基础知识学习之Web安全百问百答

61、如何提高Web服务器操作系统的安全

答：操作系统的安全性问题较多，这里以常用的WINDOWS系列操作系统为例，列举一些重点需要考虑的因素：

1) 操作系统帐号管理，包括设置安全性较高的帐号口令;帐号文件加密或者隐藏，关闭GUEST帐号等。

2) 设置访问控制策略，目前的WINDOWS操作系统均提供了主机防火墙，通过设置防火墙策略保证只有指定的端口、程序可以进行网络通讯。

3) 及时进行系统补丁，WINDOWS操作系统极为复杂，几乎每隔几天就有新的安全漏洞被发现，管理员应及时对操作系统进行打补丁。

4) 关闭Web服务无关的服务，减少系统与外界交互通讯的可能性。

5) 安装防病毒、通讯监视等软件，可以防止一些流行工具/木马/病毒的攻击。

62、如何提高Web服务器的网络威胁抵御能力

1) 部署硬件防火墙，进行严格的访问控制策略配置，阻挡无用的或者非法通讯进入Web服务器。

2) 部署入侵检测产品，以实现对入侵的实时监测和报警

3) 部署流量控制与管理硬件，以便抵御来自外界网络的DOS/DDOS攻击。

63、如何提高Web程序的安全性

答：要从三方面入手，其一是开发项目要制定编码规范，尤其要注意非法输入检查以及避免溢出漏洞;其二是在Web系统开发结束后，利用商用Web程序安全性评估软件或者评估服务对Web系统的安全性进行测试评估;其三是部署具备应用层威胁防御能力的安全产品如入侵防御产品或应用防火墙。

64、如何提高Web发布系统的安全性

答：操作系统的安全性问题较多，这里以常用的WINDOWS系列操作系统为例，列举一些重点需要考虑的因素：

1) 操作系统帐号管理，包括设置安全性较高的帐号口令;帐号文件加密或者隐藏，关闭GUEST帐号等。

2) 设置访问控制策略，目前的WINDOWS操作系统均提供了主机防火墙，通过设置防火墙策略保证只有指定的端口、程序可以进行网络通讯。

3) 及时进行系统补丁，WINDOWS操作系统极为复杂，几乎每隔几天就有新的安全漏洞被发现，管理员应及时对操作系统进行打补丁。

4) 关闭Web服务无关的服务，减少系统与外界交互通讯的可能性。

5) 安装防病毒、通讯监视等软件，可以防止一些流行工具/木马/病毒的攻击。

65、如何防御由于Web程序漏洞引起的Web服务器所面临的威胁

答：部署入侵防御产品或者应用防火墙设备。

66、如何规划网站安全

答：建议从如下几个方面考虑进行网站安全的规划：

1) 聘请专业网站开发人员，提高网站应用程序的安全性。

2) 对Web服务器所在主机的操作系统进行安全性增强并及时进行打补丁。

3) 经常性的进行网站安全性测试与评估，及时了解网站的状况。

4) 部署网络防火墙等设备提高服务器所在网络的安全性

5) 部署提供Web程序攻击防御能力的安全设备。

67、能否提供一些网站安全管理制度方面的建议

答：不同的机构对网站安全的要求不一样，因此也不会有通用的安全管理制度，这里列举一些重点需要考虑的方面供参考：

数据备份制度--应当对重要文件、数据、操作系统及应用系统作定期备份，以便应急恢复。特别重要的部门还应当对重要文件和数据进行异地备份。

口令管理制度--应该选择复杂密码，采用大小写、数字、特殊字符混合的密码，并定期更换密码。不应该把密码以纸质或电子的形式记录下来，防止丢失。

物理安全制度--应当建立严格的门禁制度和日常管理制度，机房及机房内所有设备都应当由专人负责管理，每日应有机房值班记录、出入人员记录和各主要设备运行情况的记录。外来的系统维护人员进入机房，应当由值班人员陪同并对其工作内容做详细记录。

系统运行期间的定期检测和升级制度--鉴于网络安全建设动态发展和不断更新的特点，应当对系统漏洞和弱点进行定期检测，并根据检测的结果采取相应的措施。要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级，关闭不必要的服务和端口，以防黑客利用系统漏洞和弱点非法入侵。

审计制度--定期对各系统日志进行分析审计，便于发现是否存在异常的访问行为。

应急响应制度--应当充分估计各种突发事件的可能性，做好应急响应方案，进行定期演练。同时，要与岗位责任制度相结合，保证应急响应方案的及时实施，将损失降到最低程度。

68、进行Web服务器保护应该采购那些安全设备

1) 在Web服务器前部署网络防火墙

2) 在Web服务器前部署专业入侵防御产品或者应用防火墙设备

3) 在Web服务器所在网络中部署网络入侵检测产品

4) 在Web服务器前部署流量管理设备

5) 在Web服务器上安装防病毒软件

6) 在Web服务器上安装主机入侵检测以及主机审计软件

69、在网站安全建设中，有了IDS，我还需要入侵防御产品么

答：IDS和入侵防御产品是两类不同的设备，IDS是针对攻击进行检测发现并报警，更关注检测范围的全面性;入侵防御产品是针对攻击进行精确发现与阻断，更关注威胁防御的准确性;应该说对于网站安全二者缺一不可。

70、进行Web服务器保护的最关键设备是哪个?

答：Web服务器面临众多威胁，但其中最有破坏力的是应用层威胁，所以对Web服务器来说，最关键的设备是具备应用层防护能力的设备，可以是入侵防御产品或者应用防火墙设备。

71、怎样评价网站对SQL注入，XSS攻击的防御能力。

答：比较好的办法是进行Web系统的安全评估，可以采用商用软件进行安全性评估，也可以雇佣专业的安全服务人员进行评估。

72、通过网站日志是否可以准确分析出攻击全过程

答：网站日志可以记录所有用户在指定时间段内的所有操作。不论黑客采用何种攻击方式，在最后对网页文件进行篡改或添加网页木马的时候，都会利用已存在或者是新添加的帐号进行操作，所以这些操作也可以被网站日志系统所记录。从未被篡改和精简的网站日志系统中，有经验的用户可以分析出攻击的整个过程，但由于一般情况下，网站日志系统不存在独立的保障机制，攻击者可以在攻击完成后删除操作日志，这种情况下，将无法判断攻击者的所作所为。也就是说，网站日志在未被篡改的情况下，可以从中分析攻击过程，但如果被攻击者修改过，将无法实现全面分析。

73、目前哪些设备可以抵御针对Web程序漏洞的攻击?

答：针对Web程序漏洞攻击的安全防御设备主要有入侵防御产品和Web应用防火墙。

74、目前增强Web服务器安全性的技术有的载体为软件，需要部署在服务器内部，有的载体为硬件，需要部署在Web服务器前面，那种更适合Web服务器呢?

答：Web业务是当前运用最为广泛的网络业务，一些流量大的Web网站特别是承载了大量交互业务的Web网站，如果采用部署在服务器内部的软件级安全系统，将不得不耗费宝贵的系统资源来支撑分析计算的开销，所以，如果您的Web业务系统对资源的需求不大(流量小，访问量少)，可以考虑采用软件级安全系统，否则，建议采用硬件级安全系统。

75、对于SQL注入攻击，是否可以通过禁止SQL语句执行来防御?

答：SQL注入利用的是Web页面的代码过滤不严格，攻击者可以通过提交某些特殊构造的SQL语句插入SQL的特殊字符和字段，来实现对数据库的非正常访问。如果完全禁止SQL语句，当然可以实现对SQL注入的防御，但与此同时，正常的数据库查询语言也将无法执行，除非Web站点是纯静态页面，否则将无法正常访问。采用禁止SQL语句执行来防御SQL注入，纯粹是因噎废食。

76、对于SQL注入攻击，弱点检测和漏洞修补是否可以完全防止?

答：SQL注入攻击是由于代码编写不够严谨导致，没有考虑到代码的健壮性和安全性，由于Web程序漏洞的复杂性，安全分析人员很难通过弱点检测和漏洞修补全面的检查出SQL注入漏洞并进行修补。需要说明的是，Web系统每一次添加了新的页面或应用，就需要再次进行弱点检测和漏洞修补。

77、流量分析工具能够发现针对Web服务器的攻击吗

答：流量分析工具可以发现针对Web服务器的一段时间的访问状况，如果存在基于流量的攻击行为如拒绝服务之类，可以通过该类工具发现，但如果是基于数据内容的攻击行为，由于这类攻击并不带来流量的任何异常，所以不会被流量分析工具所发现。

78、对于XSS攻击，是否可以通过禁止脚本执行来防御?

答：XSS攻击是由于Web页面代码编写不完善，导致攻击者可以在页面中插入恶意脚本，使得网站的访问者在访问这些页面时遭受攻击。如果在自己的浏览器完全禁用脚本执行，可以起到防范XSS攻击的作用，但与此同时，那些基于脚本的正常应用将无法正常访问。

79、网站被挂马了，该怎么办?

答：最简单的办法就是备份恢复，也可以在被挂马页面上手动删除，但这只是解决表面问题的办法，黑客还可以再次在同一地方进行攻击。彻底的解决办法是修改页面源码，避免再次被挂马，也可以采用其他安全硬件产品如入侵防御产品进行防御。

80、网站被SQL注入攻击了，该怎么办?

答：SQL注入可以让黑客获得数据库权限，可以窃取密码，执行修改/增加/删除数据库表等操作。所以，如果网站被SQL注入攻击了，首先要依据日志查看是哪个用户的权限泄漏导致的数据库修改，并更换密码，同时依据日志检查存在注入点的页面，进行代码级的修复或采用专业的安全硬件产品如入侵防御产品。

81、网站被XSS攻击了，该怎么办?

答：XSS攻击可以让黑客获得攻击任意一个访问受害网站页面的用户，虽然不直接危害网站的安全，但一方面影响网站声誉，另一方面如果网站管理者误访问恶意页面，也有权限泄漏的可能。如果确认网站被XSS攻击，首先要将黑客添加的恶意脚本清除，其次需要针对这些存在XSS漏洞的地方进行源码级修改或采用专业的安全硬件产品如入侵防御产品。