學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>網(wǎng)絡(luò)安全知識(shí)>

軟件檢測(cè)過(guò)的安全網(wǎng)站安全么?

時(shí)間: 若木632 分享

以下是OMG小編為大家收集整理的文章,希望對(duì)大家有所幫助。

1、 概述

網(wǎng)站安全主要從網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、WEB服務(wù)安全及頁(yè)面數(shù)據(jù)安全等方面進(jìn)行檢測(cè),網(wǎng)絡(luò)、主機(jī)等基礎(chǔ)環(huán)境的安全檢測(cè)此處不再述。

2、 Web 服務(wù)安全防護(hù)

2.1 Web 應(yīng)用安全檢測(cè)

(一) 對(duì)于商業(yè)軟件,如Oracle,Apache等通用組件系統(tǒng),應(yīng)當(dāng)依據(jù)廠商或第三方安全機(jī)構(gòu)提供的安全配置加固列表進(jìn)行安全設(shè)置,在廠商推出安全修補(bǔ)程序后應(yīng)及時(shí)進(jìn)行安全補(bǔ)丁更新。

(二) 應(yīng)當(dāng)定期對(duì)采用通用程序(如Apache,Websphere等)的應(yīng)用系統(tǒng)進(jìn)行弱點(diǎn)掃描,并及時(shí)解決所發(fā)現(xiàn)的問(wèn)題;掃描應(yīng)當(dāng)在非關(guān)鍵業(yè)務(wù)時(shí)段進(jìn)行,并制定詳細(xì)的回退計(jì)劃。

(三) 隱藏Apache的版本號(hào)及其它敏感信息

默認(rèn)情況下,很多Apache安裝時(shí)會(huì)顯示版本號(hào)及操作系統(tǒng)版本,甚至?xí)@示服務(wù)器上安裝的是什么樣的Apache模塊。這些信息可以為黑客所用,并且黑客還可以從中得知你所配置的服務(wù)器上的很多設(shè)置都是默認(rèn)狀態(tài)?!?/p>

這里有兩條語(yǔ)句,你需要添加到你的httpd.conf文件中:

Serversignature off

Servertokens prod

Serversignature出現(xiàn)在Apache所產(chǎn)生的像404頁(yè)面、目錄列表等頁(yè)面的底部。Servertoken目錄被用來(lái)判斷Apache會(huì)在Server HTTP響應(yīng)包的頭部填充什么信息。如果把ServerTokens設(shè)為Products,那么HTTP響應(yīng)包頭就會(huì)被設(shè)置成:

Server:Apache

(四)確保web根目錄之外的文件沒(méi)有提供服務(wù)

拒絕Apache訪問(wèn)web根目錄之外的任何文件。假設(shè)你的所有Web站點(diǎn)文件都放在一個(gè)目錄下(例如/web),你可以如下設(shè)置:

Order Deny,ALLow

Deny from all

Options None

Allowoverride None

Order ALLow,Deny

Allow from all

注意,因?yàn)檐巓pitins None和Allowoverride None,這將關(guān)閉服務(wù)器的所有Options和OCerride。必須明確把每個(gè)目錄設(shè)置成Options或者Override。

(五)、關(guān)閉目錄瀏覽

在Directory標(biāo)簽內(nèi)用Options命令來(lái)實(shí)現(xiàn)這個(gè)功能。設(shè)置Options為None或者-Indexes.

(六)、關(guān)閉Includes

通過(guò)在Directory標(biāo)簽內(nèi)使用Options命令實(shí)現(xiàn)。設(shè)備Options為None或者-Includes。

Options –Includes

(七) 、關(guān)閉CGI執(zhí)行程序

如果不用CGI,對(duì)其進(jìn)行關(guān)閉。在目錄標(biāo)簽中把選項(xiàng)設(shè)置成None或——ExecCGI就可以:

Options —ExecCGI

(八) 、禁止Apache遵循符號(hào)連接

同上,把選項(xiàng)設(shè)置成None或者—FollowsymLinks:

Options —FollowSymlinks

2.2 Web 網(wǎng)站化代碼安全檢測(cè)

(一) 、采用最新版本的Web服務(wù)程序;

(二) 、采用最小權(quán)限的原則設(shè)置專(zhuān)門(mén)帳戶(hù)用于運(yùn)行網(wǎng)站服務(wù)、數(shù)據(jù)庫(kù)服務(wù);

(三) 網(wǎng)站與數(shù)據(jù)庫(kù)分離,禁止Web服務(wù)與數(shù)據(jù)庫(kù)服務(wù)運(yùn)行于同一臺(tái)服務(wù)器上;

(四) 對(duì)IIS、Apache等Web服務(wù)進(jìn)行合理配置,防范目錄權(quán)限、寫(xiě)權(quán)限、文件下載等漏洞;

(五) 加強(qiáng)網(wǎng)站代碼的安全性,對(duì)互聯(lián)網(wǎng)用戶(hù)提交網(wǎng)站數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行嚴(yán)格過(guò)濾,防范SQL注入,如“_、’、”、and、exec、--、or”等:

(六) 對(duì)于互聯(lián)網(wǎng)用戶(hù)提交的URL、留言等內(nèi)容進(jìn)行嚴(yán)格過(guò)濾,防范跨站攻擊,如:“<、>、’、”、script、/、(、)”等;

(七) 嚴(yán)格限制對(duì)外網(wǎng)站的文件上傳功能,對(duì)需要提供上傳功能的網(wǎng)站 要加強(qiáng)上傳文件的格式、內(nèi)容松果,并進(jìn)行病毒查殺,防止互聯(lián)網(wǎng)用戶(hù)上傳惡意代碼;

(八) 設(shè)置不宜猜測(cè)的后臺(tái)管理目錄,防范對(duì)后臺(tái)管理暴力解除。

75454