paip.提升安全性---WEB程序安全检测与防范
开发语言的选择(java,asp.net,php,asp??)... 2
安全问题的严重性
网站程序最重要的是什么??许多人可能会说是功能。。其实最重要是安全性,还是安全性..
比如,这个地球上有许多穷国,小国。富国大国可以把他们所有东西都买到,但是有一样东西却是无法买到,那就是军事机密,为什么呢,因为军事机密涉及国家安全,无论多小的国家都会最重视自己的安全问题,安全第一…
对于我们个人来说,什么最重要??还有安全(人身安全),其次是财产安全..我们可以失去任何东西,但是不能失去我们的生命,否则一切就没了意义…
所以,一个网站最大的利益,不是赚钱,而是保障安全…
Web程序的漏洞严重性
WhiteHatch安全公司在一份网站安全统计报告中,采取了网络应用安全协会(WASC)危险分类工具来鉴定漏洞并依据PCI-DSS标准对其进行评级,结果显示在他们所测试的网站中有82%至少有一个漏洞,63%的漏洞等级为高级、严重或紧急。
许多都被忽视。
网站常见的高危漏洞几乎高达150项…(from360),普通漏洞则多达3600多项…
从OWASP和WASC安全标准
这是两个WEB安全机构,从它们的主页上可以得到WEB程序的安全等级分类等..
程序员的安全培训
大量的网站程序是由许多安全经验不足的人写的。导致后期漏洞很多很严重..所以在网站开发之初,就应该进行安全性的培训.
把技术上的主要高危安全点都整理培训,大概可能有一百来条之多,应该花个大概三天时间左右培训一下,防患于未然…对于以后安全检测以及安全BUG FIX可以做到成本上的大大节约…
业务模块设计的安全性
一些业务模块的设计安全漏洞,也很严重,但是由于它不属于技术型的安全漏洞,网站检测工具很难检测出来..
在业务模块设计上,需要把握业务安全性…最好整理一套业务安全规范,参照执行..
比如,在修改密码时,一定要验证用户的当前密码..这个大漏洞不知在多少网站上还存在..
比如:如果网站有在线充值账户一类的,那账户余额一定要做HASH防篡改纪录,当用户特别是内部员工直接改数据库时,会导致余额检验失败,而此账户自动锁定。。而这个几乎90%的电子商务网站都存在这个大漏洞..
此外:当用户交易时,一定要加交易密码功能,或者使用手机动态口令验证,而这个安全业务环节的缺失,却是很多网站都无此功能。。实为一大漏洞…
还有:多点登录,对于电子商务网站,只要防止多点登录,就可以大大减少COOKIE/SEEESION盗用的风险。。而大部分网站都有此漏洞,没有任何防范…
开发语言的选择(java,asp.net,php,asp??)
对于WEB程序来说,开发语言也对网站安全影响重大,如果使用安全性更好的语言,则WEB程序会有更好的安全性..编译型的JAVA,asp.net 安全性大大高于脚本型的PHP,ASP一类..
可以说提升一个数量级的安全性..同时性能也更好…
唯一的缺点是开发效率,这个只要使用快速开发方法,使用轻型快速开发框架,几乎慢不了多少..。。
网站在线安全检测
有许多好的桌面工具,最方便的是在线检测了..在线检测大都要求有自己的独立域名和IP..这个其实可以使用动态域名工具和ADSL路由开启DMZ或者NAT来实现…
360网站安全检测, webscan.360.cn/
把网站提交,就进行检测了,30分钟后邮箱里会收到结果..
唯一的一缺点是,不支持加端口号的URL..其它使用其它主机或者IP形式的URL都可以检测..
union.rising.com.cn/index/index.aspx
比起360瑞星比较垃圾了..只支持WWW主机的域名。。不支持IP形式的网站,不支持端口号形式的URL..
也很垃圾,不支持IP形式,不支持端口号形式的URL..只支持WWW主机的网站检测
其它客户端式WEB扫描检测程序
有很多
源码级安全检查与设计
但大家都知道如果缺少必要的源码级安全检查后果是很严重的,比如像discuz这样的很多论坛系统前期就是因为缺少源码级安全检测才会出现那么多严重的安全漏洞导致很多网站被拿权,数据库数据被窃取。使用源码级安全检测工具检测网站的源码就能很好的解决。
代码级安全检测工具----EeSafe网站安全检测工具。 试了下好向效果不佳啊,只会检测到一些IFRAME,EXEC等危险函数一类的。。
网站防篡改防止挂马监控系统
MS 360有个网站安全卫士,不知效果怎么样..
这对于提高用户体验,提高安全性来说是必要的。。当用户被你网站上的木马拿走金钱的时候,你就失去了用户..
WEB防火墙
赶紧给你的网站加个WEB防火墙吧,不要裸奔在外面了。