網站的安全隱患及應對措施探討
作者:郭文博
評論: 更新日期:2014年08月15日
??????? 4���、頁面行為方式缺乏邏輯
??????? 在網站中注冊新用戶的時候�,一般會首先要求用戶輸入自己需要注冊的賬號信息�,驗證該賬號是否已經存在,確保用戶的單一性���。如果用戶的注冊信息通過了“存在該賬號”的檢測��,在編程的時候就認為這個賬號一定不存在����,可以注冊�,在注冊頁面中直接使用“nsertInto”語句將注冊信息插入用戶數據庫。上述的問題是:將注冊信息插入數據庫之前�,并沒有再一次檢查這個用戶是否存在��,而是信任前一個檢測頁面?zhèn)鱽淼馁~號信息��。由于可以閱讀和保存HTML文件的源代碼�,如果用戶將注冊通過的頁面保存并且將上面的賬號信息修改為一個已經存在的賬號,由于程序認為該賬號已經通過檢測���,直接將該賬號插入數據庫��,原來擁有該賬號的用戶信息就被修改�,造成用戶信息流失、出錯等情況的發(fā)生�����。如果這個賬號剛好是一個管理員賬號�����,結果將是很難預料的�。
??????? 三、網站安全管理策略探討
??????? (一)網絡安全的管理
??????? 1�、使用防火墻 。
??????? 防火墻在整個網絡安全中的地位將是無可替代�,它是目前使用最多,效率最高的網絡安全產品���。
??????? 2�����、與因特網接入處增設網絡入侵檢測系統(tǒng) ���。
??????? 入侵檢測系統(tǒng)(IDS即IntrusionDetectSystem)是實時網絡違規(guī)自動識別和響應系統(tǒng)��,它位于有敏感數據需要保護的網絡上或網絡上任何有風險存在的地方���,通過實時截獲網絡數據流,能夠識別����、記錄入侵或破壞性代碼流,尋找網絡違規(guī)模式和未授權的網絡訪問����,一經發(fā)現入侵檢測系統(tǒng)根據系統(tǒng)安全策略做出反應,包括實時報警��、自動阻斷通信連接或執(zhí)行用戶自定義安全策略等����。
??????? 3、病毒防御 �����。
??????? 單純防病毒��,并不是企業(yè)的最終目標�����。只有明確需求�����,重視產品的應用和管理��,把網絡防病毒納入到信息安全防范體系之中進行綜合防范�,才能有效提升企業(yè)的信息安全水平。我們只有認準適合自己的技術����,并采用多種技術相互結合才能達到相應的目的。
??????? (二)網站自身的安全管理
??????? 1��、網站服務器的安全管理
??????? 網站服務器的日常維護和管理工作包括網站服務器的內容更新�、日志文件的審計、安裝一些新的工具和軟件��、更改服務器配置�、對服務器進行安全檢查等。主要注意以下幾點:
??????? (1)解決網絡安全問題應首先從網絡結構設計上著手�����。
??????? 為了從根本上解決網絡的安全問題,我們可從網絡結構上著手�,首先安裝一個功能強大的防火墻可以有效防御外界對Web服務器的攻擊,其次可通過安裝非法人侵監(jiān)測系統(tǒng)�����,提升防火墻的性能����,達到監(jiān)控網絡、執(zhí)行立即攔截動作以及分析過濾封包和內容的動作�,當有入侵者攻擊時可以立刻有效終止服務。再次應限制非法用戶對網絡的訪問���,規(guī)定具有特定IP地址的客戶機對本地網絡服務器的訪問權限�����,以防止從外界對網絡服務器配置的非法修改�����。
??????? (2)解決網絡安全問題應定期對網站服務器進行安全檢查
???????????? 網站服務器是對外開放的���,每天有成千上萬的用戶進行訪問,非常容易受到病毒的攻擊����,所以應為服務器建立例行安全審核機制,利用漏洞掃描工具和IDS工具����,加大對服務器的安全管理和檢查。另外�,隨著新漏洞的出現,我們要及時為服務器安裝各類新漏洞的補丁程序����,從而避免服務器受到攻擊和出現其他異常情況。
??????? (3)解決網絡安全問題應定期進行必要的數據備份
??????? 網站的核心是數據����,數據一旦遭到破壞,后果不堪設想����。所以除了設置相應權限外,還應建立一個正式的備份方案��,而且隨著網站的更新,備份方案也需要不斷地調整��。
??????? 2�、數據庫安全管理
??????? 數據庫的安全性是指保護數據庫以防止不合法的使用所造成的數據泄密和破壞。為了保證業(yè)務應用系統(tǒng)后臺數據庫的安全性��,采用基于Client/Server模式訪問后臺數據庫�����,為不同的應用建立不同的服務進程和進程用戶標識�,后臺數據庫系統(tǒng)以服務器進程的用戶標識作為訪問主體的標識,以確定其訪問權限����。我們通過如下方法和技術來實現后臺數據庫的訪問
??????? 控制。
??????? (1)訪問矩陣
??????? 訪問矩陣就是以矩陣的方式來規(guī)定不同主體(用戶或用戶進程)對于不同數據對象所允許執(zhí)行的操作權限����,并且控制各主體只能存取自己有權存取的數據。它以主體標行�,訪問對象標列,訪問類型為矩陣元素的矩陣�。Informix提供了二級權限:數據庫權限和表權限,并且能為表中的特定字段授予Select和Update權限��。因此,我們在訪問矩陣中定義了精細到字段級的數據訪問控制���。
??????? (2)視圖的使用
??????? 通過視圖可以指定用戶使用數據的范圍�����,將用戶限定在表中的特定字段或表中的特定記錄,并且視圖和基礎表一樣也可以作為授權的單位����。針對不同用戶的視圖,在授權給一用戶的視圖中不包括那些不允許訪問的機密數據�����,從而提高了系統(tǒng)的安全性�����。
??????? (3)數據驗證碼DAC
??????? 對后臺數據庫中的一些關鍵性數據表���,在表中設置數據驗證碼DAC字段�����,它是由銀行密鑰和有關的關鍵性字段值生成��。不同記錄的DAC字段值也不相同��。如果用戶非法修改了數據庫中的數據����,則DAC效驗將出錯,從而提高了數據的安全性��。
??????? 3�、在程序編碼中進行安全管理 。
??????? (1)要防止惡意代碼注入����。首先要進行驗證輸入,使攻擊者無法注入腳本代碼或使緩沖區(qū)溢出; 其次對所有包含輸入的輸出進行編碼���,可防止客戶端將潛在的惡意腳本標記作為代碼進行轉換��;第三使用接受參數的存儲過程�����,防止數據庫將惡意SQL輸為可執(zhí)行語句進行處理����。同時使用特權最低的進程帳戶和模擬帳戶。在攻擊者企圖應用程序的安全上下文執(zhí)行代碼時�,可緩解風險并減少損害。
??????? (二)要防止會話劫持���。首先要分隔個性化cookie和身份驗證cookie����;其次通過HTTPS連接傳遞身份驗證cookie����;第三不傳遞在查詢字符串中代表已通過身份驗證的用戶標識符����。
??????? 作為一名網絡或者網站管理員,有責任同時也有義務做好網站的維護與管理�,這就需要我們管理人員時刻保持虛心學習的心態(tài),時刻關注新的管理技術與安全防御技術�����。對于已經出現的安全問題應該用最快、最有效的方法加以解決�,對于目前還未出現的安全問題要有預見性,這樣才能確保對網絡的安全隱患�����。
???????
???????
