信息安全工程师笔记-网站安全需求分析与安全保护工程

Posted 2021-10-24 IT1995

网站面临的主要安全威胁

①非法授权访问；

②网页篡改；

③数据泄露；

④恶意代码；

⑤网站假冒；

⑥拒绝服务；

⑦网络后台管理安全威胁。

Apache Web概述

Apache Httpd是用于搭建Web服务器的开源软件，配置文件如下：

①httpd.conf

http.conf是Apache的主配置文件，httpd程序启动时会先读取httpd.conf。该文件设定Apache服务器一般的属性、端口、执行身份等。

②conf/srm.conf

conf/srm.conf是数据配置文件，在这个文件中主要设置www Server读取文件的目录、目录索引时的画面、CGI执行时的目录等。srm.conf不是必须的，可以在httpd.conf里设定。

③conf/access.conf

access.conf负责基本的读取文件控制，限制目录所能执行的功能及访问目录的权限，设置access.conf不是必须的，可以在httpd.conf里设定。

④conf/mime.conf

minme.conf设定Apache所能辨别的MIME格式（多媒体、文本、图像、音频、视频等）。

Apache Web的安全增强

①及时安装Apache Web补丁；

②启动htaccess文件保护网页，.htaccess的功能包括设置网页密码、设置发生错误时出现的文件、改变首页的文件名（如index.html）、禁止读取文件名、重新导向文件、加上MIME类别、禁止列目录下的文件等；

③为Apache Web服务软件设置专门的用户和组；

④隐藏Apache Web软件的版本号；

⑤Apache Web目录访问安全增强；

⑥Apache Web文件目录保护；

⑦删除Apache Web默认目录或不必要的文件；

⑧使用第三方软件安全增强Apache Web服务。

IIS的典型安全威胁

①非授权访问；

②网络蠕虫；

③网页篡改；

④拒绝服务；

⑤IIS软件漏洞。

IIS认证机制

IIS支持多种认证方式，主要包括：

①匿名认证。当其他认证措施都缺失的时候，实施匿名认证；

②基本认证。提供基本认证服务；

③证书认证。实施基于活动目录（Active Directory）的证书认证；

④数字签名认证。实施数字签名认证；

⑤IIS证书认证。实施按照IIS配置开展证书认证；

⑥Window认证。集成（NTLM）身份验证。

IIS访问控制

IIS具有请求过滤、URL授权控制、IP地址限制、文件授权等文件控制措施。

IIS日志审计

IIS设置的日志审计机制，能够记录Web访问情况。

IIS安全增强

①及时安装IIS补丁；

②启动动态IP限制：启用动态IP限制，可以减缓拒绝服务攻击及暴力口令猜猜攻击。

③启用URLScan；

④启用IIS Web应用防火墙；

⑤启用SSL服务。

常见的Web安全漏洞

①技术安全漏洞，其漏洞来源是因为技术处理不当而产生的安全隐患，如SQL注入漏洞、跨站脚本（XSS）、恶意文件执行、非安全对象引用等。

②业务逻辑安全漏洞，其漏洞来源于业务工作流程及处理商因安全考虑不周或待处理不当而参数的安全隐患。如用户找回密码缺陷，攻击者可重置任意用户密码；短信炸弹漏洞，攻击者可重置任意用户密码；短信炸弹漏洞、攻击者无限制地利用接口发送短信，恶意消耗企业短信资费。