軟件檢測過的安全網站不一定安全

1、 概述

　　網站安全主要從網絡安全、主機系統安全、WEB服務安全及頁面數據安全等方面進行檢測，網絡、主機等基礎環境的安全檢測此處不再述。

　　2、 Web 服務安全防護

　　2.1 Web 應用安全檢測

　　(一) 對于商業軟件，如Oracle，Apache等通用組件系統，應當依據廠商或第三方安全機構提供的安全配置加固列表進行安全設置，在廠商推出安全修補程序后應及時進行    安全補丁更新。

　　(二) 應當定期對采用通用程序(如Apache,Websphere等)的應用系統進行弱點掃描，并及時解決所發現的問題;掃描應當在非關鍵業務時段進行，并制定詳細的回退計劃。

　　(三) 隱藏Apache的版本號及其它敏感信息

　　默認情況下，很多Apache安裝時會顯示版本號及操作系統版本，甚至會顯示服務器上安裝的是什么樣的Apache模塊。這些信息可以為黑客所用，并且黑客還可以從中得知你   所配置的服務器上的很多設置都是默認狀態。‘

　　這里有兩條語句，你需要添加到你的httpd.conf文件中：

　　Serversignature off

　　Servertokens prod

　　Serversignature出現在Apache所產生的像404頁面、目錄列表等頁面的底部。Servertoken目錄被用來判斷Apache會在Server HTTP響應包的頭部填充什么信息。如果把      ServerTokens設為Products，那么HTTP響應包頭就會被設置成：

　　Server：Apache

　　(四)確保web根目錄之外的文件沒有提供服務

　　拒絕Apache訪問web根目錄之外的任何文件。假設你的所有Web站點文件都放在一個目錄下(例如/web)，你可以如下設置：

　　Order Deny,ALLow

　　Deny from all

　　Options None

　　Allowoverride None

　　Order ALLow,Deny

　　Allow from all

　　注意，因為軒opitins None和Allowoverride None，這將關閉服務器的所有Options和OCerride。必須明確把每個目錄設置成Options或者Override。

　　(五)、關閉目錄瀏覽

　　在Directory標簽內用Options命令來實現這個功能。設置Options為None或者-Indexes.

　　(六)、關閉Includes

　　通過在Directory標簽內使用Options命令實現。設備Options為None或者-Includes。

　　Options –Includes

　　(七) 、關閉CGI執行程序

　　如果不用CGI，對其進行關閉。在目錄標簽中把選項設置成None或——ExecCGI就可以：

　　Options —ExecCGI

　　(八) 、禁止Apache遵循符號連接

　　同上，把選項設置成None或者—FollowsymLinks：

　　Options —FollowSymlinks

　　2.2 Web 網站化代碼安全檢測

　　(一) 、采用最新版本的Web服務程序;

　　(二) 、采用最小權限的原則設置專門帳戶用于運行網站服務、數據庫服務;

　　(三) 網站與數據庫分離，禁止Web服務與數據庫服務運行于同一臺服務器上;

　　(四) 對IIS、Apache等Web服務進行合理配置，防范目錄權限、寫權限、文件下載等漏洞;

　　(五) 加強網站代碼的安全性，對互聯網用戶提交網站數據庫的數據進行嚴格過濾，防范SQL注入，如“_、’、”、and、exec、--、or”等:

　　(六) 對于互聯網用戶提交的URL、留言等內容進行嚴格過濾，防范跨站攻擊，如：“<、>、’、”、script、/、(、)”等;

　　(七) 嚴格限制對外網站的文件上傳功能，對需要提供上傳功能的網站 要加強上傳文件的格式、內容松果，并進行病毒查殺，防止互聯網用戶上傳惡意代碼;

　　(八) 設置不宜猜測的后臺管理目錄，防范對后臺管理暴力破解。