亚运期间如何确保WEB系统的安全

安全 应用安全
第16届亚运会将于2010年11月12日至27日在中国广州进行,广州是中国第二个取得亚运会主办权的城市。北京曾于1990年举办第11届亚运会。

1、引言

第16届亚运会将于2010年11月12日至27日在中国广州进行,广州是中国第二个取得亚运会主办权的城市。北京曾于1990年举办第11届亚运会。广州亚运会将设42项比赛项目,是亚运会历史上比赛项目最多的一届。如此重大的世界体育盛会必将举世瞩目,而在社会高度信息化的今天,要搞好这场世界盛会信息系统的安全可是不容或缺的一块,我们公司企业或政府单位该如何来确保自己的WEB系统安全呢?本文分为安全检查、安全加固、安全应急等3个方面来给大家介绍。

2、WEB系统的安全检查

要确保WEB系统的安全,必然先要进行全面的安全检查。可以使用AppScan、WVS、JSKY等WEB漏洞扫描工具来对自己的web系统进行扫描,当然这些工具的价格都比较昂贵。

(图1)

(图1)

2.1、Windows系统的安全检查

如果服务器是微软的系统推荐使用MBSA。MicrosoftBaselineSecurityAnalyzer(MBSA)是微软专为IT专业人员设计的一个简单易用的免费工具(图1),可帮助中小型企业根据Microsoft安全建议确定其安全状态,并根据结果提供具体的修正指南。使用MBSA检测常见的安全性错误配置和计算机系统遗漏的安全性更新,改善您的安全性管理流程。MBSA最新版本的官方下载地址:http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=02be8aee-a3b6-4d94-b1c9-4b1989e0900c

2.2、其他操作系统的安全检查

如果服务器是其他类型的操作系统,推荐使用Nessus4.2.2,Nessus可以安装在Windows、MacOSX、Linux、FreeBSD、Solaris等等类型的操作系统上面,而且它的扫描功能非常强大,包括路由器、交换机、打印机、WEB系统、各类操作系统等等都可以扫描。官方下载地址:http://www.nessus.org/download/

3WEB系统的安全加固

3.1IIS的安全加固

使用InternetInformationServices(IIS)来架设网站的公司可以使用微软推出的免费工具URLScan来加强IIS的安全性(图2)。URLScan是一个可供网站管理员使用的加载项工具。管理员可以控制URLScan的操作并限制服务器处理的HTTP请求的类型,进行了合适的配置就可以防御大部分常见的WEB攻击了。URLScan最新版本的官方下载地址:http://www.iis.net/download/UrlScan

(图2)

(图2)#p#

3.2、apache的安全加固

使用apache来架设网站的公司可以使用Modsecurity来加强apache的安全性,它是一个开放原代码的入侵检测和防护引擎,用来保护Web应用程序.他同样和可以当作一个Web应用程序防火墙.它嵌入到Web服务器中,担当一个强大的保护伞-保护来自应用程序的攻击.ModSecurity是一个入侵侦测与防护引擎,它主要是用于Web应用程序,所以也被称为Web应用程序防火墙。它可以作为ApacheWeb服务器的模块或是单独的应用程序来运作。ModSecurity的功能是增强Webapplication的安全性和保护Webapplication以避免遭受来自已知与未知的攻击。官网:http://www.modsecurity.org/

4、应急处理

对网站的应急处理工作中必不可少的就是检测webshell了,顾名思义,"web"的含义是显然需要服务器开放web服务,"shell"的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门工具。

4.1、Windows上检查webshell

在Windows平台的服务器上检查webshell可以使用南京铱迅的网站恶意木马扫描器(WebshellScanner)(图2),官方下载地址:http://www.yxlink.com/products-tools-webshellscanner.html,或保护伞网络的Safe3WebShellScanner,官方下载地址:http://www.safe3.com.cn/works/884981847/view.aspx,这两款小工具都是免费的。都支持asp、aspx、php、jsp、asa、cer等常见格式的文件扫描,也可以自定义文件的后缀名,他们可以自动地搜索网站里面的网页木马然后生成统计报表。

(图3)

4.2、Linux上检查webshell

如果是Linux系统的话就没有这么直观的工具了,下面我推荐几条命令给大家(表1),就直接使用Linux系统自带的find命令以eval、shell_exec、passthru等关键词来搜索webshell,这样的效果和使用工具的是一样。

5、结束语

信息的安全关乎全局,只要有一点缺陷都可能导致整个系统面临威胁!除了上面所说到的内容之外,还有第三方软件的安全配置和操作系统的权限配置也是很重要的。希望这篇文章能带给大家一些帮助.

作者简介:何伊圣,男,(1990-),蓝盾信息安全技术股份有限公司攻防研究员,擅长渗透测试与WEB漏洞挖掘。

【编辑推荐】

  1. 信息安全服务——实现业务高效的必经之路
  2. 如何成功地为你的信息安全事业投资?
  3. Wedge Networks助力“游戏橘子”构建全方位Web安全保护方案
  4. 天融信助力第三届信息安全漏洞大会
责任编辑:佟健 来源: IT.com.cn
相关推荐

2011-03-25 11:39:29

2020-07-01 07:34:26

医疗设施安全网络攻击网络安全

2021-01-07 22:41:08

Web开发工具

2020-12-29 08:58:45

Web开发工具

2022-08-02 10:43:44

智能工厂安全

2009-08-14 14:31:43

2010-08-03 16:00:08

2019-07-25 10:44:52

2014-11-03 09:31:55

2021-08-06 11:12:58

物联网安全设备

2014-12-30 11:22:30

2014-12-30 10:21:06

2021-10-19 06:05:20

网站安全网络威胁网络攻击

2013-02-17 17:12:44

手机安全

2013-11-01 09:15:21

2020-06-28 11:00:18

大数据数据湖安全

2015-03-18 14:30:09

2014-03-25 10:09:46

2010-12-01 07:28:48

浪潮服务器亚运会

2019-08-19 11:26:47

点赞
收藏

51CTO技术栈公众号