網(wǎng)站安全風(fēng)險(xiǎn)分析及對(duì)策
評(píng)論: 更新日期:2015年04月28日
定義:
??????? 網(wǎng)站安全性分析即指�����,分析者論述威脅網(wǎng)站安全的原因��,提出在建立網(wǎng)站時(shí)應(yīng)考慮的安全性目標(biāo)以及防范手段�����。網(wǎng)站安全分析:
??????? 1.登錄頁(yè)面必須加密
??????? 在登錄之后實(shí)施加密有可能有用��,這就像把大門關(guān)上以防止馬兒跑出去一樣�����,不過(guò)他們并沒(méi)有對(duì)登錄會(huì)話加密��,這就有點(diǎn)兒像在你鎖上大門時(shí)卻將鑰匙放在了鎖眼里一樣�����。即使你的登錄會(huì)話被傳輸?shù)搅艘粋€(gè)加密的資源��,在許多情況下����,這仍有可能被一個(gè)惡意的黑客攻克���,他會(huì)精心地偽造一個(gè)登錄表單��,借以訪問(wèn)同樣的資源�����,并訪問(wèn)敏感數(shù)據(jù)�����。
??????? 2.采取專業(yè)工具輔助
??????? 在市面目前有許多針對(duì)于網(wǎng)站安全的檢測(cè)平臺(tái)�����,不過(guò)這些大多數(shù)是收費(fèi)的����,而目前標(biāo)榜免費(fèi)就只有億思網(wǎng)站安全檢測(cè)平臺(tái)(iiscan)��。通過(guò)這些網(wǎng)站安全檢測(cè)平臺(tái)能夠迅速找到網(wǎng)站的安全隱患��,而且這些平臺(tái)都會(huì)提供針對(duì)其隱患做出相應(yīng)措施�����。
??????? 3.通過(guò)加密連接管理你的站點(diǎn)
??????? 使用不加密的連接(或僅使用輕度加密的連接),如使用不加密的FTP或HTTP用于Web站點(diǎn)或Web服務(wù)器的管理�����,就會(huì)將自己的大門向“中間人”攻擊和登錄/口令的嗅探等手段敞開(kāi)大門����。因此請(qǐng)務(wù)必使用加密的協(xié)議,如SSH等來(lái)訪問(wèn)安全資源��,要使用經(jīng)證實(shí)的一些安全工具如OpenSSH等���。否則��,一旦某人截獲了你的登錄和口令信息�����,他就可以執(zhí)行你可做的一切操作�����。
??????? 4.使用強(qiáng)健的����、跨平臺(tái)的兼容性加密根據(jù)目前的發(fā)展情況,SSL已經(jīng)不再是Web網(wǎng)站加密的最先進(jìn)技術(shù)��?����??br />
??????? 以考慮TLS���,即傳輸層安全,它是安全套接字層加密的繼承者���。要保證你所選擇的任何加密方案不會(huì)限制你的用戶基礎(chǔ)�����。同樣的原則也適用于后端的管理����,在這里SSH等跨平臺(tái)的強(qiáng)加密方案要比微軟的Windows遠(yuǎn)程桌面等較弱的加密工具要更可取���、更有優(yōu)越性�����。
??????? 5.從一個(gè)安全有保障的網(wǎng)絡(luò)連接
??????? 避免從安全特性不可知或不確定的網(wǎng)絡(luò)連接���,也不要從安全性差勁的一些網(wǎng)絡(luò)連接����,如一些開(kāi)放的無(wú)線訪問(wèn)點(diǎn)等����。無(wú)論何時(shí),只要你必須登錄到服務(wù)器或Web站點(diǎn)實(shí)施管理���,或訪問(wèn)其它的安全資源時(shí)����,這一點(diǎn)尤其重要����。如果你連接到一個(gè)沒(méi)有安全保障的網(wǎng)絡(luò)時(shí),還必須訪問(wèn)Web站點(diǎn)或Web服務(wù)器����,就必須使用一個(gè)安全代理����,這樣你到安全資源的連接就會(huì)來(lái)自于一個(gè)有安全保障的網(wǎng)絡(luò)代理���。
??????? 6.不要共享登錄的機(jī)要信息
??????? 共享登錄機(jī)要信息會(huì)引起諸多安全問(wèn)題���。這不但適用于網(wǎng)站管理員或Web服務(wù)器管理員���,還適用于在網(wǎng)站擁有登錄憑證的人員����,客戶也不應(yīng)當(dāng)共享其登錄憑證�����。登錄憑證共享得越多��,就越可能更公開(kāi)地共享���,甚至對(duì)不應(yīng)當(dāng)訪問(wèn)系統(tǒng)的人員也是如此;登錄機(jī)要信息共享得越多�����,要建立一個(gè)跟蹤索引借以跟蹤��、追查問(wèn)題的源頭就越困難��,而且如果安全性受到損害或威脅因而需要改變登錄信息時(shí)��,就會(huì)有更多的人受到影響�����。
??????? .7采用基于密鑰的認(rèn)證而不是口令認(rèn)證
??????? 口令認(rèn)證要比基于密鑰的認(rèn)證更容易被攻破����。設(shè)置口令的目的是在需要訪
??????? 問(wèn)一個(gè)安全的資源時(shí)能夠更容易地記住登錄信息。不過(guò)如果使用基于密鑰的認(rèn)證����,并僅將密鑰復(fù)制到預(yù)定義的、授權(quán)的系統(tǒng)(或復(fù)制到一個(gè)與授權(quán)的系統(tǒng)相分離的獨(dú)立介質(zhì)中�����,直接需要它時(shí)才取回��。),你將會(huì)得到并使用一個(gè)更強(qiáng)健的難于破解的認(rèn)證憑證�����。
??????? 網(wǎng)站安全問(wèn)題的原因何在
??????? 1.大多數(shù)網(wǎng)站設(shè)計(jì)�����,只考慮正常用戶穩(wěn)定使用
??????? 但在黑客對(duì)漏洞敏銳的發(fā)覺(jué)和充分利用的動(dòng)力下����,網(wǎng)站存在的這些漏洞就被挖掘出來(lái),且成為黑客們直接或間接獲取利益的機(jī)會(huì)�����。對(duì)于Web應(yīng)用程序的SQL注入漏洞���,有試驗(yàn)表明,通過(guò)搜尋1000個(gè)網(wǎng)站取樣測(cè)試����,檢測(cè)到有11.3%存在SQL注入漏洞。
