對照這些，看看你的網(wǎng)站還安全嗎？

時間：2023-12-12 17:42:01 | 來源：網(wǎng)站運營

時間：2023-12-12 17:42:01 來源：網(wǎng)站運營

對照這些，看看你的網(wǎng)站還安全嗎？：檢測項目

1)SQL注入。檢測Web網(wǎng)站是否存在SQL注入漏洞，如果存在該漏洞，攻擊者對注入點進行注入攻擊，可輕易獲得網(wǎng)站的后臺管理權(quán)限，甚至網(wǎng)站服務器的管理權(quán)限。

2) XSS跨站腳本。檢測Web網(wǎng)站是否存在XSS跨站腳本漏洞，如果存在該漏洞，網(wǎng)站可能遭受Cookie欺騙、網(wǎng)頁掛馬等攻擊。

3)網(wǎng)頁掛馬。檢測Web網(wǎng)站是否被黑客或惡意攻擊者非法植入了木馬程序。

4)緩沖區(qū)溢出。檢測Web網(wǎng)站服務器和服務器軟件，是否存在緩沖區(qū)溢出漏洞，如里存在，攻擊者可通過此漏洞，獲得網(wǎng)站或服務器的管理權(quán)限。

5)上傳漏洞。檢測Web網(wǎng)站的上傳功能是否存在上傳漏洞，如果存在此漏洞，攻擊者可直接利用該漏洞上傳木馬獲得WebShell。

6)源代碼泄露。檢測Web網(wǎng)絡是否存在源代碼泄露漏洞，如果存在此漏洞，攻擊者可直接下載網(wǎng)站的源代碼。

7)隱藏目錄泄露。檢測Web網(wǎng)站的某些隱藏目錄是否存在泄露漏洞，如果存在此漏洞，攻擊者可了解網(wǎng)站的全部結(jié)構(gòu)。

8)數(shù)據(jù)庫泄露。檢測Web網(wǎng)站是否在數(shù)據(jù)庫泄露的漏洞，如果存在此漏洞，攻擊者通過暴庫等方式，可以非法下載網(wǎng)站數(shù)據(jù)庫。

9)弱口令。檢測Web網(wǎng)站的后臺管理用戶，以及前臺用戶，是否存在使用弱口令的情況。

10)管理地址泄露。檢測Web網(wǎng)站是否存在管理地址泄露功能，如果存在此漏洞，攻擊者可輕易獲得網(wǎng)站的后臺管理地址。

11）網(wǎng)站性能檢測。檢測網(wǎng)站、子網(wǎng)站、欄目和重點頁面是否在線，記錄并統(tǒng)計該站點監(jiān)測次數(shù)、可用次數(shù)、不可用次數(shù)及不可用的百分比，綜合統(tǒng)計站點的變更次數(shù)。

13主機安全檢測。

1、身份鑒別

對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；

操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令長度至少八位以上?？诹钣袕碗s度要求，如同時包含字母、數(shù)字、特殊字符等。定期更換口令；

啟用登錄失敗處理功能，如：限定連續(xù)登錄嘗試次數(shù)、鎖定帳戶、審計登錄事件、設置連續(xù)兩次登錄的時間間隔等；

設置鑒別警示信息，描述未授權(quán)訪問可能導致的后果；

當對服務器進行遠程管理時，采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；

為操作系統(tǒng)和數(shù)據(jù)庫的不同用戶分配不同的用戶名，確保用戶名具有唯一性；

采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別，并且身份鑒別信息至少有一種是不可偽造的，例如以公私鑰對、生物特征等作為身份鑒別信息。

2、自主訪問控制

依據(jù)安全策略控制主體對客體的訪問，如：僅開放業(yè)務需要的服務端口、設置重要文件的訪問權(quán)限、刪除系統(tǒng)默認的共享路徑等；

根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；

實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離；

嚴格限制默認帳戶的訪問權(quán)限，禁用或重命名系統(tǒng)默認帳戶，并修改這些帳戶的默認口令。及時刪除多余的、過期的帳戶，避免共享帳戶的存在。

3、強制訪問控制

應對重要信息資源和訪問重要信息資源的所有主體設置敏感標記；

強制訪問控制的覆蓋范圍應包括與重要信息資源直接相關的所有主體、客體及它們之間的操作；

強制訪問控制的粒度應達到主體為用戶級，客體為文件、數(shù)據(jù)庫表/記錄、字段級。

4、可信路徑

在系統(tǒng)對用戶進行身份鑒別時，系統(tǒng)與用戶之間能夠建立一條安全的信息傳輸路徑。

5、安全審計

審計范圍覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；

審計內(nèi)容包括系統(tǒng)內(nèi)重要的安全相關事件，如：重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等；

安全相關事件的記錄包括日期和時間、類型、主體標識、客體標識、事件的結(jié)果等；

安全審計可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

保護審計進程避免受到未預期的中斷；

保護審計記錄避免受到未預期的刪除、修改或覆蓋等；

安全審計能夠根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計。

6、剩余信息保護

保證操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；

確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。

7、入侵防范

能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；

能夠?qū)χ匾绦蛲暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復的措施；

操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。

8、惡意代碼防范

安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；

主機防惡意代碼產(chǎn)品具有與網(wǎng)絡防惡意代碼產(chǎn)品不同的惡意代碼庫；

支持防惡意代碼的統(tǒng)一管理。

9、資源控制

通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄；

根據(jù)安全策略設置登錄終端的操作超時鎖定；

對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況；

限制單個用戶對系統(tǒng)資源的最大或最小使用限度；

當系統(tǒng)的服務水平降低到預先規(guī)定的最小值時，能檢測和報警。

要想防范類似的網(wǎng)站安全性檢測風險，就需要建立完善的安全規(guī)則防護，尤其是過濾掉帶有攻擊性的注入語句，避免網(wǎng)站管理權(quán)的失控。另外，提升網(wǎng)站的信息安全水平并非一朝一夕之事，時刻保持對網(wǎng)站攻擊的警惕，并運用新技術(shù)防范可能的網(wǎng)站安全性檢測威脅，將是提高用戶網(wǎng)站安全性檢測防護水平、有效避免內(nèi)部資料的外泄的有效途徑。