保證WEB站點安全評估成功的4個主要因素
以下的文章主要向大家講述的是正確保證WEB站點安全評估成功的4個主要因素,如今,針對WEB應用的安全威脅日益增多。這些安全威脅有些是利用WEB站點所在的服務器系統漏洞,有些是利用WEB應用程序本身的漏洞,有些是利用數據庫的漏洞來進行攻擊的。
比特網專家特稿:如今,針對WEB應用的安全威脅越來越多。這些安全威脅有些是利用WEB站點所在的服務器系統漏洞,有些是利用WEB應用程序本身的漏洞,有些是利用數據庫的漏洞來進行攻擊的。因此,使用一些方法和工具,對整個WEB站點進行詳細的安全評估,找出目前WEB服務器系統、WEB應用程序及數據庫中存在的弱點,才有可能將安全威脅抹殺在最初狀態。
在對WEB站點進行安全評估之前,還必需滿足四個最關鍵的因素,它們是安全評估人員、評估工具、評估方法和評估對象。
1、安全評估人員
安全評估人員,應當包括WEB站點的領導、管理員及安全評估實施人員。安全評估實施人員的技術和經驗,以及工作態度一定程度上決定了評估的效果和可信性。
安全評估人員通常由WEB站點的領導指定,領導主要負責協調所有評估人員的相互工作,解決評估過程中遇到的疑難問題,以組織大家確定評估策略、工具、方法和評估內容。而評估人員就是進行WEB站點安全評估的具體實施人員,他們完成所有安全評估任務,并給出評估報告和修復建議。
2、 安全評估工具
三分技術,七分工具。要想高效率地完成對WEB站點的安全評估任何,在開始之前為其準備恰當的安全評估工具總是應該的。
安全評估工具應當根據所要評估的具體對象來選擇,不同的評估對象,所使用的評估工具并不完全相同的。
另外,在選擇安全評估工具時,還要仔細了解評估工具本身的功能和適合范圍等特性。這是因為有些安全評估工具只是針對某種服務或軟件,而有些是針對整個主機或網絡的;有些安全評估工具只能在某種操作系統平臺下運行,例如Windows XP系統或Linux系統,而有些安全評估工具卻能在許多流行的操作系統平臺下運行;一些安全評估工具是軟件方式的,還有一些是以獨立的硬件方式存的;有些安全軟件是免費的,而有一些是商業的。
因此,我們在選擇WEB站點的安全評估工具時,必需根據此次具體的評估對象,以及WEB站點的具體情況,例如操作系統的類型,來選擇恰當的安全評估工具。
現在,市面上已經有許多功能強大的免費的評估工具可以供我們選擇,這些工具有:Nessus、Nikto、N-Stealth、X-scan3.3、WebInject1.41和Acunetix WVS Free Edition,以及一款功能全面且性能強大的商業安全掃描軟件ISS Internet Scanner等。
3、 安全評估方法
安全評估方法就是具體的安全評估實施方式,在每一次安全評估任務開始之前,我們必需根據安全評估的內容,來確定通過哪些方法來評估它們。
對于WEB站點安全評估來說,目前主要有下列五種評估方式:
(1)、由外向內測試
這種安全評估方式就是以攻擊者的角度從WEB站點所在網絡結構中的外部,對它進行安全掃描工作。以此來檢測WEB站點防范來自互聯網遠程攻擊的能力。此種測試方式可以使用上述評估工具中的N-stealth、X-Scan和WebInject等工具來進行。
(2)、由內向外測試
由內向外的安全檢測方式是指從WEB站點所在網絡結構的內部,對它進行安全掃描工作。這種安全檢測方式主要用來檢驗WEB站點對來自內部的攻擊防范能力,以及檢測對用戶權限分配情況和內部數據傳輸過程中的安全性。此時可使用一些操作系統內部網絡命令,例如Netstat,以及Hping和Nikto、X-scan、Nmap、Acunetix WVS Free Edition等工具。
(3)、模擬攻擊測試
模擬攻擊測試是指在實際的測試過程中并不對WEB站點所在服務器系統及WEB應用程序、網絡設備進行真正的攻擊事件。這種測試方式并不會對WEB站點的性能產生影響,平時大部分的安全評估工作應當使用模擬攻擊的測試方式。
(4)、真實攻擊測試
當使用模擬攻擊測試不能真正檢驗到網站的安全狀況時,就可以使用真實的攻擊測試。由于攻擊是真實的,因此會對WEB站點的性能造成影響,因而這種方式最好在WEB開發的實驗階段,以及沒有WEB業務的時候進行。現在有很多的網站都會請一些專門的黑客來對自己的站點進行真實的攻擊,以便最大程度地檢測出WEB站點中存在的安全漏洞問題。
(5)、社會工程攻擊測試
有許多人認為社會工程只是攻擊者用來進行攻擊的一種手段,卻不知它也是一種很好的檢測企業內部員工及站點管理員反社會工程攻擊能力強度的評測工具。你可以通過電話、手機短信及電子郵件的方式對評測的人員進行與攻擊相同的社會工程攻擊,同樣,你還可以通過直接接觸被評測者的方式進行。但要注意的是,如果你是企業內部熟習的人員,在使用社會工程進行安全評估時,最好讓可信的第三方來進行,這樣達到的效果和可信度是最好的。
4、 安全評估的對象
評估對象是指評估過程中具體的評估實施目標,包括WEB服務器主機操作系統、WEB
應用程序框架、數據庫系統及網絡基礎設施等。
確定安全評估的對象后,還必需將具體對象中的具體評估內容也確定下來,并將所涉及
的評估內容一一列出,制定一個具體的評估內容表。這樣,在具體評估工作開始后,就可以按評估內容表中的項目一一進行評估了。
上述這四個因素是WEB站點安全評估工作中缺一不可的,缺少任何一個或任何一個出現問題,都會使整個評估工作中斷或使評估結果不可信。
還有就是評估工具的使用并不一定得一次只使用一種工具,我們可以根據要評估的對象和評估的內容進行組合應用。畢竟,就像雪源梅香在安全評估工具一項中描述的,有時一種工具只在某一個方面比較有效,而且,評估軟件還存在誤報和漏報的問題,組合使用不同的評估工具,再加上評估人員自己的經驗判斷,就能將評估結果的有效性提高到較高的水平。
