對于一些大型網(wǎng)站來說，通常擁有一整套已經(jīng)執(zhí)行了的WEB站點(diǎn)安全防范解決方案，但是，為什么一些網(wǎng)站還是會被攻擊者掛載木馬?其中一個最主要的原因是已經(jīng)實(shí)施的WEB站點(diǎn)安全解決方案只能夠應(yīng)對已經(jīng)出現(xiàn)的安全漏洞和威脅。而攻擊者總是在通過各種手段來分析網(wǎng)站中可能會存在的弱點(diǎn)或漏洞，以便能夠成功繞過網(wǎng)站當(dāng)前的安全防范措施來實(shí)施掛馬攻擊。針對這樣的一種WEB站點(diǎn)安全現(xiàn)狀，最好的方式就是在部署相應(yīng)的安全防范安全解決方案的同時，還必需采取與攻擊者相同的手段，也就是在網(wǎng)站的運(yùn)營過程中，不斷對它進(jìn)行安全評估，以此來找到網(wǎng)站中可能存在的弱點(diǎn)和漏洞。

　　對WEB站點(diǎn)進(jìn)行安全評估是WEB安全防范處理過程中非常重要的一個環(huán)節(jié)，它應(yīng)當(dāng)貫穿站點(diǎn)的整個生命周期。對WEB站點(diǎn)實(shí)施安全評估的目的就是指安全評估人員，使用相應(yīng)的評估工具和技術(shù)，經(jīng)過一系列恰當(dāng)?shù)姆椒?，對WEB服務(wù)器本身、服務(wù)器系統(tǒng)、后臺數(shù)據(jù)庫系統(tǒng)及網(wǎng)絡(luò)中已經(jīng)實(shí)施的安全機(jī)制，進(jìn)行全面的檢測和評估，以此來檢測整個WEB系統(tǒng)是否還存在弱點(diǎn)，以及驗(yàn)證實(shí)施的安全機(jī)制是否有效。并根據(jù)最后的評估分析結(jié)果，對現(xiàn)有的安全策略進(jìn)行修訂，對實(shí)施的安全機(jī)制進(jìn)行補(bǔ)充。

　　一、制定WEB站點(diǎn)安全評估方案

　　對WEB站點(diǎn)進(jìn)行安全評估，為了能夠達(dá)到最終的效果，事先先制定一個切合實(shí)際的安全評估方案是十分有意義的。當(dāng)然，對于一些個人網(wǎng)站，或者只進(jìn)行一次WEB站點(diǎn)弱點(diǎn)檢測來說，也可以跳過制定安全評估方案這個環(huán)節(jié)，直接使用系統(tǒng)或WEB弱點(diǎn)檢測工具對WEB站點(diǎn)所在的系統(tǒng)和其本身進(jìn)行詳細(xì)的弱點(diǎn)檢測即可。

　　如果需要對一個WEB站點(diǎn)進(jìn)行全面的安全評估，或者你需要一個安全評估方案來指導(dǎo)你完成相應(yīng)的WEB站點(diǎn)弱點(diǎn)檢測任務(wù)，那么，我們可以按下列列出的內(nèi)容，來構(gòu)建一個適合自己實(shí)際需求的WEB站點(diǎn)安全評估方案：

　　1、為WEB站點(diǎn)安全評估確定一個最終目標(biāo)，也就是為什么要這么做，這樣做需要達(dá)到什么的目的。

　　2、為WEB站點(diǎn)的安全評估指定安全評估人員。

　　3、確定安全評估時具體的評估對象。

　　4、為WEB站點(diǎn)的安全評估制定具體的時間計(jì)劃表，如果沒有什么特殊情況，我們應(yīng)當(dāng)嚴(yán)格按照這張時間表規(guī)定的時間對WEB站點(diǎn)實(shí)施安全評估。

　　5、為WEB站點(diǎn)的安全評估指定具體的評估工具，并要求評估人員對這些工具進(jìn)行相應(yīng)的學(xué)習(xí)，以達(dá)到訓(xùn)練掌握它們的目的，還必需規(guī)定評估人員按時對這些評估軟件所依賴的評估漏洞庫和軟件本身進(jìn)行不斷的更新。

　　6、規(guī)定是將安全評估工具安全裝在目標(biāo)WEB服務(wù)器進(jìn)行安全評估，還是在專門的硬件設(shè)備(例如筆記本電腦)上安裝評估軟件，然后在使用時再接入目標(biāo)網(wǎng)絡(luò)實(shí)施評估任務(wù)。

　　7、明確具體的安全評估方法

　　8、明確安全評估過程中需要注意的操作事項(xiàng);

　　9、明確安全評估的規(guī)章制度和評估人員責(zé)任;

　　10、規(guī)定安全評估結(jié)果的記錄方式，以及評估報(bào)告的上報(bào)、存檔和檢索方式。

　　WEB站點(diǎn)安全評估方案應(yīng)當(dāng)根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境，以及站點(diǎn)的具體內(nèi)容和功能，經(jīng)過詳細(xì)的調(diào)查和分析后，再由安全評估參與人員共同完成。當(dāng)然，一個實(shí)際的WEB站點(diǎn)安全評估方案，所包括的內(nèi)容可能比上述所列出的內(nèi)容要多得多，也詳細(xì)得多，在這里只是對它們做了一個簡單的說明，具體的內(nèi)容還需要大家根據(jù)實(shí)際情況做具體的補(bǔ)充。

二、WEB站點(diǎn)安全評估的具體實(shí)施方式

　　WEB站點(diǎn)安全評估的具體實(shí)施涉及到四個最關(guān)鍵的因素，它們是安全評估人員、評估工具、評估方法和評估對象。

　　1、安全評估人員

　　安全評估人員，應(yīng)當(dāng)包括WEB站點(diǎn)所有者、管理員及安全評估實(shí)施人員。安全評估實(shí)施人員的技術(shù)和經(jīng)驗(yàn)，以及工作態(tài)度在一定程度上決定了評估的效果和可信性。

　　有時，一些WEB站點(diǎn)不得不將安全評估任務(wù)外包給一些具有安全評估資質(zhì)的第三方機(jī)構(gòu)來完成，這也是一些沒有具體的WEB站點(diǎn)管理員的中小企業(yè)WEB網(wǎng)站經(jīng)常使用的方式。

　　還有一些WEB站點(diǎn)，所有的工作都是由站點(diǎn)管理員一個人來完成，對于這樣的WEB站點(diǎn)安全評估報(bào)告，通常只會被他自己所接受，也就是用來對站點(diǎn)當(dāng)前的安全狀況進(jìn)行一次簡單的體檢，以此來做到心中有數(shù)。

　　2、安全評估工具

　　安全評估工具需要根據(jù)所要評估的具體對象來選擇，不同的評估對象，所使用的評估工具是不相同的。這是由于有些安全評估工具只是針對某種服務(wù)或軟件，有些是針對整個主機(jī)或網(wǎng)絡(luò)的;有些安全評估工具只能在某種操作系統(tǒng)平臺下運(yùn)行，而有些安全評估工具卻能在許多流行的操作系統(tǒng)平臺下運(yùn)行;一些安全評估工具是軟件方式的，還有一些是以獨(dú)立的硬件方式存的;有些安全軟件是免費(fèi)的，而有一些是商業(yè)的。由此，要找到一款合適的安全評估工具還真的不是隨便選擇幾樣這么簡單。并且，一些其他人認(rèn)為非常好用的安全評估工具，對于我們自己來說并不見得會很喜歡，因此，有時我們不得不經(jīng)過不斷的試用才會知道哪幾款評估軟件才是最適合我們自己的。

　　幸運(yùn)的是，現(xiàn)在還是已經(jīng)有許多功能強(qiáng)大的評估工具可以供我們選擇，這些工具有：

　　(1)Nmap

　　Nmap是一個網(wǎng)絡(luò)探測和安全掃描程序，我們可以使用它來掃描WEB站點(diǎn)所在系統(tǒng)或整個網(wǎng)絡(luò)，并以此來得到WEB站點(diǎn)所在系統(tǒng)正在運(yùn)行及提供什么樣的服務(wù)，開放了什么樣的端口，使用什么樣的操作系統(tǒng)等信息。Nmap支持包括UDP、TCP connect()、TCP SYN()、ICMP、FIN及ACK等掃描方式，其中有許多掃描方式還可以用來檢測防火墻及IDS/IPS等設(shè)備的回應(yīng)情況。

　　Nmap能夠在類UNIX系統(tǒng)及Windows系統(tǒng)的終端下以命令方式運(yùn)行，它的命令執(zhí)行格式為：nmap [Scan Type(s)] [Options]。我們可以從http://insecure.org/網(wǎng)站上下載到它的最新版本，以及得到它的詳細(xì)說明文檔。

(2)Nessus

　　Nessus同樣是一個功能強(qiáng)大的安全檢測工具，它允許用戶使用插件對它進(jìn)行功能上的擴(kuò)展。Nessus使用一個頻繁更新的漏洞庫作為安全檢測的依據(jù)。我們可以到www.nessus.org網(wǎng)站上下載到它的免費(fèi)版本Nessus3，以及得到它的詳細(xì)的使用文檔。現(xiàn)在大部分的安全人員都使用它來對網(wǎng)絡(luò)或主機(jī)系統(tǒng)進(jìn)行全面安全檢測。

(3)Nikto

　　Nikto是一款開放源代碼、功能強(qiáng)大的WEB弱點(diǎn)掃描評估軟件，它能對WEB服務(wù)器的多種安全項(xiàng)目進(jìn)行測試，能在230多種服務(wù)器上掃描出2600多種有潛在危險(xiǎn)的文件、CGI及其他問題。Nikto使用LibWhiske漏洞庫，Nikto已成為WEB站點(diǎn)管理員必備的WEB安全檢測工具之一。

　　可以到http://www.cirt.net/網(wǎng)站上下載Nikto的最新版本。Nikto是基于PERL開發(fā)的程序，所以需要PERL環(huán)境。因此，當(dāng)Nikto需要在Windows系統(tǒng)下使用時，要同時下載并安裝ActiveState Perl環(huán)境。當(dāng)需要Nikto使用SSL的安全方式對WEB站點(diǎn)進(jìn)行安全掃描時，還會用到Net::SSLeay PERL模式，此時必須保證系統(tǒng)中安裝有OpenSSL。它們的具體安裝和使用細(xì)節(jié)可以參考它們的幫助文檔。

　　另外，還有一個與Nikto相似的WEB弱點(diǎn)掃描工具Wikto，它不僅具有Nikto同樣的功能，還提供GUI圖形界面，但只能在Windows系統(tǒng)下運(yùn)行。它可以到http://www.sensepost.com/research/wikto/下載。。

　　(4)N-Stealth

　　N-Stealth是ZMT公司出品的一款商業(yè)的WEB站點(diǎn)安全掃描軟件，同時也有可以免費(fèi)使用的版本，只是功能沒有商業(yè)版本的多，漏洞庫也不支持自動更新。我們可以到www.nstalker.com網(wǎng)站上下載它的最新版本，它可以在win98/ME/2000/XP/2003系統(tǒng)下運(yùn)行。

　(5)ISS Database Scanner

　　ISS的數(shù)據(jù)庫掃描器(DataBase Scanner)是一個針對數(shù)據(jù)庫管理系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估的檢測工具。它可以自動識別數(shù)據(jù)庫系統(tǒng)中各種潛在的安全問題，產(chǎn)生通俗易懂的報(bào)告來表示安全風(fēng)險(xiǎn)和弱點(diǎn)，并對違反和不遵循數(shù)據(jù)庫安全策略的弱點(diǎn)和漏洞提出修改建議。

　　Database Scanner 可以掃描的數(shù)據(jù)包括Microsoft SOL Server 6.x 或7.x、Sybase Adaptive Server 11.x和Oracle 8i, 8.0 或 7.3。它能通過網(wǎng)絡(luò)快速、方便地掃描數(shù)據(jù)庫，去檢查數(shù)據(jù)庫中可能存在的安全漏洞，全面評估所有的安全漏洞和認(rèn)證、授權(quán)、完整性方面的問題。

除了上面介紹的安全掃描軟件以外，還有一些軟件也有可以用來進(jìn)行安全檢測工作，包括X-scan3.3、WebInject1.41和Acunetix WVS Free Edition，以及一款功能全面且性能強(qiáng)大的商業(yè)安全掃描軟件ISS Internet Scanner等。

　　另外，在使用任何評估工具之前，要先對其漏洞庫進(jìn)行升級更新。這是由于現(xiàn)在大多數(shù)安全評估工具都是利用漏洞特征庫來進(jìn)行弱點(diǎn)檢測的，只有保證它們的漏洞特征庫為最新狀態(tài)，才有可能發(fā)現(xiàn)WEB站點(diǎn)及所依賴的系統(tǒng)上可能存在的最新漏洞。

3、安全評估方法

　　安全評估方法就是具體的安全評估實(shí)施方式，它主要涉及到下列五個具體的方面：

　　(1)由外向內(nèi)測試

　　這種安全評估方式就是以攻擊者的角度從WEB站點(diǎn)所在網(wǎng)絡(luò)結(jié)構(gòu)中的外部，對它進(jìn)行安全掃描工作，以此來檢測WEB站點(diǎn)防范來自互聯(lián)網(wǎng)遠(yuǎn)程攻擊的能力。此種測試方式可以使用上述評估工具中的N-stealth、X-Scan和WebInject等工具來進(jìn)行。

　　(2)由內(nèi)向外測試

　　由內(nèi)向外的安全檢測方式是指從WEB站點(diǎn)所在網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)部，對它進(jìn)行安全掃描工作。這種安全檢測方式主要用來檢驗(yàn)WEB站點(diǎn)對來自內(nèi)部的攻擊防范能力，以及檢測對用戶權(quán)限分配情況和內(nèi)部數(shù)據(jù)傳輸過程中的安全性。此時可使用一些操作系統(tǒng)內(nèi)部網(wǎng)絡(luò)命令，例如Netstat，以及Hping和Nikto、X-scan、Nmap、Acunetix WVS Free Edition等工具來進(jìn)行完成檢測任務(wù)。

　　(3)模擬攻擊測試

　　模擬攻擊測試是指在實(shí)際的測試過程中并不對WEB站點(diǎn)所在服務(wù)器系統(tǒng)及WEB應(yīng)用程序、網(wǎng)絡(luò)設(shè)備進(jìn)行真正的攻擊事件。這種測試方式并不會對WEB站點(diǎn)的性能產(chǎn)生影響，平時大部分的安全評估工作應(yīng)當(dāng)使用模擬攻擊的測試方式。

　　(4)真實(shí)攻擊測試

　　當(dāng)使用模擬攻擊測試不能真正檢驗(yàn)到網(wǎng)站的安全狀況時，就可以使用真實(shí)的攻擊測試。由于攻擊是真實(shí)的，因此會對WEB站點(diǎn)的性能造成影響，因而這種方式最好在WEB開發(fā)的最初階段，以及沒有WEB業(yè)務(wù)的時候進(jìn)行?，F(xiàn)在有很多的網(wǎng)站都會請一些專門的黑客來對自己的站點(diǎn)進(jìn)行真實(shí)的攻擊，以便最大程度地檢測出WEB站點(diǎn)中存在的安全漏洞問題。

　　(5)社會工程攻擊測試

　　有許多人認(rèn)為社會工程只是攻擊者用來進(jìn)行攻擊的一種手段，卻不知它也是一種很好的檢測企業(yè)內(nèi)部員工及站點(diǎn)管理員反社會工程攻擊能力強(qiáng)度的評測工具。我們可以通過電話、手機(jī)短信及電子郵件的方式對評測的人員實(shí)施與攻擊相同的社會工程攻擊測試。同樣，我們還可以通過直接接觸的方式對被評測者進(jìn)行相應(yīng)的社會工程攻擊測試評估。當(dāng)我們決定進(jìn)行社會工程方式的安全評估工作時，最好讓可信的第三方來進(jìn)行，這樣才可以達(dá)到最好的評估效果。

　　4、評估對象

　　評估對象就是指評估過程中具體的評估實(shí)施目標(biāo)，包括WEB服務(wù)器主機(jī)操作系統(tǒng)、WEB應(yīng)用程序框架、數(shù)據(jù)庫系統(tǒng)及網(wǎng)絡(luò)基礎(chǔ)設(shè)施等。

　　這四個因素是WEB站點(diǎn)安全評估工作中缺一不可的，缺少任何一個或任何一個出現(xiàn)問題，都會使整個評估工作中斷或使評估結(jié)果不可信。還有就是評估工具的使用并不一定得一次只使用一種工具，我們可以根據(jù)所要評估的對象和評估的內(nèi)容進(jìn)行組合應(yīng)用。畢竟，有時一種工具只在某一個方面比較有效，而且，評估軟件還存在誤報(bào)和漏報(bào)的問題，組合使用工具，再加上評估人員自己經(jīng)驗(yàn)的判斷，就能將評估結(jié)果的有效性提高到最高水平。

　　當(dāng)WEB站點(diǎn)安全評估工作完成后，我們還應(yīng)當(dāng)根據(jù)安全評估結(jié)果，對安全策略進(jìn)行相應(yīng)的修訂，同時對實(shí)施了的安全機(jī)制進(jìn)行相應(yīng)的補(bǔ)充。WEB站點(diǎn)的安全評估工作，在站點(diǎn)沒有真正投入運(yùn)行前，可不斷地重復(fù)進(jìn)行檢測，直到我們認(rèn)為已經(jīng)修補(bǔ)了所有已知的漏洞為止。同時，我們還必需在WEB站點(diǎn)運(yùn)營過程當(dāng)中進(jìn)行安全評估，以此來發(fā)現(xiàn)潛在的安全威脅。

　　不能忽略的一點(diǎn)，如今攻擊者善于主動分析并發(fā)現(xiàn)新的漏洞，這樣就對現(xiàn)有的漏洞掃面系統(tǒng)造成了一定的瓶頸，并不能完全解決網(wǎng)站被掛馬攻擊這種威脅。因此，我們在使用它的同時，還必需使用其它的方式來補(bǔ)充它的不足。

　　因此作為Web站點(diǎn)的管理者而言，需要通過不斷對WEB站點(diǎn)進(jìn)行安全評估，以便能先攻擊者一步來發(fā)現(xiàn)網(wǎng)站中可能存在的弱點(diǎn)，然后才能在攻擊沒有發(fā)動前就修補(bǔ)好這些漏洞，這樣才有可能最大限度地減少網(wǎng)站被掛馬的風(fēng)險(xiǎn)。為了更好地了解安全趨勢，我們還可以到www.cert.org及www.securityfocus.comh訂閱最新的安全漏洞的郵件列表，讓我們可以及時了解每天的安全漏洞信息。

最新評論