如何进行WEB安全性测试?

如何进行WEB安全性测试?,第1张

一般来说,一个WEB应用包括WEB服务器运行的操作系统、WEB服务器、WEB应用逻辑、数据库几个部分,其中任何一个部分出现安全漏洞,都会导致整个系统的安全性问题。\x0d\x0a对操作系统来说,最关键的操作系统的漏洞,Windows上的RPC漏洞、缓冲区溢出漏洞、安全机制漏洞等等;\x0d\x0a对WEB服务器来说,WEB服务器从早期仅提供对静态HTML和图片进行访问发展到现在对动态请求的支持,早已是非常庞大的系统。\x0d\x0a对应用逻辑来说,根据其实现的语言不同、机制不同、由于编码、框架本身的漏洞或是业务设计时的不完善,都可能导致安全上的问题。\x0d\x0a对WEB的安全性测试是一个很大的题目,首先取决于要达到怎样的安全程度。不要期望网站可以达到100%的安全,须知,即使是美国国防部,也不能保证自己的网站100%安全。对于一般的用于实现业务的网站,达到这样的期望是比较合理的:\x0d\x0a1、能够对密码试探工具进行防范;\x0d\x0a2、能够防范对cookie攻击等常用攻击手段;\x0d\x0a3、敏感数据保证不用明文传输;\x0d\x0a4、能防范通过文件名猜测和查看HTML文件内容获取重要信息;\x0d\x0a5、能保证在网站收到工具后在给定时间内恢复,重要数据丢失不超过1个小时;

在iOS 13系统当中,苹果带来了许多显而易见的新特性,或者bug……而在这些显性变化之内,其实也还包含了许多隐性变化,比如说Safari隐私条款的变化,这些变化如果用户不深入具体发掘,可能就永远都不会知道。

更新iOS 13系统之后,内置的“Safari浏览器与隐私”条例进行了更新,在“欺骗性网站警告”条款中,苹果表示,“访问网站之前,Safari浏览器可能会将从该网站地址计算得出信息发送给‘Google安全浏览’和‘腾讯安全浏览’,以检查网站是否为欺诈性网站。这些安全浏览提供商也可能会纪录您的IP地址。”

其中,“腾讯安全浏览”是新增内容,之前主要是“Google安全浏览”。也就是说,如果用户开启Safari浏览器的“欺骗性网站广告”功能,相关的浏览数据可能就会发送到上述两个地方进行检测。而这个功能在iPhone上是默认开启的。

而对于这个功能,实际上不仅iPhone是这么处理的,其他手机厂商如果提供相应功能,也会向相关行业的企业服务器发送信息,以检测用户访问的网站是否为欺骗性网站。另外,这种检测功能在手机的设置App或者浏览器App中也都存在相应的开启或者关闭选项。用户可以根据自己的需求进行手动开启或者关闭。

关于安全浏览,谷歌在几年前就意识到恶意网站的安全问题,并部署相关安全服务。在谷歌“安全浏览”的早期版本中,谷歌提供了一个API,允许浏览器询问用户所访问的站点的安全性。这个时候,谷歌是能够收集到用户的完整URL以及IP地址,因此,早期的这个API更像是一个隐私噩梦。这个API如今依旧存在,被称为Lookup API。

随后,谷歌更新API,来减少收集用户的浏览信息。不过,依旧还是需要浏览器向服务器发送信息来判断访问站点的安全性。因此,使用浏览器的安全检测功能与否,是一个信息隐私与安全之间的取舍,这当中需要安全服务提供商不断完善信息比对的方法。

1.有没有将sql 2000,mysql运行在普通用户权限下,这是最重要的一点,大部分的都是利用数据库的权限进行的。

2.关闭所有没用的端口

3.所有盘的根目录都不能有everyone,users 的读与运行权限。

4.加强PHP的安全:

5.不要装或使用CGI,CGI存在先天上的安全隐患。

6.不要安装任何的第三方软件。例如XX优化软件,XX插件之类的,更不要在租用的服务器上注册未知的组件。

7.不要在服务器上使用IE访问任何网站。

8.Mysql要用4.1以上的版本,4.0版本存在安全问题。

9.不要装PCanywhere或Radmin因为它们本身就存在安全问题,可以直接用windows 2003自带的3389,它比任何远程控制软件都安全。

10.不要在服务器上双击运行任何程序,不然你中了什么都不知道。

11.不要在服务器上用IE打开用户的硬盘中的网页,这是危险的行为。

12.不要在服务器上浏览图片,以前windows就出过GDI+的安全漏洞。

13.确保你自己的电脑安全,如果你自己的电脑不安全,服务器也不可能安全。

14.如果你使用imail,必须要用8.2以上版本,8.1存在安全严重的安全漏洞。

一个小心谨慎的服务器管理人员,是服务器安全的最后保障,按以上设置后,就算你的用户上传了什么东西在自己的网站中,也绝对影响不了你租用的服务器。 壹基比小喻为你解答。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/548945.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-06-28
下一篇2023-06-28

发表评论

登录后才能评论

评论列表(0条)

    保存