互联网安全攻防分析幻灯片.pptVIP

日常安全维护 3、定期备份数据库和供下载的文档 定期备份数据库和上传的文件，如果不是很经常更新，访问量不大，大概每周备份一次，反之每天一次，不要怕麻烦，这个制度很有必要。 日常安全维护 4、经常用FTP登陆，查看上传目录下的文件格式 上传目录下不应该有asp,cer,cdx,com,exe,bat之类的文件. 一般情况下，允许上传的文件格式有： 图片文件：JPG,GIF,BMP,PNG,PSD,WMF,PCX OFFICE文档：DOC,XLS,PPT,MDB 文本文件：TXT,RTF 压缩文件：RAR,ZIP,ISO 日常安全维护 5、掌握最新的补丁以及漏洞信息 经常关注官方网站的补丁发布，及时修改。 这里推荐一个带漏洞搜索引擎的漏洞公布网址： / 日常安全维护 6、设置足够强壮的密码 管理的帐号密码应与管理员个人常用的不同，以防他人从别处得到网站的密码。如果有多个管理员，要保证所有人的密码都是“健壮的”，即不能像“123456”这样容易猜测，必须是数字、字母和符号的组合。这点很重要，不然所有的安全措施都是徒劳！ 日常安全维护 一、部署专用网络安全设备:　　防火墙 　　漏洞扫描 　　入侵检测系统 Anti DDoS 、 流量监控……　 二、网站系统的专用保护方法 　　 本地和远程：本地监控、远程建立统计监控平台； 定时和触发：根据等级设定触发时间； 比较方法 ：文件大小、数字签名； 恢复方式：本地恢复、远程恢复； 备份库的安全 ：隐藏备份库； 三、网站保护的缺陷 　　保护软件通常都是针对静态页面而设计，而现在动态页面占据的范围越来越大，尽管本地监测方式可以检测脚本文件，但对脚本文件使用的数据库却无能为力。 应急处理方法 应急事件处理 四 步曲 1、先找专家 2、立刻恢复 3、分析源头 4、修补漏洞 应急处理方法 1、先找专家 a、联系专业安全服务单位 b、联系专业安全组织 2、立刻恢复 用备份文件替换被篡改的文件，同时注意保存证据 下载被黑的网站以保存相关证据。然后用平时备份的资 料替代被篡改的数据，及时恢复系统功能，最大限度降低不良影响。 （主要指网站系统） 应急处理方法 3、分析源头 查看监控系统的分析报告，事件终端设备 日志。 4、修补漏洞 根据发现的问题， 修补漏洞， 一定要记得事后加强监控。 应急处理方法 TIPs 1、文件时间一致原则 简单的说就是保持大部分文件的上传时间一致（数据库之类频繁读写的文件除外）。具体做法是一次上传所有文件，这里建议就算修改了一个文件也重新上传一下所有网页，这样做主要是方便查找木马。 应急处理方法 TIPs 2、文件对比法 这里介绍一个简单的文件对比工具Beyond Compare 应急处理方法 应急处理方法 应急处理方法 应急处理方法 TIPs 3、软件测试法 某些“傻瓜化的”黑客工具能提供一个初步的测试，比如Domain3.2 软件的使用十分简单，比如上传漏洞，只要填入上传文件的地址就可以了 SQL注入检测 软件检测结果仅供参考，并不能保证绝对没有问题 应急处理方法 应急处理方法 TIPs 4、系统漏洞修复后，如需保留旧版，要记得删除旧版的后台。 现在搜索引擎的技术已十分成熟，别有用心的人很容易找到这些薄弱点进行破坏。 Q/A guoliang@ guoliang@ C / Nsp-sec MP* * * * * * * * * * * * 　　尽管采用的各种安全措施能防止很多黑客的攻击，然而由于各种操作系统和服务器软件漏洞的不断发现，攻击方法层出不穷，技术高明的黑客还是能突破层层保护，获得系统的控制权限，从而达到破坏主页的目的。这种情况下，一些网络安全公司推出了专门针对网站的保护软件，只保护网站最重要的内容--网页。一旦检测到被保护的文件发生了{非正常的}改变，就进行恢复。一般情况下，系统首先需要对正常的页面文件进行备份，然后启动检测机制，检查文件是否被修改，如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较： * 这也从一个侧面反映出入侵一个站点的技术门槛之低，只要会打字，会复制粘贴就行。 SQL注入 Web攻击模拟演示 SQL注入攻击流程 5 80端口HTTP请求 2 5/web/n2/productview.asp?id=97; drop%20table%20dbappsecurity_new-- IDS 交换机 防火墙 Web服务器 DB服务器 3 Select * from product where id =97 Drop table dbappsec