① 如何查看網站漏洞
網站被掛馬,通常就是黑客利用網站程序或者是語言腳本解釋的漏洞上傳一些可以直接對站點文件進行修改的腳本木馬,然後通過web形式去訪問那個腳本木馬來實現對當前的網站文件進行修改,比如加入一段廣告代碼,通常是iframe或者script。
想知道網站是否被掛馬,有一個比較簡單的方法,直接檢查每個腳本文件最下方是否被加入了iframe或者script的代碼,然後這段代碼是否是程序員設計的時候添加的,程序員一看就能夠知道。
防範的方式也簡單:
1、程序代碼漏洞,這需要有安全意識的程序員才能修復得了,通常是在出現被掛馬以後才知道要針對哪方面入手修復;
2、也可以通過安全公司來解決,國內也就Sinesafe和綠盟等安全公司 比較專業.
3.伺服器目錄許可權的「讀」、「寫」、「執行」,「是否允許腳本」,等等,使用經營已久的虛擬空間提供商的空間,可以有效降低被掛馬的幾率。
我是從事IDC行業的.以上這些也是平時工作中經常遇到的問題.希望我的回答對你有所幫助.
② 如何對網站進行滲透測試和漏洞掃描
1、滲透測試 (penetration test)並沒有一個標準的定義,國外一些安全組織達成共識的通用說法是:滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網路系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,並且從這個位置有條件主動利用安全漏洞。
2、滲透測試能夠通過識別安全問題來幫助一個單位理解當前的安全狀況。這使促使許多單位開發操作規劃來減少攻擊或誤用的威脅。
3、滲透測試有時是作為外部審查的一部分而進行的。這種測試需要探查系統,以發現操作系統和任何網路服務,並檢查這些網路服務有無漏洞。你可以用漏洞掃描器完成這些任務,但往往專業人士用的是不同的工具,而且他們比較熟悉這類替代性工具。
4、滲透測試的作用一方面在於,解釋所用工具在探查過程中所得到的結果。只要手頭有漏洞掃描器,誰都可以利用這種工具探查防火牆或者是網路的某些部分。但很少有人能全面地了解漏洞掃描器得到的結果,更別提另外進行測試,並證實漏洞掃描器所得報告的准確性了。
5、漏洞掃描是指基於漏洞資料庫,通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用漏洞的一種安全檢測(滲透攻擊)行為。
6、漏洞掃描技術是一類重要的網路安全技術。它和防火牆、入侵檢測系統互相配合,能夠有效提高網路的安全性。通過對網路的掃描,網路管理員能了解網路的安全設置和運行的應用服務,及時發現安全漏洞,客觀評估網路風險等級。網路管理員能根據掃描的結果更正網路安全漏洞和系統中的錯誤設置,在黑客攻擊前進行防範。如果說防火牆和網路監視系統是被動的防禦手段,那麼安全掃描就是一種主動的防範措施,能有效避免黑客攻擊行為,做到防患於未然。
7、網路安全事故後可以通過網路漏洞掃描/網路評估系統分析確定網路被攻擊的漏洞所在,幫助彌補漏洞,盡可能多得提供資料方便調查攻擊的來源。
8、互聯網的安全主要分為網路運行安全和信息安全兩部分。網路運行的安全主要包括以ChinaNet、ChinaGBN、CNCnet等10大計算機信息系統的運行安全和其它專網的運行安全;信息安全包括接入Internet的計算機、伺服器、工作站等用來進行採集、加工、存儲、傳輸、檢索處理的人機系統的安全。網路漏洞掃描/網路評估系統能夠積極的配合公安、保密部門組織的安全性檢查。
③ 如何檢測一個網站是否有安全漏洞
掃描網站漏洞是要用專業的掃描工具,下面就是介紹幾種工具
1. Nikto
這是一個開源的Web伺服器掃描程序,它可以對Web伺服器的多種項目進行全面的測試。其掃描項目和插件經常更新並且可以自動更新。Nikto可以在盡可能短的周期內測試你的Web伺服器,這在其日誌文件中相當明顯。不過,如果你想試驗一下,它也可以支持 LibWhisker的反IDS方法。不過,並非每一次檢查都可以找出一個安全問題,雖然多數情況下是這樣的。有一些項目是僅提供信息類型的檢查,這種檢查可以查找一些並不存在安全漏洞的項目,不過Web管理員或安全工程師們並不知道。
2. Paros proxy
這是一個對Web應用程序的漏洞進行評估的代理程序,即一個基於Java的web代理程序,可以評估Web應用程序的漏洞。它支持動態地編輯/查看 HTTP/HTTPS,從而改變cookies和表單欄位等項目。它包括一個Web通信記錄程序,Web圈套程序,hash 計算器,還有一個可以測試常見的Web應用程序攻擊的掃描器。
3. WebScarab:
它可以分析使用HTTP和HTTPS協議進行通信的應用程序,WebScarab可以用最簡單地形式記錄它觀察的會話,並允許操作人員以各種方式觀查會話。如果你需要觀察一個基於HTTP(S)應用程序的運行狀態,那麼WebScarabi就可以滿足你這種需要。不管是幫助開發人員調試其它方面的難題,還是允許安全專業人員識別漏洞,它都是一款不錯的工具。
4. WebInspect:
這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助於確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web伺服器是否正確配置,並會嘗試一些常見的 Web攻擊,如參數注入、跨站腳本、目錄遍歷攻擊等等。
5. Whisker/libwhisker :
Libwhisker是一個Perla模塊,適合於HTTP測試。它可以針對許多已知的安全漏洞,測試HTTP伺服器,特別是檢測危險CGI的存在。 Whisker是一個使用libwhisker的掃描程序。
6. Burpsuite:
這是一個可以用於攻擊Web應用程序的集成平台。Burp套件允許一個攻擊者將人工的和自動的技術結合起來,以列舉、分析、攻擊Web應用程序,或利用這些程序的漏洞。各種各樣的burp工具協同工作,共享信息,並允許將一種工具發現的漏洞形成另外一種工具的基礎。
7. Wikto:
可以說這是一個Web伺服器評估工具,它可以檢查Web伺服器中的漏洞,並提供與Nikto一樣的很多功能,但增加了許多有趣的功能部分,如後端 miner和緊密的Google集成。它為MS.NET環境編寫,但用戶需要注冊才能下載其二進制文件和源代碼。
8. Acunetix Web Vulnerability Scanner :
這是一款商業級的Web漏洞掃描程序,它可以檢查Web應用程序中的漏洞,如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面,並且能夠創建專業級的Web站點安全審核報告。
9. Watchfire AppScan:
這也是一款商業類的Web漏洞掃描程序。AppScan在應用程序的整個開發周期都提供安全測試,從而測試簡化了部件測試和開發早期的安全保證。它可以掃描許多常見的漏洞,如跨站腳本攻擊、HTTP響應拆分漏洞、參數篡改、隱式欄位處理、後門/調試選項、緩沖區溢出等等。
10. N-Stealth:
N-Stealth是一款商業級的Web伺服器安全掃描程序。它比一些免費的Web掃描程序,如Whisker/libwhisker、 Nikto等的升級頻率更高。還要注意,實際上所有通用的VA工具,如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件。N-Stealth主要為Windows平台提供掃描,但並不提供源代碼。