什么是WEB安全？是网络安全么？

Posted 2023-05-13

网站安全
§1、网站安全概述
一、 常见的网站提供的服务：DNS SERVER，WEB SERVER，E-MAIL SERVER，FTP SERVER，此外网站还需要有个主服务器（最好不要把网站的操作系统服务器与上述的SERVER 放在一起）（不一定全对互联网开放）
1、 这些常见的服务属于TCP/IP协议栈，如果低层安全性被攻击了，则高层安全成了空中楼阁。所以要进行安全分析（安全只是个动态的状态）
2、 TCP/IP协议栈各层常见的攻击（回忆TCP/IP各层结构图）
（1）物理层：数据通过线传输是特点
威胁：监听网线，sniffer软件进行抓包，拓朴结构被电磁扫描攻破
保护：加密，流量填充等
（2）internet层：提供寻址功能是其特点-----路由，IP,ICMP,ARP,RARP
威胁：IP欺骗(工具完成将数据包源地址IP改变)
保护：补丁、防火墙、边界路由器设定
（3）传输层：控制主机间的信息流量-----TCP,UDP
威胁：DOS(图)，DDOS，会话劫持等
保护：补丁、防火墙、开启操作系统抗DDOS攻击特性
（4）应用层：协议最多最难防
①SMTP协议：
威胁：邮件风暴（黑客给邮件服务器不断发木马或病毒），企业用户内网与外网采用同样的邮箱名，邮件的中继与转发(图)
保护：防病毒网关，邮件服务器软件及时打补丁
②FTP协议：
威胁：匿名用户如果具有写权限，会上传非法服务给FTP SERVER; 用户名、口令在FTP客户端与服务器端之间是明文传输
保护：FTP数据存放于独立分区，不允许匿名的FTP连接，上传与下载位于不同的NTFS分区，FTP客户端与服务器端的通讯进行加密SSH
③HTTP协议：
威胁：Java script，CGI，ASP，ActiveX
保护：禁止这些不安全的控件，杀毒软件
④Telnet协议：
威胁：明文传输敏感数据
保护：加密
⑤SNMP协议：
威胁：public默认社区名，明文传输敏感信息
保护：将默认社区名改名，防火墙
⑥DNS协议：
威胁：DNS欺骗
保护：防火墙阻止，在DNS zone中设定成只允许几个主机的zone传输
3、 网站业务流（电子商务与普通企业网站业务流不同，重点是认证）、采用的拓朴、防火墙体系结构、操作系统等的不同，受到的威胁也不同
二、 在网站业务流、采用的拓朴、防火墙体系结构、操作系统等体系结构确定的前提下，还存在的安全问题
1、未授权存取（匿名用户具有写权限----IIS写权限扫描工具+桂林老兵可以完成）
2、窃取系统信息:帐号,银行
3、破坏系统：破坏数据（删除数据）
4、非法使用：利用FTP服务器存放非法软件
5、病毒木马：不小心执行病毒、木马
三、web站点典型安全漏洞
1、操作系统类：通用安全漏洞，各操作系统特有的安全漏洞
2、路由器等网络系统漏洞：如路由器、防火墙等的缺省配置及配置错误（一部分边界路由器有自动配置的功能，但这种自动配置功能必须手工开启）（见校园网拓朴结构图）
3、应用系统安全漏洞：协议漏洞
4、网络安全防护系统不健全：缺乏安全意识，缺少定期的安全检测、安全监控
5、其它漏洞：易被欺骗，弱认证，对电邮队服附件病毒及WEB浏览可能存在的恶意java/ActiveX小控件进行有效控制。
正因为存在这些安全漏洞所以要制定安全策略。
§2、WEB站点安全策略
允许远程执行CGI脚本，脚本中的bug会成为保护操作系统的漏洞;但如果限制CGI限制得过头了，web使用起来不方便（安全是使用方便与安全配置之间的一个平衡点）
一、 安全策略定制原则：
1、风险分析：搞清站点属于低端安全、中端安全、还是高端安全？易受哪些威胁？（默认配置）？根据威胁进行安全评估（使用启明星辰的工具）
2、服务器记录原则：web服务器会记录它们收到的每一次连接（如果web server采用认证的方式还会记录下用户名），该用户在此期间填写的表格会被记录下来，会对用户构成威胁。
解决方案：web服务器管理者可以查阅用户资料，但无需打开(审计人员查管理员好些)
二、 配置web server的安全特性
1、用户与站点建立连接的过程中可能会造成因域名欺骗而使得用户得不到授权访问及要求的信息或者把黑客当作合法用户来允许其访问
2、加强各服务器的措施
①web server：主分区存放操作系统，web server放至另一分区;CGI脚本放至第三个NTFS分区;不以administrator身份运行web server（而以另一用户身份运行web server）其余见winnt站点解决方案
②ftp server：与web server不同分区，允许只读访问，进行访问控制的设置（一般只对内网开放）
③电子邮件服务器：安装网络级电子邮件扫描软件;禁掉中继任何未授权用户；设置垃圾邮件过滤及巨型邮件过滤条件
三、 排除站点中的安全漏洞，尽量减少安全漏洞
1、物理漏洞：未授权人员访问引起的
2、软件漏洞：由软件应用程序的错误授权引起。首要规则----不轻易相信脚本、java applet
3、不兼容问题
4、缺乏安全策略
四、 监视控制出入web站点的出入情况
1、 Webtrends：查访问次数最多的站点、最频繁的用户。它可以完成监控请求（如：sever访问次数，用户来自何处，服务器上哪类信息被访问、访问的浏览器类型、用户提交方式等）;它可以测算命中次数（可以确定出站点的命中次数----一个用户详细地读站点时一次简单的会话可以形成几次命中;还可以通过站点上某个文件的访问次数来确定站点访问者的数目）
2、 入侵检测系统：免费的snort
3、 传输更新：web三元素----HTTP协议，数据格式html，浏览器。三元素以HTML为中心，必须保持其更新 参考技术A WEB安全不是网络安全。
WEB安全是指WEB应用的安全，比如SQL注入、跨战站脚本、网页挂马等。
网络安全是指对网络的攻击，如蠕虫、病毒、木马等。 参考技术B 针对互联网应用的普及，web安全问题越来越凸显。涉及到各个行业和领域，例如SQL注入和跨站攻击就是很典型的两个web安全的实例。和网络安全不同的是，web安全是应用层，网络安全是数据传输层。 参考技术C §1、bai网站安全概述
一、 常见的网站提供的服务：DNS SERVER，duWEB SERVER，E-MAIL SERVER，FTP SERVER，此外网站还需要有个主服务器（最好不要把网站的操作系统服务器与上述的SERVER 放在一起）（不一定全对互联网开放）
1、 这些常见的服务属于TCP/IP协议栈，如果低层安全性被攻击了，则高层安全成了空中楼阁。所以要进行安全分析（安全只是个动态的状态）
2、 TCP/IP协议栈各层常见的攻击（回忆TCP/IP各层结构图）
（1）物理层：数据通过线传输是特点
威胁：监听网线，sniffer软件进行抓包，拓朴结构被电磁扫描攻破
保护：加密，流量填充等
（2）internet层：提供寻址功能是其特点-----路由，IP,ICMP,ARP,RARP
威胁：IP欺骗(工具完成将数据包源地址IP改变)
保护：补丁、防火墙、边界路由器设定
（3）传输层：控制主机间的信息流量-----TCP,UDP
威胁：DOS(图)，DDOS，会话劫持等
保护：补丁、防火墙、开启操作系统抗DDOS攻击特性 参考技术D “百度安全”与“中云网安”分别提出：积极Web安全模型必须是网络安全最新、最先进的方法。该模型的初始状态假定所有客户端流量都是危险的，只允许被认为有效和安全的请求。一般的传统产品使用已知的地址作为IP“白名单”，这种方式很简单，但不实用。最复杂的方法是使用深入的AI学习应用程序及其预期用途。这种方法在防止0-day威胁和漏洞处理方面最有效。所以目前这两家企业在安全界齐头提出：AI Security。

WEB代码审计教程，详解什么是WEB代码审计

现在WEB安全几乎就是网络安全的主科，我觉得WEB安全技术的重要性应该能够和小学时候咱们学习的学科，语文数学相持平了

WEB这个东西，我也不知道该怎么怎么样具体形容他的重要性，反正就是十分重要吧~

对于这个技术我原本也是一直半解，知道我看了这部WEB代码审计教程才恍然大悟，原来WEB安全既然有这么多的套路

所谓WEB代码审计是什么意思呢？其实就是我们现在大部分网站都是用WEB前端开发的

这样的话如果黑客在WEB前端开发的代码里面隐藏上恶意代码的话那么咱们可就是白瞎了

所以代码审计是由为重要的