1.关于网站备份:网站备份最应该注意的就是“定期”,所谓“定期”就是按时,具体的备份间隔可以根据网站自身的情况而定,如果是更新较快的网站,建议1天做1次备份,最简单的方法就是将网站文件夹整体备份,可以选择按日期归类或者每天对前一天的文件夹文件进行覆盖,此种备份方法能够对页面文件及附件文件进行备份,但不能对数据库进行备份,如果对数据库进行备份,则还需要网站自身能够支持数据文件的导出,如Discuz论坛。还有一种方法,就是部署容灾备份系统,通过在异地建立和维护一个备份存储系统,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。
2.网站机房维护:要熟悉常见硬件问题的排查处理方法、掌握软件问题的快速修复方法,同时针对管理员针对服务器的日常运维行为,需要部署安全审计系统对管理员的操作进行审计,面向合规、针对误操作、恶意操作等行为进行追踪溯源。当然,网站机房还需要制订严格的规章制度与管理措施,例如:严格的机房进入措施、严格的用户权限设置、严格的管理员身份认证手段、定期的管理维护等。
殺毒:NOD32反病毒套装,据他们反馈,该款软件系统资源占用率低,病毒查杀效果不错。
关于CSRF和GIFAR攻击和WEB蠕虫和富文本攻击
1.CSRF
测试:构建一个实际环境,例如网站A、网页B(包含网站A URL地址的html页面即可),用户登录网站A、接着访问网页B,验证同时是否自动又访问了网站A。
防御:个人用户则需要养成良好的习惯,比如登录银行、重要业务系统等敏感Web系统时不要同时登录其它网站、网页,退出敏感Web系统时一定要注销,不要使用浏览器的用户名/密码记录功能。从开发角度,企业进行Web业务系统、网站设计时,最好加入验证码、token等判断因素,尽可能使用Post而不是Get。
2.GIFAR
制止这种攻击可以依靠Web站点加装新的文件过滤器或者通过限制Java虚拟机实现,Sun在08年也发布过补丁。
3.Web蠕虫
测试:编写及测试方法网上已有很多介绍,你可以参考。
防御:Web蠕虫大多数是利用XSS漏洞,而CSRF攻击结合Javascript劫持技术完全可以制作自动传播的Web蠕虫,后者比前者更具威胁性。从开发角度,企业进行Web业务系统、网站设计时,一定要从Web应用开发的角度来避免,规范代码质量、提高安全性,降低后期被植入可能。
4.富文本攻击
测试:例如利用XSS漏洞,让不支持富文本的区域进行了富文本的执行,测试方法在网上已有很多介绍,你可以参考。
防御:从开发角度,企业进行Web业务系统、网站设计时,一定要从Web应用开发的角度来避免,如对所有用户提交内容进行可靠的输入验证,实现Session标记、CAPTCHA系统或者HTTP引用头检查,确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag,去掉任何对远程内容的引用,使用HTTP only的cookie等。当然以上方法,人与系统间的交互被降到极致,仅适用于信息发布型站点
首先软件安全是一个很广泛的问题,常见的安全问题包括但不限于:
由于编码导致产生的安全问题,如畸形的文件格式或者数据包导致的缓冲区溢出,对用户输入的限制不严谨导致的SQL注入,空指针导致的crash等
由于安全逻辑导致产生的安全问题,如通过改变身份验证时的资源的依赖关系或者顺序来绕过身份检查。
由于产品设计的安全标准导致的安全问题,如没有对存储本地的用户密码进行强加密保护,敏感网络通信没有使用ssl加密等等。
软件的安全性本身就是软件质量的特殊体现,因此安全的软件产品需要在软件生命周期的各个环节都考虑安全因素,在软件的设计阶段就应该明确安全方面的目标都有哪些,软件可能遇到的攻击和安全隐患等,如果在设计阶段出现了问题,那将成为致命的隐患,敏感数据(如密码,用户隐私)应该如何存放和保护,机密数据如何传输,不同用户的权限应当如何划分等等都应该在设计阶段仔细考虑,威胁建模是在软件设计阶段加入安全因素的好办法。在开发阶段应该从编码角度尽量避免使用不安全的函数,另外高级的编译选项也能提高软件的安全性。在测试阶段时需要一整套安全审计工作,fuzz测试,渗透测试,源代码审计都是经常采用而且比较有效的方法。最后当软件发布后,维护阶段的漏洞管理和安全响应也是非常重要的。
软件安全是系统安全的基础,但由于软件程序和编程语言的复杂性,又很难做到完全的软件安全,所以,如果想了解系统安全、网络安全方面的知识,除了一些编程基本功以外,还有有广泛的网络、操作系统(内存、指令、寄存器)等知识。
