷的更新。

　　6、規定是將安全評估工具安全裝在目標WEB服務器進行安全評估，還是在專門的硬件設備(例如筆記本電腦)上安裝評估軟件，然后在使用時再接入目標網絡實施評估任務。

　　7、明確具體的安全評估方法

　　8、明確安全評估過程中需要注意的操作事項;

　　9、明確安全評估的規章制度和評估人員責任;

　　10、規定安全評估結果的記錄方式，以及評估報告的上報、存檔和檢索方式。

　　WEB站點安全評估方案應當根據實際的網絡環境，以及站點的具體內容和功能，經過詳細的調查和分析后，再由安全評估參與人員共同完成。當然，一個實際的WEB站點安全評估方案，所包括的內容可能比上述所列出的內容要多得多，也詳細得多，在這里只是對它們做了一個簡單的說明，具體的內容還需要大家根據實際情況做具體的補充。

　　共3頁: 1 2[3]

　　內容導航

　　 二、WEB站點安全評估的具體實施方式

　　WEB站點安全評估的具體實施涉及到四個最關鍵的因素，它們是安全評估人員、評估工具、評估方法和評估對象。

　　1、安全評估人員

　　安全評估人員，應當包括WEB站點所有者、管理員及安全評估實施人員。安全評估實施人員的技術和經驗，以及工作態度在一定程度上決定了評估的效果和可信性。

　　有時，一些WEB站點不得不將安全評估任務外包給一些具有安全評估資質的第三方機構來完成，這也是一些沒有具體的WEB站點管理員的中小企業WEB網站經常使用的方式。

　　還有一些WEB站點，所有的工作都是由站點管理員一個人來完成，對于這樣的WEB站點安全評估報告，通常只會被他自己所接受，也就是用來對站點當前的安全狀況進行一次簡單的體檢，以此來做到心中有數。

原文轉自：http://www.anti-gravitydesign.com