Web安全問答（1）

問：怎樣應(yīng)對Web業(yè)務(wù)安全事件

答：應(yīng)對Web業(yè)務(wù)安全事件，從根本上的解決辦法就是對Web應(yīng)用程序源代碼進(jìn)行代碼檢查和漏洞修復(fù)，但是這會影響正常Web業(yè)務(wù)運(yùn)行，而且費(fèi)用較高。比較有效的解決方案是通過專業(yè)的Web業(yè)務(wù)安全檢查工具或服務(wù)來檢查網(wǎng)站安全狀況，部署專業(yè)的Web安全產(chǎn)品，比如基于行為檢測的入侵防御產(chǎn)品產(chǎn)品，同時在管理上，要求網(wǎng)管人員實(shí)時對網(wǎng)站進(jìn)行監(jiān)測，一旦發(fā)現(xiàn)被篡改等問題進(jìn)行頁面恢復(fù)、刪除惡意腳本等工作。

Web安全問答（2）

問：什么叫網(wǎng)絡(luò)蠕蟲

答：一般認(rèn)為：蠕蟲病毒是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它除具有病毒的一些共性外，同時具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對網(wǎng)絡(luò)造成拒絕服務(wù)，以及與黑客技術(shù)相結(jié)合等等。蠕蟲病毒主要的破壞方式是大量的復(fù)制自身，然后在網(wǎng)絡(luò)中傳播，嚴(yán)重的占用有限的網(wǎng)絡(luò)資源，最終引起整個網(wǎng)絡(luò)的癱瘓，使用戶不能通過網(wǎng)絡(luò)進(jìn)行正常的工作。每一次蠕蟲病毒的爆發(fā)都會給全球經(jīng)濟(jì)造成巨大損失，因此它的危害性是十分巨大的；有一些蠕蟲病毒還具有更改用戶文件、將用戶文件自動當(dāng)附件轉(zhuǎn)發(fā)的功能，更是嚴(yán)重的危害到用戶的系統(tǒng)安全。

Web安全問答（3）

問：如何應(yīng)對DOS/DDOS攻擊

答：從目前現(xiàn)有的技術(shù)角度來講，還沒有一項解決辦法針對DoS非常有效。所以，防止DoS攻擊的最佳手段就是防患于未然。也就是說，首先要保證一般的外圍主機(jī)和服務(wù)器的安全，使攻擊者無法獲得大量的無關(guān)主機(jī)，從而無法發(fā)動有效攻擊。一旦單位內(nèi)部的主機(jī)或臨近網(wǎng)絡(luò)的主機(jī)被黑客侵入，那么其他的主機(jī)被侵入的危險會變得很大。同時，如果網(wǎng)絡(luò)內(nèi)部或鄰近的主機(jī)被用來對本機(jī)進(jìn)行DoS攻擊，攻擊的效果會更明顯。所以，必須保證這些外圍主機(jī)和網(wǎng)絡(luò)的安全。尤其是那些擁有高帶寬和高性能服務(wù)器的網(wǎng)絡(luò)，往往是黑客的首選目標(biāo)。保護(hù)這些主機(jī)最好的辦法就是及時了解有關(guān)本操作系統(tǒng)的安全漏洞以及相應(yīng)的安全措施，及時安裝補(bǔ)丁程序并注意定期升級系統(tǒng)軟件，以免給黑客以可乘之機(jī)。另外，網(wǎng)管人員要加強(qiáng)對網(wǎng)絡(luò)流量的管理，對網(wǎng)絡(luò)資源的使用情況和帶寬分配進(jìn)行限制或控制，通過流量過濾產(chǎn)品進(jìn)行限流，同時配合網(wǎng)絡(luò)審計產(chǎn)品，可以對攻擊進(jìn)行審計和記錄，溯源的同時可用于事后取證，必要時向ISP進(jìn)行舉報。

Web安全問答（4）

問：如何提高Web服務(wù)器操作系統(tǒng)的安全

答：操作系統(tǒng)的安全性問題較多，這里以常用的WINDOWS系列操作系統(tǒng)為例，列舉一些重點(diǎn)需要考慮的因素：

1） 操作系統(tǒng)帳號管理，包括設(shè)置安全性較高的帳號口令；帳號文件加密或者隱藏，關(guān)閉GUEST帳號等。

2） 設(shè)置訪問控制策略，目前的WINDOWS操作系統(tǒng)均提供了主機(jī)防火墻，通過設(shè)置防火墻策略保證只有指定的端口、程序可以進(jìn)行網(wǎng)絡(luò)通訊。

3） 及時進(jìn)行系統(tǒng)補(bǔ)丁，WINDOWS操作系統(tǒng)極為復(fù)雜，幾乎每隔幾天就有新的安全漏洞被發(fā)現(xiàn)，管理員應(yīng)及時對操作系統(tǒng)進(jìn)行打補(bǔ)丁。

4） 關(guān)閉Web服務(wù)無關(guān)的服務(wù)，減少系統(tǒng)與外界交互通訊的可能性。

5） 安裝防病毒、通訊監(jiān)視等軟件，可以防止一些流行工具/木馬/病毒的攻擊。

Web安全問答（5）

問：通過網(wǎng)站日志是否可以準(zhǔn)確分析出攻擊全過程

答：網(wǎng)站日志可以記錄所有用戶在指定時間段內(nèi)的所有操作。不論黑客采用何種攻擊方式，在最后對網(wǎng)頁文件進(jìn)行篡改或添加網(wǎng)頁木馬的時候，都會利用已存在或者是新添加的帳號進(jìn)行操作，所以這些操作也可以被網(wǎng)站日志系統(tǒng)所記錄。從未被篡改和精簡的網(wǎng)站日志系統(tǒng)中，有經(jīng)驗(yàn)的用戶可以分析出攻擊的整個過程，但由于一般情況下，網(wǎng)站日志系統(tǒng)不存在獨(dú)立的保障機(jī)制，攻擊者可以在攻擊完成后刪除操作日志，這種情況下，將無法判斷攻擊者的所作所為。也就是說，網(wǎng)站日志在未被篡改的情況下，可以從中分析攻擊過程，但如果被攻擊者修改過，將無法實(shí)現(xiàn)全面分析。

Web安全問答（6）

問：什么叫網(wǎng)站掛馬？

答：“掛馬” 就是黑客入侵了一些網(wǎng)站后，將自己編寫的網(wǎng)頁木馬嵌入被黑網(wǎng)站的主頁中，當(dāng)訪問者瀏覽被掛馬頁面時，將會被植入木馬，黑客便可通過遠(yuǎn)程控制來實(shí)現(xiàn)不可告人的目的。網(wǎng)頁木馬就是將木馬和網(wǎng)頁結(jié)合在一起，打開網(wǎng)頁的同時也會運(yùn)行木馬。最初的網(wǎng)頁木馬原理是利用IE瀏覽器的ActiveX控件，運(yùn)行網(wǎng)頁木馬后會彈出一個控件下載提示，只有點(diǎn)擊確認(rèn)后才會運(yùn)行其中的木馬。這種網(wǎng)頁木馬在當(dāng)時網(wǎng)絡(luò)安全意識普遍不高的情況下還是有一點(diǎn)使用價值的，但是其缺點(diǎn)是顯而易見的，就是會出現(xiàn)ActiveX控件下載提示。當(dāng)然現(xiàn)在很少會有人去點(diǎn)擊那莫名其妙的ActiveX控件下載確認(rèn)窗口。在這種情況下，新的網(wǎng)頁木馬誕生了。這類網(wǎng)頁木馬通常利用了IE瀏覽器的漏洞，在運(yùn)行的時候沒有絲毫提示，因此隱蔽性極高。

Web安全問答（7）

問：對于SQL注入攻擊，是否可以通過禁止SQL語句執(zhí)行來防御？

答：SQL注入利用的是Web頁面的代碼過濾不嚴(yán)格，攻擊者可以通過提交某些特殊構(gòu)造的SQL語句插入SQL的特殊字符和字段，來實(shí)現(xiàn)對數(shù)據(jù)庫的非正常訪問。如果完全禁止SQL語句，當(dāng)然可以實(shí)現(xiàn)對SQL注入的防御，但與此同時，正常的數(shù)據(jù)庫查詢語言也將無法執(zhí)行，除非Web站點(diǎn)是純靜態(tài)頁面，否則將無法正常訪問。采用禁止SQL語句執(zhí)行來防御SQL注入，純粹是因噎廢食。