网站安全评估文档一.doc

网站安全评估文档（一） 二十一世纪是网络的时代，网络已跟我们的生活息息相关。而网站通过网络这个枢纽密切的联系着人们的日常生活，人们也通过各种各样的网站获取所需要的信息。因此，网站的安全也越来越被人们所重视。然而网络存在着各种各样的安全隐患，比如：COOKIE中毒，应用程序缓冲溢出，跨站脚本攻击，已知安全漏洞，强行浏览问题，参数篡改攻击等等，无时无刻不让使用者提心吊胆。 也许有的人说，我的系统是有防火墙保护的。防火墙是有访问过滤机制，但是还是无法应对许多恶意行为。虽然它可以设置访客名单，可以把恶意访问排除在外，但是如何鉴别恶意还是善意访问还是个问题。访问如果一旦被允许，后面的安全问题就不是防火墙能够解决的了。又比如，人们往往认为，网站使用了SSL加密就很安全了，网站起用SSL加密后，表明网站发送和接受的信息都经过了加密处理，但是SSL无法保障存储在网站里面的信息的安全。还有就是认为漏洞扫描工具没有发现任何问题网站就很安全。漏洞工具生成一些特殊的访问请求，发送给网站，在获取网站的响应信息后进行分析。但是它能够查找一些明显的网络安全漏洞，但是却没有办法对网站的应用程序进行检测，更别说查找程序中的漏洞了。因此，要使网站安全并不是只做表面的保护就可以高枕无忧了。国内的网站一般都采用ASP+ACCESS或者SQL的数据库后台，所以SQL注入就成了网站攻击最常见的一种方法。SQL注入是从正常的WWW端口访问，表面上看和一般的WEB页面访问没什么区别，所以防火墙都不会对SQL注入发出警报，如果管理员没有看IIS日志的习惯，可能被入侵了还不会发觉。在判断出可以SQL注入后，就可以通过工具（比如啊D SQLTOOLS）猜他的数据库名之类的信息了。当然，也可以用抓包的方法来获取网站的相关信息。 现在，，许多黑客甚至可以突破SSL加密和各种防火墙，攻入WEB网站的内部获取信息。他们可以仅借浏览器和几个技巧，既套取WEB网站的必威体育官网网址信息。一旦你的网站遭受了恶意攻击，那连哭都来不及了。 因此提高网站的安全性，已成为迫在眉睫的问题了。下面就从三个方面来分析相关的安全问题。 硬件环节。 从硬件的角度来提高网站的安全性有很多中办法，例如：不允许局域网内部私自介入外网，采用隔离网闸和放火墙，不允许接入层交换机直接连接到核心服务器等手段，都是从硬件的角度来提高网络的安全性的。在很长一段时间内，一提到网络安全人们所想到的都是软件漏洞。但随着技术和市场的发展，硬件安全正逐渐走入人们的视野。 以硬件为主的安全系统将比采用安全防护软件更不容易受到黑客入侵。若软件和硬件安全系统同使用，将使电脑使用者的资料获得更好的保护。微软近日除了炫耀Longhorn操作系统之外，还首次展示了受到密切关注的新一代安全计算基准(NGSCB)的安全技术代码，这一技术先前被称为“Palladium”。NGSCB是在一台PC内 部创建第二种操作环境的硬件和软件的总合，这一环境旨在保护系统免遭恶意代码入侵。作为这一保护的一部分，NGSCB可以提供应用程序、附带硬件、内存以 及存储器之间安全的连接。在Palladium构想中，把用于认证和加密的密钥基本信息作为硬件预先嵌入个人电脑。购买支持Palladium的个人电脑 时，个人电脑独有的加密密钥就会被写入到这枚硬件芯片上。通过这个加密密钥，支持Palladium的OS可对运行于其上的程序进行认证， 并加密保存机密 数据。具体而言，也就是说支持Palladium的OS将会设置一个只有已经得到认证的程序才可以访问的保护区域。而保存在保护区域中的数据都是经过加密 的，即使被拷贝到其他电脑上，也无法还原。据称微软Palladium的第一个版本将仅供编写特定的商务应用程序而非消费软件。从上面的分析可以看出，Palladium的应用必须得到第三方的支持。在硬件方面，微软早于2002年9月份就开始分别与英特尔和AMD联合制定支持Palladium的硬件规格，此次AMD和英特尔推出支持Palladium的新产品正是合作的结果可利用微软ＩＩＳ服务器操作系统的3个安全漏洞攻击网站。微软公司说，该公司今年4月拥有了针对其中两个安全漏洞的补丁程序，但还没有设计出针对另一个安全漏洞的补丁。黑客用它攻破互联网站后，会对网站服务器操作程序做出修改，向访问网站的客户端计算机传输一段程序代码，用于记录客户端计算机的键盘输入情况，并把结果返回给攻击者。这种木马程序通常用于盗取计算机用户的信用卡号、银行账户和密码等资料。美国计算机紧急预备小 组已在互联网上发布警告要用户注意，“任何网站都可能受到影响……深受用户信任的网站也不例外。” 网站安全评估文档（二） 简介： 随着互联网的盛行，WEB服务的逐渐升温，在INTERNET上构架自己的站点愈来愈热，与此同时，网站的安全性也越来越受到重