• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

防范网页挂马攻击 从对WEB站点进行安全测试开始

发布: 2009-5-04 15:01 | 作者: 网络转载 | 来源: 测试时代采编 | 查看: 270次 | 进入软件测试论坛讨论

领测软件测试网

防范网页挂马攻击 从对WEB站点进行安全测试开始

对于一些大型网站来说,通常拥有一整套已经执行了的WEB站点安全防范解决方案,但是,为什么一些网站还是会被攻击者挂载木马?其中一个最主要的原因是已经实施的WEB站点安全解决方案只能够应对已经出现的安全漏洞和威胁。而攻击者总是在通过各种手段来分析网站中可能会存在的弱点或漏洞,以便能够成功绕过网站当前的安全防范措施来实施挂马攻击。针对这样的一种WEB站点安全现状,最好的方式就是在部署相应的安全防范安全解决方案的同时,还必需采取与攻击者相同的手段,也就是在网站的运营过程中,不断对它进行安全评估,以此来找到网站中可能存在的弱点和漏洞。

  对WEB站点进行安全评估是WEB安全防范处理过程中非常重要的一个环节,它应当贯穿站点的整个生命周期。对WEB站点实施安全评估的目的就是指安全评估人员,使用相应的评估工具和技术,经过一系列恰当的方法,对WEB服务器本身、服务器系统、后台数据库系统及网络中已经实施的安全机制,进行全面的检测和评估,以此来检测整个WEB系统是否还存在弱点,以及验证实施的安全机制是否有效。并根据最后的评估分析结果,对现有的安全策略进行修订,对实施的安全机制进行补充。

  一、制定WEB站点安全评估方案

  对WEB站点进行安全评估,为了能够达到最终的效果,事先先制定一个切合实际的安全评估方案是十分有意义的。当然,对于一些个人网站,或者只进行一次WEB站点弱点检测来说,也可以跳过制定安全评估方案这个环节,直接使用系统或WEB弱点检测工具对WEB站点所在的系统和其本身进行详细的弱点检测即可。

  如果需要对一个WEB站点进行全面的安全评估,或者你需要一个安全评估方案来指导你完成相应的WEB站点弱点检测任务,那么,我们可以按下列列出的内容,来构建一个适合自己实际需求的WEB站点安全评估方案:

  1、为WEB站点安全评估确定一个最终目标,也就是为什么要这么做,这样做需要达到什么的目的。

  2、为WEB站点的安全评估指定安全评估人员。

  3、确定安全评估时具体的评估对象。

  4、为WEB站点的安全评估制定具体的时间计划表,如果没有什么特殊情况,我们应当严格按照这张时间表规定的时间对WEB站点实施安全评估。

  5、为WEB站点的安全评估指定具体的评估工具,并要求评估人员对这些工具进行相应的学习,以达到训练掌握它们的目的,还必需规定评估人员按时对这些评估软件所依赖的评估漏洞库和软件本身进行不断的更新。

  6、规定是将安全评估工具安全装在目标WEB服务器进行安全评估,还是在专门的硬件设备(例如笔记本电脑)上安装评估软件,然后在使用时再接入目标网络实施评估任务。

  7、明确具体的安全评估方法

  8、明确安全评估过程中需要注意的操作事项;

  9、明确安全评估的规章制度和评估人员责任;

  10、规定安全评估结果的记录方式,以及评估报告的上报、存档和检索方式。

  WEB站点安全评估方案应当根据实际的网络环境,以及站点的具体内容和功能,经过详细的调查和分析后,再由安全评估参与人员共同完成。当然,一个实际的WEB站点安全评估方案,所包括的内容可能比上述所列出的内容要多得多,也详细得多,在这里只是对它们做了一个简单的说明,具体的内容还需要大家根据实际情况做具体的补充。

  共3页: 1 2[3]

  内容导航

   二、WEB站点安全评估的具体实施方式

  WEB站点安全评估的具体实施涉及到四个最关键的因素,它们是安全评估人员、评估工具、评估方法和评估对象。

  1、安全评估人员

  安全评估人员,应当包括WEB站点所有者、管理员及安全评估实施人员。安全评估实施人员的技术和经验,以及工作态度在一定程度上决定了评估的效果和可信性。

  有时,一些WEB站点不得不将安全评估任务外包给一些具有安全评估资质的第三方机构来完成,这也是一些没有具体的WEB站点管理员的中小企业WEB网站经常使用的方式。

  还有一些WEB站点,所有的工作都是由站点管理员一个人来完成,对于这样的WEB站点安全评估报告,通常只会被他自己所接受,也就是用来对站点当前的安全状况进行一次简单的体检,以此来做到心中有数。

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/

TAG: web Web WEB 攻击 网页 站点

41/41234>

关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网