主题 : 解WEB安全之“页问” 保网站站长之“安心”
金秋果實豐 金風吹黃葉
级别: 七朵秋菊
UID: 33333
精华: 0
发帖: 7917
威望: 34658 点
无痕币: 605 WHB
贡献值: 0 点
在线时间: 3192(时)
注册时间: 2007-12-25
最后登录: 2022-08-05

0 解WEB安全之“页问” 保网站站长之“安心”

【赛迪网-IT技术报道】WEB应用的不断发展使网站安全逐渐成为公众关注的热点话题,黑客攻击方式无孔不入。无论规模大小,各类网站被挂马、数据遭篡改的事件却是屡见不鲜。面临这样一个复杂的互联网环境,WEB安全已经成为不可回避的首要问题。其中“哪些WEB页面存在着安全问题?”对于网站站长而言,这已经成为急需解决的焦点任务。从2008年12月9日开始,赛迪网与启明星辰合作,专门开展了为期一个月的“安星免费网站安全体检”活动,活动在赛迪网的IT技术频道和赛迪网IT技术社区进行,通过网站安全技术专区、网站免费体检活动、网站安全征文等活动普及网站安全知识,介绍“网站安全体检”的新思路,得到了广大网站站长、管理员的热情支持和响应。下面将从活动参与情况、检查结果分析以及常见漏洞分析与防范三个方面来全面介绍一下本次活动的总体状况和安全专家的检查结果汇总。
一、活动参与情况
通过作为本次“安星网站安全体检”活动平台的安星专区、活动社区的点击量来看,广大网友的对该活动积极性非常高,很多的网站管理员都对网站安全体检这个形式保持较高的关注度。根据统计,大约有110名左右的网络管理员参与了本次在赛迪社区举办的免费体检活动,通过“抢星”活动成功获得体检服务的一共为76名;20名左右的网管员参与了“有奖上传体检报告”活动,其中9名网管员成为了每周大奖的获得者,奖品是3个月3次免费网站体检服务(每月1次)+价值300元的奥运邮册




二、检查结果分析
在为期一个月的活动期间,安星共完成了76个网站的检查,其中包括30个网站整体检查(网页挂马、网页漏洞都检查),46个网站单项网页挂马检查,总计检查页面数为210多万。检查发现存在问题的网站25个,占被检查网站总数的33%,其中被挂马的网站2个,存在漏洞的网站23个。特别值得注意的是,在整体检查的30个网站中,安星发现有23个网站存在网页安全漏洞,占比高达77%。可以看出,虽然在检查期间被挂马的网站数量并不多,但大多数网站都存在网页安全漏洞,仍处于易被攻击的风险之中。在此,安星郑重提醒网站客户:应定期对网站进行安全体检,尽早发现网站安全问题,并及时采取修补与防范措施,以便减少因网站被挂马带来的损失,同时降低网站被攻击的风险。
检查结果统计情况参考下表:


1、网页挂马
安星对所有参与活动的76个网站均进行了网页挂马检查,发现被挂马的网站2个,被挂马的网页链接446个,均为JS文件挂马。
JS文件挂马是一种非常流行的挂马类型,会给网站及其用户造成严重影响。其表现为网页中的一段代码,如:

用户浏览挂马页面时,会在没有感知的情况下执行页面并运行脚本,然后自动下载并在其系统后台运行一个木马下载程序。若用户的终端存在可被木马利用的漏洞,则很可能被木马感染。
对于网站用户来讲,及时更新操作系统以及常用软件补丁、安装防病毒、防木马的终端安全软件,就能够比较有效的拦截木马程序,但对网站来讲,可能会由于存在网页挂马而被用户投诉,影响网站声誉。并且,该网站还将面临被google搜索引擎屏蔽的危险,从而损失网站客户,造成潜在的经济损失。
因此,对网站所有者来讲,定期进行网页挂马检查是非常必要的,以便及时发现并消除挂马造成的影响。
2、网页安全漏洞
安星对30个网站进行了网页漏洞检查,只有7个网站暂时没有发现漏洞,发现存在漏洞的网页234个,其中高危漏洞网页123个,中危漏洞网页30个,及低危漏洞网页81个,高危漏洞网页占总漏洞页面的52%。



如果将存在高危漏洞网页的网站定义为高危网站;存在中危、低危漏洞网页的网站定义为中危网站;仅存在低危漏洞网页的网站定义为低危网站;不存在漏洞网页的网站定义为安全网站,那么在30个被检查网站中,高危网站18个,中危网站2个,低危网站3个,相对安全的网站7个,其中高危网站的比例达到60%。

检查出的234个漏洞网页,均为常见的网页漏洞类型。共6类,分别是:SQL注入(高危)14个、跨站脚本(高危)109个,目录权限(中危)22个、备份文件(中危)8个、测试页面(低危)8个、应用程序错误(低危)71个、URL重定向(低危)2个。高危漏洞集中在跨站脚本和SQL注入两类,分别占总漏洞页面数的48%和6%,也是目前最流行、同时也最容易被利用的网页漏洞。


三、常见网页漏洞分析与防范
从上面的调查结果可以看到,跨站脚本、SQL注入是目前最为流行、也是最危险的两类漏洞。从本质上讲,存在跨站脚本、SQL注入的根本原因是在Web应用程序编程不严谨造成的,即未对网页表单输入值进行有效过滤,以至于攻击者可以通过在输入域提交而已代码而达到攻击的目的。
利用跨站脚本漏洞,攻击者可以向存在跨站脚本漏洞的网页程序中插入一些代码,这些代码可能是用JavaScript、VBScript、ActiveX、HTML 或Flash等技术编写的欺骗代码。这些欺骗代码可以偷走正在访问应用的用户的Cookie等身份凭证,导致用户密码丢失。
利用SQL注入漏洞,攻击者能够在有此漏洞的系统中执行任意SQL语句。该漏洞可能威胁数据库的完整性,泄露敏感信息。SQL注入漏洞可以使攻击者获得不同级别的数据/系统访问权限。某些情况下,利用该漏洞可以读文件或把数据写入文件,或者在底层操作系统执行shell命令。某些SQL服务器,如Microsoft SQL Server,包含存储过程和扩展程序(数据库服务器函数)。如果攻击者能够获得这些程序的访问权限,可能威胁整台机器。
因此,安星建议通过以下方法对此类漏洞防范:
首先,在Web应用程序的开发阶段,编程一定要严谨,要在网站上线前进行严格的代码审查,以尽量减少漏洞;
其次,要定期对网站进行Web漏洞检查,并及时对发现的Web漏洞进行修复,尤其是跨站脚本、SQL注入漏洞,需要优先处理;
最后,针对网站服务器,采取必要的Web应用防护措施。如布署具备SQL注入、跨站脚本攻击检测和防护能力的入侵防御系统(IPS)。



秂生完整在于學繪勇敢麵對人生悲劇而繼續活下去
Total 0.035989(s) query 3, Time now is:03-29 04:53, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛