亞運(yùn)期間如何確保WEB系統(tǒng)的安全
1、引言
第16屆亞運(yùn)會(huì)將于2010年11月12日至27日在中國廣州進(jìn)行,廣州是中國第二個(gè)取得亞運(yùn)會(huì)主辦權(quán)的城市。北京曾于1990年舉辦第11屆亞運(yùn)會(huì)。廣州亞運(yùn)會(huì)將設(shè)42項(xiàng)比賽項(xiàng)目,是亞運(yùn)會(huì)歷史上比賽項(xiàng)目最多的一屆。如此重大的世界體育盛會(huì)必將舉世矚目,而在社會(huì)高度信息化的今天,要搞好這場世界盛會(huì)信息系統(tǒng)的安全可是不容或缺的一塊,我們公司企業(yè)或政府單位該如何來確保自己的WEB系統(tǒng)安全呢?本文分為安全檢查、安全加固、安全應(yīng)急等3個(gè)方面來給大家介紹。
2、WEB系統(tǒng)的安全檢查
要確保WEB系統(tǒng)的安全,必然先要進(jìn)行全面的安全檢查。可以使用AppScan、WVS、JSKY等WEB漏洞掃描工具來對(duì)自己的web系統(tǒng)進(jìn)行掃描,當(dāng)然這些工具的價(jià)格都比較昂貴。
(圖1)
2.1、Windows系統(tǒng)的安全檢查
如果服務(wù)器是微軟的系統(tǒng)推薦使用MBSA。MicrosoftBaselineSecurityAnalyzer(MBSA)是微軟專為IT專業(yè)人員設(shè)計(jì)的一個(gè)簡單易用的免費(fèi)工具(圖1),可幫助中小型企業(yè)根據(jù)Microsoft安全建議確定其安全狀態(tài),并根據(jù)結(jié)果提供具體的修正指南。使用MBSA檢測常見的安全性錯(cuò)誤配置和計(jì)算機(jī)系統(tǒng)遺漏的安全性更新,改善您的安全性管理流程。MBSA最新版本的官方下載地址:http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=02be8aee-a3b6-4d94-b1c9-4b1989e0900c
2.2、其他操作系統(tǒng)的安全檢查
如果服務(wù)器是其他類型的操作系統(tǒng),推薦使用Nessus4.2.2,Nessus可以安裝在Windows、MacOSX、Linux、FreeBSD、Solaris等等類型的操作系統(tǒng)上面,而且它的掃描功能非常強(qiáng)大,包括路由器、交換機(jī)、打印機(jī)、WEB系統(tǒng)、各類操作系統(tǒng)等等都可以掃描。官方下載地址:http://www.nessus.org/download/
3WEB系統(tǒng)的安全加固
3.1IIS的安全加固
使用InternetInformationServices(IIS)來架設(shè)網(wǎng)站的公司可以使用微軟推出的免費(fèi)工具URLScan來加強(qiáng)IIS的安全性(圖2)。URLScan是一個(gè)可供網(wǎng)站管理員使用的加載項(xiàng)工具。管理員可以控制URLScan的操作并限制服務(wù)器處理的HTTP請(qǐng)求的類型,進(jìn)行了合適的配置就可以防御大部分常見的WEB攻擊了。URLScan最新版本的官方下載地址:http://www.iis.net/download/UrlScan。
(圖2)#p#
3.2、apache的安全加固
使用apache來架設(shè)網(wǎng)站的公司可以使用Modsecurity來加強(qiáng)apache的安全性,它是一個(gè)開放原代碼的入侵檢測和防護(hù)引擎,用來保護(hù)Web應(yīng)用程序.他同樣和可以當(dāng)作一個(gè)Web應(yīng)用程序防火墻.它嵌入到Web服務(wù)器中,擔(dān)當(dāng)一個(gè)強(qiáng)大的保護(hù)傘-保護(hù)來自應(yīng)用程序的攻擊.ModSecurity是一個(gè)入侵偵測與防護(hù)引擎,它主要是用于Web應(yīng)用程序,所以也被稱為Web應(yīng)用程序防火墻。它可以作為ApacheWeb服務(wù)器的模塊或是單獨(dú)的應(yīng)用程序來運(yùn)作。ModSecurity的功能是增強(qiáng)Webapplication的安全性和保護(hù)Webapplication以避免遭受來自已知與未知的攻擊。官網(wǎng):http://www.modsecurity.org/。
4、應(yīng)急處理
對(duì)網(wǎng)站的應(yīng)急處理工作中必不可少的就是檢測webshell了,顧名思義,"web"的含義是顯然需要服務(wù)器開放web服務(wù),"shell"的含義是取得對(duì)服務(wù)器某種程度上操作權(quán)限。webshell常常被稱為匿名用戶(入侵者)通過網(wǎng)站端口對(duì)網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。由于webshell其大多是以動(dòng)態(tài)腳本的形式出現(xiàn),也有人稱之為網(wǎng)站的后門工具。
4.1、Windows上檢查webshell
在Windows平臺(tái)的服務(wù)器上檢查webshell可以使用南京銥迅的網(wǎng)站惡意木馬掃描器(WebshellScanner)(圖2),官方下載地址:http://www.yxlink.com/products-tools-webshellscanner.html,或保護(hù)傘網(wǎng)絡(luò)的Safe3WebShellScanner,官方下載地址:http://www.safe3.com.cn/works/884981847/view.aspx,這兩款小工具都是免費(fèi)的。都支持asp、aspx、php、jsp、asa、cer等常見格式的文件掃描,也可以自定義文件的后綴名,他們可以自動(dòng)地搜索網(wǎng)站里面的網(wǎng)頁木馬然后生成統(tǒng)計(jì)報(bào)表。
(圖3)
4.2、Linux上檢查webshell
如果是Linux系統(tǒng)的話就沒有這么直觀的工具了,下面我推薦幾條命令給大家(表1),就直接使用Linux系統(tǒng)自帶的find命令以eval、shell_exec、passthru等關(guān)鍵詞來搜索webshell,這樣的效果和使用工具的是一樣。
5、結(jié)束語
信息的安全關(guān)乎全局,只要有一點(diǎn)缺陷都可能導(dǎo)致整個(gè)系統(tǒng)面臨威脅!除了上面所說到的內(nèi)容之外,還有第三方軟件的安全配置和操作系統(tǒng)的權(quán)限配置也是很重要的。希望這篇文章能帶給大家一些幫助.
作者簡介:何伊圣,男,(1990-),藍(lán)盾信息安全技術(shù)股份有限公司攻防研究員,擅長滲透測試與WEB漏洞挖掘。
【編輯推薦】
