基础知识学习之Web安全百问百答

41、如何发现网站挂马

答：服务器被挂马，通常情况下，若出现诸如“弹出页面”，则可以比较容易发现，发现防病毒软件告警之类，则可以发现服务器被挂马;由于漏洞不断更新，挂马种类时刻都在变换，通过客户端的反映来发现服务器是否被挂马往往疏漏较大;正确的做法是经常性的检查服务器日志，发现异常信息;经常检查网站代码，借助于专业的检测工具来发现网页木马会大大提高工作效率和准确度。

42、如何防止网站被挂马

答：防止网站被黑客挂马，可以从几个方面来考虑：Web应用程序的安全，采用专业的安全检查工具，对网页进行扫描，发现漏洞及时进行代码修改;Web服务器操作系统和主机的安全，可采用漏洞扫描工具对主机和系统进行扫描，采取升级、打补丁、修改配置等方式提高服务器主机的安全;也可以通过部署专业的Web安全防御产品来解决，通过IPS、Web应用防火墙等产品来阻断挂马行为;部署网页防篡改产品，一旦发现网页被挂马可以恢复到正常页面。

43、如何应对DOS/DDOS攻击

答：从目前现有的技术角度来讲，还没有一项解决办法针对DoS非常有效。所以，防止DoS攻击的最佳手段就是防患于未然。也就是说，首先要保证一般的外围主机和服务器的安全，使攻击者无法获得大量的无关主机，从而无法发动有效攻击。一旦单位内部的主机或临近网络的主机被黑客侵入，那么其他的主机被侵入的危险会变得很大。同时，如果网络内部或邻近的主机被用来对本机进行DoS攻击，攻击的效果会更明显。所以，必须保证这些外围主机和网络的安全。尤其是那些拥有高带宽和高性能服务器的网络，往往是黑客的首选目标。保护这些主机最好的办法就是及时了解有关本操作系统的安全漏洞以及相应的安全措施，及时安装补丁程序并注意定期升级系统软件，以免给黑客以可乘之机。另外，网管人员要加强对网络流量的管理，对网络资源的使用情况和带宽分配进行限制或控制，通过流量过滤产品进行限流，同时配合网络审计产品，可以对攻击进行审计和记录，溯源的同时可用于事后取证，必要时向ISP进行举报。

44、怎样才能找到网站漏洞

答：当网站的某个页面存在SQL注入或者跨站的漏洞时，攻击者会利用这个页面进行攻击。可以采用三种方式来找出存在漏洞的页面：

1. 采用Web漏洞扫描工具对网站进行扫描

2. 人工或使用工具对网站代码进行审核

3. 从Web服务日志分析攻击者提交的URL

45、网站被攻击后该如何恢复

答：网站被攻击后，应迅速断开网络。审查服务器日志、审查网站代码，找出网站的漏洞，进行修补。同时清楚攻击者留在服务器上的后门、账户等，修改所有用户的密码，对安全配置进行检查，确认无误后再重新上线。

46、如何保障网站管理员密码安全

答：攻击者获取到网站管理员密码可能有几种途径：1.通过暴力猜解 2.通过漏洞攻击获取权限后更改管理员密码 3.通过社会工程获得。

对于暴力猜解，在构建网站时，需要选择强度较高的加密算法，选择密码时，应该选择复杂密码，采用大小写、数字、特殊字符混合的密码，并定期更换密码。在网站认证页面的也应该有抗暴力猜解的设计。

对于通过漏洞获取权限的，需要定期检查服务器是否存在操作系统、服务、应用是否存在漏洞，及时安装补丁包，检测安全配置。

对于通过社会工程泄露的，需要制定并执行安全准则，来控制密码的保存和传递的范围与流程。

47、突发性黑客攻击和病毒该如何应对

答：首先应该建立一个应急处理流程，明确在突发问题时相关人员的职责、处理流程等，这样在突发性病毒和黑客攻击时就可以做到井井有条。

更重要的是应该建立日常工作的安全指南，把安全作为网站的开发、发布、维护的重要因素考虑，降低安全风险。

48、遭遇Web威胁防御后是不是重装系统的就可解决问题

答：重装系统可以简单快速地消除攻击者留下的后门和账户、修改的配置和文件等，但并没有解决原来的漏洞，因此重装系统一定要配合对操作系统、服务、应用的安全检查。

49、建立备份恢复体制是否可以完全保障Web业务的安全

答：备份恢复可以防止数据的丢失，是保证业务数据的重要步骤。但同样备份恢复并没有解决原来的漏洞，甚至可能在备份的数据中就留用攻击者留下的后门。

50、部署防病毒软件是否可以保护网站不遭受挂马威胁

答：防病毒软件可以检测和消除各种已知病毒，并能对一些病毒行为进行阻断。但对于不存在病毒体的手工和自动攻击过程无法防御。目前大量的挂马代码都是定制化，防病毒软件无法发现和避免。

51、做网站页面的代码修改是不是可以完全避免网站存在的问题

答：在Web威胁中占越来越重要位置的SQL注入和跨站脚本都是由于服务器对用户输入检查不够严格导致的。因此在代码开发时，就应该对用户数据进行过滤。但是大量的过滤将极大加中服务器负载，导致服务器可接受的请求急剧减少。

52、定期升级操作系统补丁和病毒库是不是就可以高枕无忧了

答：操作系统补丁可以解决操作系统本身的漏洞，及时更新病毒库可以使防病毒软件能够查杀最新的病毒，防止病毒对服务器的破坏。仅有这两种措施无法解决应用层漏洞带来的安全风险。

53、采用了非常复杂的管理员密码是不是就可防止黑客拿到管理员权限

答：攻击者获取到网站管理员密码可能有几种途径：1.通过暴力猜解 2.通过漏洞攻击获取权限后更改管理员密码 3.通过社会工程获得。

采用复杂密码可以在防止通过暴力破解，但不能放弃黑客通过漏洞或者社会工程攻击的方式获得。

54、设置网站管理员密码的注意事项

答：设置密码，应该选择复杂密码，采用大小写、数字、特殊字符混合的密码，并定期更换密码。不应该把密码以纸质或电子的形式记录下来，防止丢失。

55、费用有限的情况下如何做定期安全评估

答：目前网络上有很多的免费资料谈到如何做安全评估，也有很多免费工具可以用来做安全评估。因此需要网络管理人员花费一些时间来了解这些资料和工具。也有一些安全公司提供了远程评估服务，和现场评估服务相比，有更高的性价比。

56、如何防止网站的代码被外界漏洞扫描?

答：首先应该在代码设计开发阶段就考虑安全因素，减少代码中出现漏洞的可能性。其次在部署网站时可以考虑部署入侵防御产品产品，阻止对网站的扫描行为。

57、如何防范外界通过正常开放的端口进行入侵?

答：通过正常端口进行入侵一般有两种情况：

其一系统被种植了反弹木马，反弹木马程序的网络通讯源端口为防火墙系统开放端口。对于这种情况，一方面可以通过加强防火墙配置策略的严谨性，既配置具有方向性的防火墙策略;另外一方面是各个终端部署终端安全软件，保证非法进程无法驻留到终端之中。

其二是入侵者利用该端口服务器程序的漏洞进行入侵，通常是针对Web服务器的入侵，对于这种情况，建议部署具备Web攻击防御能力的设备，如入侵防御系统或应用防火墙设备。

58、在代码开发阶段如何预防Web威胁

答：要从两方面入手，其一是开发项目要制定编码规范，尤其要注意非法输入检查以及避免溢出漏洞;其二是在Web系统开发结束后，利用商用Web程序安全性评估软件或者评估服务对Web系统的安全性进行测试评估。

59、对成型的网站如何知道自己存在哪些Web威胁

答：对于一个已经成型的网站，由于代码复杂度较高，利用代码检查的方法很难发现存在漏洞，最好的办法是利用商用Web程序安全性评估软件或者评估服务对Web系统的安全性进行测试评估。

60、保护Web服务器应当从哪些方面进行考虑

答：主要从四方面进行考虑，其一：Web服务器所在操作系统的安全性;其二Web服务器所在网络的安全性;其三Web应用程序的安全性;其四：Web发布系统自身的安全性。