如何对web应用进行安全风险评估,保护web网站?
看到某公司出了一种产品,安星,是远程网站安全检查服务,这个服务挺好,确实能解决一部分问题,但并不象他们吹嘘的那么好,实际上还有许多安全风险,是通过远程评估无法找到的。比如文件系统权限、进程分配、后台数据加密、访问控制策略、备份及应急、系统强度、风险量化指标等等,有大量的东西,是无法通过远程扫一下就能找出来的。现在因为浮燥的氛围,许多人理解安全评估,好像就是用扫描工具扫一下就完事了,实际扫描工具能起到多大作用呢?连10%的作用都不到,有许多东西是用扫描工具无法检测出来的,另外扫描工具也有许多差异,并不是每一种都非常好用。扫描仅是风险评估的一个辅助工具,还有入侵渗透测试,都是大量工作中的一个点,仅仅是一个点的工作量而已。
以web应用的风险评估过程来说,比较完整的风险评估包括哪些工作呢?下面首先列举一下风险评估前准备的资源。需要特别说明的是,这只是应用评估中比较简单的个例,仅是风险评估工作中的一小部分。
本文只想发表在我的blog上面,请勿转载或引用。
对web应用进行风险评估,首先需要准备如下资源:
安全评估标准
漏洞扫描器
Web应用缺陷分析系统
数据库缺陷分析系统
安全开发规范知识性理解
资产统计表格,网络拓朴
威胁计算
相关系统日志
代码审计资源
完整安全策略
透彻清晰的安全需求
大体步骤和测试方法如下:
确定需要保护的信息资产有哪些?网站正常功能、显示页面及图片、后台数据、机密信息.......
分析现有资产,进行结构性描述与分析过程,包括子系统、边界、功能模式、网络数据流向、策略等。
分解应用系统,划分成为多个子集进行深入挖掘。周边网络、主机操作系统、WEB平台、后台功能代码、数据库等.
网络被动式信息收集、边界与关键节点通路评估。网关设备、过滤与控制设备、IDS、网闸。
主机安全性评估。
Port,服务、文件系统、网络连接、补丁、防病毒、安全功能组件、进程权限、访问策略、自动化报警、审计相关、备份、防ddos、防arp、系统强度分析.
Web平台安全评估:旗标、进程权限、配置管理、安全管理、内容管理、会话变量管理、防篡改。
后台应用安全性评估,包括注入、跨站、挂马、弱口令、绕过认证、输入验证、XML、web应用管理。
数据库安全评估,主要侧重于web相关.
找出威胁,记录、评估与计算、报告撰写.
上面只是列出纲要,大家看到了,每一项的后面,实际有非常大的工作量,里面有大家比较熟悉的注入测试、跨站测试、挂马测试,看一看,安星一类的产品做完了哪些东西呢?实际上大家都生活的非常浮燥,在国内,只要有关系和有资源,就可以掌握许多东西,现在我几乎免费地为人解决问题,解决信息网络中存在的问题,但还是没有足够的机会,现实中的系统,问题太多了,可以肯定地说,以现在的情况,只要有人组织一次有效的网络攻击,可以在很短的时间内,控制某一个国家大部分计算机系统,包括用了大量防火墙、入侵检测、配备了大量安全应急响应人员,比如某活动保障组的兄弟,为什么会这么轻易?因为现在的安全系统,安全防护模式,都有许多缺陷,落后于攻击方法的演进,尤其针对大规模的、慢速的、(p2p)分布式的、worm式的、自动智能防杀免杀的。。。。这些特征能不能集成到一个东西里面,实际的网络中存不存在?现在发现了没有?你认为呢?前些天有哥们说,现在有个科幻电影,就是针对一个国家的网络攻击,然后跟我说,他们如何通过网络几乎控制了核武器发动战争。我想告诉大家的是,科幻电影里描述的东西,在现实中已经存在了,许多攻击手段甚至是几年前已经使用了。现实是,只要找到三五个人,就可以发动针对一个国家的网络战争。尤其象我们国家这种安全现状,可能会受非常大的影响。奥运期间会不会出事?反正我不乐观,咱们知道的东西,破坏者可能知道的更多。
最近几天为某省做风险评估,看了一些国内知名公司做的东西,只有一个印象,大家都忙着赚钱呢。没办法,谁让咱没有关系没有资源呢?这个机会,还是哥们儿的公司没做过类似项目,让我在后台操作的,还得以他公司的名义干活,没白天没黑夜的,努力保证评估效果。这也是曲线救国,希望通过做项目的机会,认识一些人,把现在的风险说出来,让大家认识到,还有这么多问题没有解决,还有大量的工作需要落实。
早上起来,一口气写了许多,算是发泄一下郁闷吧。
------------------------------------------------------------------
本文只想发表在我的blog上面,请勿转载或引用。
-------------------------------------------------------------------
最近的挂马攻击、下载型病毒、BOT、网络安全现状预示,可能将会发生大范围事件,请记下我的联系方式 ,,如有紧急情况请尽快与我联系
mail: dyxian@139.com
skype:xianyua
gtalk:
irc:
aim:
发邮件即可,我的邮箱有PUSH功能,可以随时收到,即时联系。
没有评论:
发表评论