标签： 网站安全

　　2011年已经过去，在这一年的最后几天，一场被媒体称为“中国互联网史上规模最大的泄密事件”突如其来。

　　自2011年12月21日开始，中国最大开发者技术社区CSDN的600万用户数据被泄露，其中包含极为敏感的用户名、明文密码；次日，垂直游戏网站多玩网被传泄露800万用户数据；25日，号称“最有影响力华人论坛”天涯社区4000万用户数据包被疯传；51CTO、CNZZ、eNet、UUU9、

　　南都讯 记者邓淋彦 政府主动公开信息，要在网站上同步发布。市市场监管局发布的深圳市标准化指导性技术文件《政府网站建设和管理规范》(以下简称“《规范》”)将从明年1月1日起实施。政府网站出现重大安全事故，网站恢复正常的时间不应超过1小时。对于网上咨询投诉，政府相关部门不能敷衍或作无效回答。

　　完整、准确、及时、有效。根据《规范》的要求，政府网站不得发布不真实、不完整或有歧义的信息。属于主

　　服务器安全至关重要 构建纯净网络环境

　　据2011年第三季度最新网络安全信息报告数据显示，垃圾邮件、网页挂马、黑客攻击严重威胁互联网安全。其中亚太地区为黑客攻击重灾区。包括中国在内的多个亚太地区国家的大中小网站、企业、政府机关受到严重的服务器安全威胁。仅第三季度就有超过300次的恶意攻击行为发生。病毒挂马、黑客攻击背后的网络犯罪者通过非法行为窃取各类账号密码、机密资料并收集用户隐私，

由于刚刚亮相便获得了国际TechCrunch创业企业大赛亚军，创新工场投资的“安全宝”短时间内引来众多网站用户的竞相注册使用。

“不需要采购任何设备、也不需要复杂繁琐的设置维护，只需登录‘安全宝’网站(www.anquanbao.com)并进行简单的配置，几分钟内就可让用户网站获得最先进的安全防护。”相信在看到这样的介绍之后，很多备受互联网安全困扰的网站用户都会心动。要知道，随着互联网的飞速发展，相关安全挑战也成为最棘手的问题。数据显示，2010年国内超过200万个页面被挂马，近3.5万家网站被黑客篡改，超过1亿名中国用户直接或间接受到影响。面对如此严酷的网络安全环境，这种只需用户动动鼠标就能实现的安全防护是否真的能够发挥作用呢?为此，记者特别走访了位于创新工场的“安全宝”总部。
...

11月1日，备受瞩目的国际TechCrunch大会创业企业大赛揭晓，“安全宝”凭借革命性的云安全防护技术，从全球400多家高科技创新企业中脱颖而出，获得评委一致肯定，荣获创业企业竞技场第二名，是TechCrunch历史上中国企业获得的最高名次。

中国是“安全宝”业务成长最重要的基石，公司CEO马杰在决赛第二轮评选中坚持采用中文进行演讲，这同样也是TechCrunch大会历史上的“第一次”，这一高举本土化旗帜的“创新”举动，获得了现场评委和听众的热烈掌声。

作为创新工场重金投资的云计算及信息安全项目，“安全宝”力图将众多网站用户从日益严峻的安全困扰中解脱出来，获得“自来水”式的安全防护。用户只需登录“安全宝”网站(www.anquanbao.com)并进行简单的配置，几分钟内就可让自己的网站获得最先进的安全防护，不仅不再需要传统繁琐的设备部署与维护，大大降低了网站防护成本，更借助全新的云安全技术，将网站的安全防护能力提升到了一个新的高度。
...

51websec是一家针对网络信息安全中的木马监测、监控的网站。可分析被监控网站页面的内容，监控被监控的网站的异常情况，当被监控的网站发生了挂马事件，将会在第一时间在系统中作出预警。

2011年7月10日注定是个值得庆贺的日子，经过两年多的策划开发，直到今天51websec正式发布，这款完全由国内技术团队自主研发的线上网站体检监控平台正式发布。

　　这篇文章是Sine的投稿，游侠安全网（www.youxia.org）欢迎各位安全同仁、安全公司投稿！可发QQ：55984512，或邮箱：zbc98@163.com

网站从创建到现在已经有1年多了，一直运行正常，访问也很稳定，直到昨天一个朋友告诉我说我的网站被挂马了，当时我一听网站挂马我就懵了，不知所措，以前我真的没遇到过，也不知道什么是挂马，在网上搜索了整整3天，终于把网站被挂马给摸透

　　【IT168 专稿】随着企业管理与应用的不断“Web”化，Web安全威胁愈演愈烈，这给企业用户带来不小的压力，然而对于安全厂商而言Web安全或许是一次不错的试金石。总体来看，Web安全市场可以分为两大支流，其中一个叫内容安全管理，另外一个叫应用安全管理。内容安全管理主要以上网行为管理产品为代表，主要侧重于企业web应用，是用户端的一个管理;另外一块就是以Web应用防火墙为代表。

　　伴随着Web应用的不断发展，市面上的Web应用防火墙品牌与功能也越来越多，什么样的Web应用防火墙才是一款好的安全设备?很荣幸采访到梭子鱼网络有限公司中国区总经理何平(Arron He)一同探讨Web应用防火墙采购与部署情况。
...

　　新华网北京3月13日电 （记者 周文林）由工业和信息化部通信保障局和国家互联网应急中心（CNCERT）共同主办的“2010年互联网网络安全态势报告发布会”近日在京召开。此次大会发布的报告显示，2010年我国基础网络运行总体平稳，但同时也存在诸多问题，包括政府网站安全防护薄弱，工业控制系统安全面临严峻挑战，木马和僵尸网络依然对网络安全构成直接威胁等。报告认为，我国互联网应用层服务的市场监管和用户隐私保护工作亟待加强。

　　此次发布的报告显示，2010年我国基础网络运行总体平稳，互联网骨干网各项检测指标正常。但不容忽视的是，域名系统安全仍是薄弱环节。2010年1月12日，百度网站发生了4小时的访问故障，引起网民广泛关注。9月10日，安徽电信公共域名服务器遭受网络攻击，省内互联网用户上网受到影响。此外，去年还发生多次针对新网、万网等域名注册服务机构的网络攻击事件。
...

　　WEB应用和数据库安全人才紧缺

　　WEB应用系统和数据库作为国家信息化建设的核心系统，承载着国家、政府、行业大量重要数据资产，面临着信息泄露、信息篡改、远程木马等安全威胁。国家相关部门制定大量的法律法规督促要求各行各业信息系统进行相应安全建设和管理，应用安全行业抓住前所未有的机遇，快速发展，旨在提供专业的应用安全产品和服务。然而由于我国应用安全起步晚，应用安全人才匮乏，安全企业人才的引

　　电子政务门户网站信息安全形势严峻

　　门户网站作为电子政务的重要组成部分，是政府部门对外的窗口和实施电子政务的重要平台，其地位非常重要，但其安全形势却不容乐观。据CNCERT最新统计显示，2009年我国大陆地区政府网页遭篡改事件呈大幅增长趋势， 2010年上半年我国大陆地区被篡改的政府网站的数量就达到7189个。电子政务门户网站基于WEB应用服务方式，给用户提供了方便，然而针对WEB业务

　　客户面临的风险

　　网络技术的不断发展，电信公司作为IT技术应用的领航者，很快建立了某电信网上营业厅，电信客户可以通过网上营业办理大部分业务。目前网上营业厅品牌专区、信息传递、产品介绍、业务办理、自助服务、客户服务等栏目，用户可以了解电信相关产品，了解电信公司近期活动，可以实现话费查询，套餐办理，网上投诉等功能，方便用户便捷地进行电信业务的办理。随着时间的推移，网上营业厅已经成为了电信业

转载请注明：红客联盟 http://www.honker.net
以前发过一个类似的，支持ASP和PHP版本的(传送门：http://bbs.honker.net/thread-43541-1-1.html oldjun原创的，)今天我结合一个客户门户站安全维护时需求，防止JSKY扫描WEB应用程序的方法，暂取名为webips ，以下代码经测试，主流JSKY、小钢炮，明鉴，MatriXay，WebRavor、IBM Appscan、HP WebInspect等WEB应用扫描器均无效，同时希望对编程爱好者加入到Honker Security Team共同探索未知的领域，现放出ASP版本代码，开头对网络蜘蛛进行了判断，对垃圾点的ASP程序加入防注入代码，希望大家共同去完善！（使用方法：新建一个文件webips.asp,把公共文件部分调用即可，一般为config.asp等）
...

Acunetix Web Vulnerability Scanner 是一款国外产的及其优秀的扫描工具，可以帮忙挖掘网站内的诸多漏洞，包括常见的SQLinjection，XSS（很多自认为牛人的就喜欢用WVS扫站发现XSS就公布说是他发现的...）。既然WVS这么牛，那咱们就不给他访问网站的机会，像堵SQL注入一样来堵住它。

分析了一下WVS扫描时候的头文件，基本都包含它网站的英文名称：acunetix，于是我们从这个名称下手了。以下是三个版本的代码