WEB服务器的安全

盗用账号、缓冲区溢出以及执行任意命令是Web服务器比较常见的安全漏洞。黑客攻击、蠕虫病毒以及木马是因特网比较常见的安全漏洞。口令攻击、拒绝服务攻击以及IP欺骗是黑客攻击比较常见的类型。随着网络技术的不断发展，Web服务器面临着许多安全威胁，直接影响到Web服务器的安全。因此，加强Web服务器的安全防护是一项迫切需要的解决的时代课题。笔者结合多年的工作实践，认为可从以下3个方面入手来加强Web服务器的安全防护。　　第一，加强Web服务器的安全设置。　　以Linux为操作平台的Web服务器的安全设置策略，能够有效降低服务器的安全隐患，以确保Web服务器的安全性，主要包括：登录有户名与密码的安全设置、系统口令的安全设置、BIOS的安全设置、使用SSL通信协议、命令存储的修改设置、隐藏系统信息、启用日志记录功能以及设置Web服务器有关目录的权限等[3]。　　第二，加强互联网的安全防范。　　Web服务器需要对外提供服务，它既有域名又有公网的网址，显然存在一些安全隐患。所以，可给予Web服务器分配私有的地址，并且运用防火墙来做NAT可将其进行隐藏；同时因为一些攻击来源于内网的攻击，比如把内网计算机和Web服务器存放在相同的局域网之内，则在一定程度上会增加很多安全隐患，所以必须把它划分为不同的虚拟局域网，运用防火墙的地址转换来提供相互间的访问，这样就大大提高了Web服务器的安全性和可靠性；把Web服务器连接至防火墙的DMZ端口，将不适宜对外公布的重要信息的服务器放于内部网络，进而在提供对外的服务的同时，可以最大限度地保护好内部网络[4]。　　第三，网络管理员要不断加强网络日常安全的维护与管理。　　要对管理员用户名与密码定期修改；要对Web服务器系统的新增用户情况进行定时核对，并且需要认真仔细了解网络用户的各种功能；要及时给予更新Web服务器系统的杀毒软件以及病毒库，必要时可针对比较特殊的病毒给予安装专门杀毒的程序，同时要定期查杀Web服务器的系统病毒，定期查看CPU的正常工作使用状态、后台工作进程以及应用程序，假若发现异常情况需要及时给予妥当处理[5]；因为很多木马与病毒均是运用系统漏洞来进行攻击的，所以需要不断自动更新Web服务器系统，以及定期扫描Web服务器系统的漏洞。

Web服务器已经成为了病毒、木马的重灾区。不但企业的门户网站被篡改、资料被窃取，而且还成为了病毒与木马的传播者。有些Web管理员采取了一些措施，虽然可以保证门户网站的主页不被篡改，但是却很难避免自己的网站被当作肉鸡，来传播病毒、恶意插件、木马等等。这很大一部分原因是管理员在Web安全防护上太被动。他们只是被动的防御。为了彻底提高Web服务器的安全，Web安全要主动出击。 已经检查过网线。也试过了ping服务器，依旧无法访问服务器。好消息是，已经可以将问题定位到物理服务器或操作系统本身了。换句话说，已经可以开始集中经理对现存的问题进行排查。

接下来，才去从底层到高层的方式来逐层检查问题，首先检查网络接口和本地网络配置是否正常。DHCP是否启动？Web服务器是否指向正确的DNS服务器？如果是这样，可以根据使用的操作系统平台，检查Web服务是否正常开启。在Windows环境，需要检查服务器是否具有Web服务的角色。在Linux环境下，检查会更复杂，可以试试查找http相关的文件或服务来确保服务器是否正在运行。 如果以上方法都不奏效，检查日志并尝试查明在Web服务器宕机时日志中记录的那些信息。将这些信息发给在故障处理和解决领域更有经验的专业人士，可能会获得更多的帮助。同样的，如果已经确认网络连接不是问题，就可以使用Wireshark抓包工具对网络中传输的数据进行抓取分析，以此协助处理问题。

总而言之，服务器宕机的原因多种多样。断电、配置错误、防火墙设置错误、甚至是来自互联网的恶意流量，都可能引发源站宕机并让系统管理员们抓狂。所有这些问题都足以让企业决策者对冗余解决方案的设计和实施加以重视，同样的针对故障处理流程的设计和制定，还需要根据企业自身网络的实际情况为依据。

“溢出”一直以来都是很多黑帽子黑客最常用的手段之一，随安全文化的逐步普及，大量的公开shellcode(“溢出”代码)与溢出攻击原理都可以随意在各大的网络安全网站中找得到，由此衍生了一系列的安全隐患黑客使用它们来进行非法的攻击、恶意程序员使用它们来制造蠕虫等等。而网络防火墙作为人们最喜欢的网络安全“设施”之一，它又能如何“拦截”这一类型的攻击呢？

目前大多的防火墙系统都是针对包过滤规则进行安全防御的，这类型的防火墙再高也只能工作在传输层，而溢出程序的shellcode是放在应用层的，因此对这类攻击就无能为力了。下面围绕这个漏洞，说说自己的解决方案。

对希望保护的主机实行“单独开放端口”访问控制策略

所谓“单独开放端口”就是指只开放需要提供的端口，对于不需要提供服务的端口实行过滤策略。打个比方，现在我们需要保护一台存在WebDAV缺陷的WEB服务器，如何能令它不被骇客入侵呢？答案是：在这台WEB服务器的前端防火墙中加入一个“只允许其他机器访问此机的TCP80端口”的包过滤规则(至于阁下的防火墙能否实现这样的规则就另当别论了)。加上这个规则又会有怎样的效果呢？经常做入侵渗透测试的朋友应该清楚远程溢出的攻击实施流程了吧？

①使用缺陷扫描器找到存在远程溢出漏洞的主机-》②确认其版本号(如果有需要的话)-》③使用exploit(攻击程序)发送shellcode-》④确认远程溢出成功后使用NC或TELNET等程序连接被溢出主机的端口-》⑤得到SHELL。

使用“单独开放端口”策略的解决方案对整个远程溢出过程所发生的前三步都是无能为力的，但来到第四步这个策略能有效地阻止骇客连上有缺陷主机的被溢出端口，从而切断了骇客的恶意攻击手段。 优点：操作简单，一般的网络/系统管理员就能完成相关的操作。 缺点：对溢出后使用端口复用进行控制的EXPLOITS就无能为力了；对现实中的溢出后得到反向连接控制的EPLOITS也是无能为力；不能阻止DoS方面的溢出攻击。

使用应用层防火墙系统

这里所谓的应用层并不是想特别指明该防火墙工作在应用层，而是想指明它能在应用层对数据进行处理。由于应用层的协议/服务种类比较多，因此针对应用层形式的防火墙就有一定的市场局限性了。就楼上所提到的案例而言我们可以使用处理HTTP协议的应用层防火墙对存在WebDAV缺陷的服务器订制保护规则，保证服务器不收此类攻击的影响。应用层中的HTTP协议防火墙系统不多，它的基本防御原理与特点是当服务端接受到一个发送至TCP80端口的数据包时，首先就会将该包转移至SecureIIS，SecureIIS就会对该包进行分析并解码该包的应用层数据，将得到的数据与你本身定制的规则进行数据配对，一旦发现条件相符饿数值就会执行规则所指定的相应操作。 优点：能有效地切断一些来自应用层的攻击。 缺点：因为需要安装在服务器上，所以会占用一定的系统资源。

使用IDS功能的防火墙系统

现在国内自主开发的防火墙系统可谓是进入“白热化”了，性能参数的比较本已经日趋激烈了，再开始有不少厂商将技术重点转移在了“多功能”的方面上，在防火墙中继承IDS模块已经不是什么新鲜事了，使用这类产品可以达到监控应用层数据的效果，便于管理。

编者按：随着恶意用户进攻的思路越来越复杂化，对于安全管理的难度也相对增大，面对如此利用溢出，在防火墙的思路上笔者提出了以上建议，希望在此起到抛砖引玉的作用。

大致分为以下几种:

1口令入侵

所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法非常多，如

利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；

利用目标主机的X500服务：有些主机没有关闭X500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；

从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；

查看主机是否有习惯性的帐号：有经验的用户都知道，非常多系统会使用一些习惯性的帐号，造成帐号的泄露。

2特洛伊木马

放置特洛伊木马程式能直接侵入用户的计算机并进行破坏，他常被伪装成工具程式或游戏等诱使用户打开带有特洛伊木马程式的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或执行了这些程式之后，他们就会象古特洛伊人在敌人城外留下的藏满士兵的木马相同留在自己的计算机中，并在自己的计算机系统中隐藏一个能在windows启动时悄悄执行的程式。当你连接到因特网上时，这个程式就会通知攻击者，来报告你的IP地址及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程式，就能任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

3WWW欺骗

在网上用户能利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就能达到欺骗的目的了。

一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信关信息掩盖技术。利用URL地址，使这些地址都指向攻击者的Web服务器，即攻击者能将自已的Web地址加在所有URL地址的前面。这样，当用户和站点进行安全链接时，就会毫不防备地进入攻击者的服器，于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏，当浏览器和某个站点边接时，能在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息，用户由此能发现问题，所以攻击者往往在URL地址重写的同时，利用相关信息排盖技术，即一般用JavaScript程式来重写地址样和状枋样，以达到其排盖欺骗的目的。

4电子邮件

电子邮件是互连网上运用得十分广泛的一种通讯方式。攻击者能使用一些邮件炸弹软件或CGI程式向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，更有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。相对于其他的攻击手段来说，这种攻击方法具有简单、见效快等好处。

5节点攻击

攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们能使用网络监听方法，尝试攻破同一网络内的其他主机；也能通过IP欺骗和主机信任关系，攻击其他主机。

这类攻击非常狡猾，但由于某些技术非常难掌控，如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。他能磙坏两台机器间通信链路上的数据，其伪装的目的在于哄骗网络中的其他机器误将其攻击者作为合法机器加以接受，诱使其他机器向他发送据或允许他修改数据。TCP/IP欺骗能发生TCP/IP系统的所有层次上，包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外由于用户本身不直接和底层相互相交流，因而对底层的攻击更具有欺骗性。

6网络监听

网络监听是主机的一种工作模式，在这种模式下，主机能接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具(如NetXRay for 视窗系统95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。

7黑客软件

利用黑客软件攻击是互连网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马，他们能非法地取得用户计算机的终极用户级权利，能对其进行完全的控制，除了能进行文件操作外，同时也能进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程式登陆上已安装好服务器端程式的计算机，这些服务器端程式都比较小，一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时，黑客软件的服务器端就安装完成了，而且大部分黑客软件的重生能力比较强，给用户进行清除造成一定的麻烦。特别是一种TXT文件欺骗手法，表面看上去是个TXT文本文件，但实际上却是个附带黑客程式的可执行程式，另外有些程式也会伪装成和其他格式的文件。

8安全漏洞

许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于非常多系统在不检查程式和缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。若攻击者特别设置一串准备用作攻击的字符，他甚至能访问根目录，从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏的根目录，从而获得终极用户的权限。又如，ICMP协议也经常被用于发动拒绝服务攻击。他的具体手法就是向目的服务器发送大量的数据包，几乎占取该服务器所有的网络宽带，从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。常见的蠕虫病毒或和其同类的病毒都能对服务器进行拒绝服务攻击的进攻。他们的繁殖能力很强，一般通过Microsoft的 Outlook软件向众多邮箱发出带有病毒的邮件，而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言，也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。

9端口扫描

所谓端口扫描，就是利用Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有：Connect()扫描。Fragmentation扫描

通过全面的数据包侦测，TippingPoint的入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力，TippingPoint的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他网络基础免遭恶意攻击和防止流量异动。TippingPoint的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源，从而确保网路资源的合理配置并保证关键业务的性能。

入侵防御系统（IPS）,属于网络交换机的一个子项目，为有过滤攻击功能的特种交换机。一般布于防火墙和外来网络的设备之间，依靠对数据包的检测进行防御（检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网）

　　很多新手都觉得自己的电脑web经常被木马侵袭，所以下面我为大家带来电脑基础知识学习之Web安全问题，让你了解下如何安全的保护好自己的电脑。

　1、什么叫Web应用系统

　答：Web应用系统就是利用各种动态Web技术开发的，基于B/S(浏览器/服务器)模式的事务处理系统。用户直接面对的是客户端浏览器，使用Web应用系统时，用户通过浏览器发出的请求，其之后的事务逻辑处理和数据的逻辑运算由服务器与数据库系统共同完成，对用户而言是完全透明的。运算后得到的结果再通过网络传输给浏览器，返回给用户。比如：ERP系统、CRM系统以及常见的网站系统(如电子政务网站、企业网站等)都是Web应用系统。

　2、为什么Google把我的网站列为恶意网站

　答：Google在对网站内容进行搜索时，同时也会检查是否含有恶意软件或代码(这些恶意软件或代码可能威胁该网站的访问者)。如果该网站存在这样的恶意软件或代码，就会在用户搜索到该网站时，加上一个标记：“该网站可能含有恶意软件，有可能会危害您的电脑”。这将会使网站信誉受损，并导致潜在的用户流失。

　3、Web威胁为什么难以防范

　答：针对Web的攻击已经成为全球安全领域最大的挑战，主要原因有如下两点：

　1 企业业务迅速更新，需要大量的Web应用快速上线。而由于资金、进度、意识等方面的影响，这些应用没有进行充分安全评估。

　2 针对Web的攻击会隐藏在大量正常的业务行为中，而且使用各种变形伪装手段，会导致传统的防火墙和基于特征的入侵防御系统无法发现和阻止这种攻击。

　4、黑客为什么要篡改网站页面

　答：当黑客获取网站的控制权限后，往往会更改网站页面，可能的动机有：

　1 宣称政治主张;

　2 炫耀技术，建立“声望”;

　3 宣泄情绪;

　4 经济利益，通过网站释放木马，从而获取经济利益。

　5、黑客实施网站挂马的目的是什么

　答：网站挂马的主要目的是控制访问该网站的用户的计算机，从而可以进一步获取用户的计算机隐私信息而获利，或者将这些用户的计算机作为“肉鸡”，对 其它 服务器或网络进行DDos攻击。

　6、为什么我网站的数据库表内容被大量替换

　答：如果排除了管理员误操作的可能性，则可能是网站服务器被自动化攻击工具(如SQL注入工具等)攻击的结果。目前已经有自动化的工具对网站进行攻击，如果网站存在漏洞的话，攻击工具能够获得对网站数据库访问的权限。如果发现这种情况，应该仔细核查网站服务器和数据库服务器日志，找出更改记录。

　7、在Web威胁防御中防火墙的优点和不足

　答：防火墙可以过滤掉非业务端口的数据，防止非Web服务出现的漏洞，目前市场上可选择的防火墙品牌也较多。但对于目前大量出现在应用层面上的SQL注入和XSS漏洞，防火墙无法过滤，因而无法保护Web服务器所面临的应用层威胁。

　8、常见发布系统之IIS

　答：IIS 是Internet Information Server的缩写，是由微软开发的一种Web服务器(Web server)产品，用以支持HTTP、FTP和SMTP服务发布。 它主要运行在微软的 操作系统 之上，是最流行的Web服务器软件之一。

　9、常见Web服务器之Apache

　答：Apache是Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上。Apache源于NCSAhttpd服务器，经过多次修改，已成为世界上最流行的Web服务器软件之一。

　10、Apache是不是比IIS要安全

　答：早期的IIS在安全性方面存在着很大的问题，如果使用默认设置，黑客可以轻松趁虚而入。不过在IIS6中，微软公司对其安全方面进行了大幅改进。只要保证操作系统补丁更新及时，就可以将网站安全系数尽可能地提高。

　Apache在安全方面一直做得比较好，更主要的原因是很多用户都是在linux系统下使用Apache。相对于微软的操作系统，Linux系统被发布的安全按漏洞更少一些。

　从技术角度讲，两个Web服务器的安全性没有本质区别，一个完整的Web系统的安全性更取决于Web程序的安全性以及Web服务器配置的正确性。

　11、什么叫应用防火墙

　答：应用防火墙的概念在上个世纪九十年代就已经被提出，但在最近几年才真正走向成熟和应用。应用防火墙的概念与网络防火墙相对，网络防火墙关注网络层的访问控制，应用防火墙则关注应用层数据的过滤与控制。

　12、什么叫网站防篡改系统

　答：网站防篡改系统通过实时监控来保证Web系统的完整性，当监控到Web页面被异常修改后能够自动恢复页面。网站放篡改系统由于其设计理念的限制，对静态页面的防护能力比较好，对动态页面的防护则先天不足。

　13、我的Web服务器被访问速度变慢，经常出现连接失败的现象，可能是什么原因造成的呢

　答：这可能有两个方面的情况，一种是网络方面的原因，如运营商的线路故障，或带宽消耗型的DDOS攻击;另外一种情况是服务器方面的原因，如感染病毒，或资源消耗型的拒绝服务攻击。

　14、我的Web服务器部署了木马查杀软件，为什么还被挂了木马

　答：所谓的网页被挂马，很多情况下并不是有木马程序或代码被放到了Web服务器上，而是有一段跳转代码(本身不包含攻击信息)被放在了Web服务器上网页中。当远程用户访问带有跳转代码的页面时，将会执行这段代码，从另外一个地址下载并执行木马。所以，即使在Web服务器上部署了木马查杀软件，也会由于木马本身并不存在于服务器上，而无法避免网站被挂马。

　15、我的Web服务器前端部署了入侵防御产品设备，入侵防御产品设备中包含了几百条的SQL注入攻击防御特征库，为什么我的Web系统还是被SQL注入攻击成功了呢

　答：SQL注入是一种没有固定特征的攻击行为，对安全设备来说，就是属于变种极多的攻击行为。所以，基于数据特征的SQL注入检测 方法 是没有办法穷尽所有组合的，会存在大量的误报、漏报可能。如果采用的入侵防御产品设备采用的是基于数据特征的检测方法，即使包含了数百条SQL注入特征库，也会有漏报出现。

　16、黑客为什么喜欢攻击网站

　答：Web业务已经成为当前互联网最为流行的业务，大量的在线应用业务都依托于Web服务进行。并且一些大型网站的日访问量可达百万之巨，不论是直接攻击网站(如网络银行，在线游戏服务器)还是通过网站挂马窃取访问者信息，都可以使黑客获得直接的经济利益。另外一方面，网站是机构的网络形象，通过攻击篡改网站页面，也可以得到最大范围的名声传播。对于那些企图出名的黑客，攻击网站是一项不错的选择。

　17、如何判断自己的Web服务器是否已经成为肉鸡

　答：如果发现自己的Web服务器上开启了一些奇怪的进程，发现Web服务器总是有大量从内往外的连接，发现Web服务器不定时系统缓慢，诸如此类的现象，可使用木马清除软件进行检查和查杀。

　细分攻击形式：

　18、目前国内Web应用系统存在哪些最突出的安全问题

　答：Web应用程序的漏洞是很难避免的，系统的安全隐患主要在三方面：

　首先是网络运维人员或安全管理人员对Web系统的安全状况不清楚。哪些页面存在漏洞，哪些页面已经被挂马，他们不能够清晰的掌握，从而及时采取改正 措施 ;

　其次，在安全设备的部署方面，没有选用专业的、针对Web业务攻击的防御产品对网站进行保护，而是寄托于防火墙这种访问控制类的网关安全设备;

　另外，从安全响应来看，Web安全事件发生后的应急与处理也存在欠缺。没有相应的页面恢复系统，也没有处理Web安全事件的专业安全服务团队。很多单位没有制定实时监控的网站安全管理制度。

　19、什么叫SQL注入

　答：SQL注入就是利用现有应用程序，将恶意的SQL命令注入到网站后台数据库引擎执行的能力。SQL注入利用的是正常的HTTP服务端口，表面上看来和正常的Web访问没有区别，隐蔽性极强，不易被发现。

　20、SQL注入有哪些危害

　答：SQL注入的主要危害包括：

　 未经授权状况下操作数据库中的数据;

　 恶意篡改网页内容;

　 私自添加系统帐号或者是数据库使用者帐号;

　 网页挂木马;

　21、什么叫XSS

　答：跨站脚本攻击(XSS)是攻击者将恶意脚本提交到网站的网页中，使得原本安全的网页存在恶意脚本;或者是直接添加有恶意脚本的网页并诱使用户打开，用户访问网页后，恶意脚本就会将用户与网站的会话COOKIE及其它会话信息全部截留发送给攻击者，攻击者就可以利用用户的COOKIE正常访问网站。攻击者有时还会将这些恶意脚本以话题的方式提交到论坛中，诱使网站管理员打开这个话题，从而获得管理员权限，控制整个网站。跨站脚本漏洞主要是由于没有对所有用户的输入进行有效的验证所造成的，它影响所有的Web应用程序框架。

　22、XSS有哪些危害

　答：XSS攻击的危害包括：

　　**各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号;

　　控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力;

　　盗窃企业重要的具有商业价值的资料;

　　非法转账;

　　强制发送电子邮件;

　　网站挂马;

　　控制受害者机器向其它网站发起攻击。

　23、什么叫Shellcode

　答：Shellcode实际是一段代码(也可以是填充数据)，可以用来发送到服务器，利用已存在的特定漏洞造成溢出，通称“缓冲区溢出攻击”中植入进程的代码。这段代码可以是导致常见的恶作剧目的的弹出一个消息框弹出，也可以用来删改重要文件、窃取数据、上传木马病毒并运行，甚至是出于破坏目的的格式化硬盘等等。

　24、什么叫网站漏洞

　答：随着B/S模式被广泛的应用，用这种模式编写Web应用程序的程序员也越来越多。但由于开发人员的水平和 经验 参差不齐，相当一部分的开发人员在编写代码的时候，没有对用户的输入数据或者是页面中所携带的信息(如Cookie)进行必要的合法性判断，导致了攻击者可以利用这个编程漏洞来入侵数据库或者攻击Web应用程序的使用者，由此获得一些重要的数据和利益。

　25、什么叫木马

　答：木马(Trojan)这个名字来源于古希腊 传说 ，在互联网时代它通常是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

　26、什么叫网站挂马

　答：“挂马” 就是黑客入侵了一些网站后，将自己编写的网页木马嵌入被黑网站的主页中。当访问者浏览被挂马页面时，自己的计算机将会被植入木马，黑客便可通过远程控制他们的计算机来实现不可告人的目的。网页木马就是将木马和网页结合在一起，打开网页的同时也会运行木马。最初的网页木马原理是利用IE浏览器的ActiveX控件，运行网页木马后会弹出一个控件下载提示，只有点击确认后才会运行其中的木马。这种网页木马在当时网络安全意识普遍不高的情况下还是有一点威胁的，但是其缺点显而易见，就是会出现ActiveX控件下载提示。现在很少会有人去点击那莫名其妙的ActiveX控件下载确认窗口了。在这种情况下，新的网页木马诞生了。这类网页木马通常利用IE浏览器的漏洞，在运行的时候没有丝毫提示，因此隐蔽性极高。

　27、什么叫DOS/DDOS攻击

　答：DoS即Denial Of Service，拒绝服务的缩写。DoS是指利用网络协议实现的缺陷来耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃。在此攻击中并不包括侵入目标服务器或目标网络设备。这些被大量消耗的服务资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽有多高，都无法避免这种攻击带来的后果。

　DDoS(Distributed Denial Of Service)又把DoS又向前发展了一大步，这种分布式拒绝服务攻击是黑客利用在已经被侵入并已被控制的、不同的高带宽主机(可能是数百，甚至成千上万台)上安装大量的DoS服务程序，它们等待来自中央攻击控制中心的命令。中央攻击控制中心再适时启动全体受控主机的DoS服务进程，让它们对一个特定目标发送尽可能多的网络访问请求，形成一股DoS洪流冲击目标系统，猛烈地DoS攻击同一个网站。被攻击的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪崩溃。

　28、什么叫网络钓鱼

　答：网络钓鱼(Phishing‎，又名钓鱼法或钓鱼式攻击)是通过传播“声称来自于银行或其他知名机构”的欺骗信息，意图引诱受害者泄漏出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将受害者引诱到一个与其目标网站非常相似的钓鱼网站上，并获取受害者在此网站上输入的个人敏感信息。通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。

　29、什么叫网络蠕虫

　答：一般认为：蠕虫病毒是一种通过网络传播的恶性病毒，它除具有病毒的一些共性外，同时具有自己的一些特征。如：不利用文件寄生(有的只存在于内存中)、对网络造成拒绝服务，以及与黑客技术相结合，等等。蠕虫病毒主要的破坏方式是大量的复制自身，然后在网络中传播，严重占用有限的网络资源，最终引起整个网络的瘫痪，使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失，因此它的危害性是十分巨大的。有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能，更是严重的地危害到用户的 系统安全 。

　30、什么叫僵尸网络

　答：僵尸网络(英文名称叫BotNet)，是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击。如：分布式拒绝服务攻击(DDoS)、海量垃圾邮件等。同时，黑客控制的这些计算机所保存的信息也都可以被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护，僵尸网络都是极具威胁的隐患。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上最受黑客青睐的作案工具。

　31、什么是ARP攻击

　答：ARP是地址解析协议，是一种将IP地址转化为MAC地址的协议。在网络中，当A主机需要向B主机发送报文时，会先查询本地的ARP缓存表，找到与B主机IP地址对应的MAC地址后，进行数据传输。如果未找到，则会发送一个广播ARP请求报文，请求对应B主机IP的B回应MAC地址。这个广播包会被整个广播域中所有主机收到，但只有B主机会发现IP地址对应自己，才会将MAC地址回应给A。此时A收到这个回应并更新自己的ARP缓存，进行下一步的数据传输。ARP攻击应当叫做ARP欺骗，就是冒充网关地址对网络中主机给出ARP查询回应，使得本来是A->网关的数据走向，变成A->攻击者->网关。

　32、ARP攻击的危害有哪些

　答：ARP攻击的危害主要有两个方面。从ARP攻击的原理来看，这种攻击使得受害主机的所有网络数据都将通过攻击者进行转发。这样一来，要窃取信息或控制流量就变得轻而易举。另一方面，由于ARP缓存会不断刷新，有的时候，真正的网关会偶尔“清醒”。当真正的网关参与到数据包转发中来时，由于做了一个切换动作，可能会有频繁的短暂掉线现象。所以，如果Web服务器所在网络中发生了ARP攻击，将导致Web服务器不可访问。

　细分攻击介质：

　33、WEB应用系统(网站)会面临来自哪些方面的安全问题

　答：网站面临的安全问题是方方面面的，主要可概括为以下四个方面：

　1)操作系统、后台数据库的安全问题

　这里指操作系统和后台数据库的漏洞，配置不当，如弱口令等等，导致黑客、病毒可以利用这些缺陷对网站进行攻击。

　2)Web发布系统的漏洞

　Web业务常用的发布系统(即Web服务器)，如IIS、Apache等，这些系统存在的安全漏洞，会给入侵者可乘之机。

　3)Web应用程序的漏洞

　主要指Web应用程序的编写人员，在编程的过程中没有考虑到安全的因素，使得黑客能够利用这些漏洞发起对网站的攻击，比如SQL注入、跨站脚本攻击等等。

　4)自身网络的安全状况

　网站服务器所处的网络安全状况也影响着网站的安全，比如网络中存在的DoS攻击等，也会影响到网站的正常运营。

　34、Web程序漏洞是怎么形成的

　答：Web站点之所以存在如此众多的安全漏洞，是由下列所示的这些原因造成的：

　 1、 大部分的中小型网站都是使用某个建站模块建设的，而这些通用的建站模块不仅本身存在各种安全漏洞，同时一些使用它们的建站人员根本没有在建站完成后对站点进行安全加固。

　 2、 Web站点开发人员对安全不够重视，在编写网页时，没有对用户的输入进行验证，没有对数据的大小、类型和字符串进行规范，没有限制API函数对系统资源的使用，以及对Web服务器没有进行相应的资源限制，引起拒绝服务攻击。

　 3、 管理员对Web服务器主机系统及Web应用程序本身配置不当，一些中小企业自己管理的Web站点根本没有足够的技术人员来管理它们的安全。

　 4、 当Web站点是托管在某个电信机房时，对它们进行的远程管理存在安全风险。

　 5、 Web站点管理员本身技术水平的限制，对各种针对Web站点的安全攻击不了解，也没有端正工作态度，没能对站点进行认真的安全加固，以及进行日常的安全检查。

　 6、 Web站点所处网络大环境的安全设计不合理，以及没有将安全防范工作融入到站点整个生命周期的各个阶段。

　 7、 企业领导不够重视，在Web站点的安全防范方面投入的资金太少或不合理，没有制定一个有效的Web站点安全防范策略，明确Web站点日常管理流程，也没有对Web站点的管理人员和工作人员进行不断的安全培训。

　35、黑客主要利用哪些方法对网站进行数据窃取和修改

　答：黑客需要使用拥有一定权限的用户帐户才能对网站进行数据窃取和修改，所以可能造成用户权限泄漏或提升的漏洞，都可以被黑客利用来进行攻击，如SQL注入，溢出漏洞、暴力猜解等。

　36、目前对Web服务器威胁较大的SQL注入工具有哪些

　答：网上常见的SQL注入工具有“啊D SQL注入工具”、pangolin、NBSI、HDSI、“管中窥豹注入工具”等。

　37、目前对Web服务器威胁较大的XSS攻击工具有哪些

　答：网上常见的XSS攻击工具有sessionIE、Webscan、XSS Inject Scanner 等。

　38、怎样应对Web业务安全事件

　答：应对Web业务安全事件，从根本上的解决办法就是对Web应用程序源代码进行代码检查和漏洞修复，但是这会影响正常Web业务运行，而且费用较高。比较有效的解决方案是通过专业的Web业务安全检查工具或服务来检查网站安全状况，部署专业的Web安全产品。比如基于行为检测的入侵防御产品。同时在管理上，要求网管人员实时对网站进行监测，一旦发现网页被篡改等问题立刻进行页面恢复、删除恶意脚本等工作。

　39、如何防御SQL注入

　答：要想从根本上解决XSS攻击，就要对Web应用程序源代码进行检查，发现安全漏洞进行修改。但是这种方法在实际中给用户带来了不便，如：需要花费大量的人力财力、可能无法找到当时的网站开发人员、需要网站下线等。对代码进行修改后，由于增加了过滤条件和功能，同时也给服务器带来了计算压力。通常的解决方法是在数据库服务器前端部署入侵防御产品。SQL注入攻击具有变种多、隐蔽性强等特点，传统的特征匹配检测方式不能有效地进行防御，需要采用“基于攻击手法的行为监测”的入侵防御产品才能够精确地检测到SQL注入攻击。

　40、如何防御XSS

　答：要想从根本上解决XSS攻击，就要对Web应用程序源代码进行检查，发现安全漏洞进行修改。但是这种方法在实际中给用户带来了不便，如：需要花费大量的人力财力;可能无法找到当时的网站开发人员、需要网站下线等。对代码进行修改后，由于增加了过滤条件和功能，同时也给服务器带来了计算压力。通常的解决方法是在数据库服务器前端部署入侵防御产品。XSS攻击具有变种多、隐蔽性强等特点，传统的特征匹配检测方式不能有效地进行防御，需要采用基于攻击手法的行为监测的入侵防御产品产品才能够精确地检测到XSS攻击。

　41、如何发现网站挂马

　答：服务器被挂马，通常情况下，若出现诸如“弹出页面”，则可以比较容易发现，发现防病毒软件告警之类，则可以发现服务器被挂马;由于漏洞不断更新，挂马种类时刻都在变换，通过客户端的反映来发现服务器是否被挂马往往疏漏较大;正确的做法是经常性的检查服务器日志，发现异常信息;经常检查网站代码，借助于专业的检测工具来发现网页木马会大大提高工作效率和准确度。