web网络安全知识FAQ

问：什么叫木马？

答：木马（Trojan）这个名字来源于古希腊传说，在互联网时代它通常是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

问：什么叫网站挂马？

答：“挂马” 就是黑客入侵了一些网站后，将自己编写的网页木马嵌入被黑网站的主页中，当访问者浏览被挂马页面时，将会被植入木马，黑客便可通过远程控制来实现不可告人的目的。网页木马就是将木马和网页结合在一起，打开网页的同时也会运行木马。最初的网页木马原理是利用IE浏览器的ActiveX控件，运行网页木马后会弹出一个控件下载提示，只有点击确认后才会运行其中的木马。这种网页木马在当时网络安全意识普遍不高的情况下还是有一点使用价值的，但是其缺点是显而易见的，就是会出现ActiveX控件下载提示。当然现在很少会有人去点击那莫名其妙的ActiveX控件下载确认窗口。在这种情况下，新的网页木马诞生了。这类网页木马通常利用了IE浏览器的漏洞，在运行的时候没有丝毫提示，因此隐蔽性极高。

问：如何发现网站挂马？ 

答：服务器被挂马，通常情况下，若出现诸如“弹出页面”，则可以比较容易发现，发现防病毒软件告警之类，则可以发现服务器被挂马；由于漏洞不断更新，挂马种类时刻都在变换，通过客户端的反映来发现服务器是否被挂马往往疏漏较大；正确的做法是经常性的检查服务器日志，发现异常信息；经常检查网站代码，借助于专业的检测工具来发现网页木马会大大提高工作效率和准确度。

问：什么叫XSS？

答：跨站脚本攻击(XSS)是攻击者将恶意脚本提交到网页中，使得原本安全的网页存在恶意脚本，或者是直接添加有恶意脚本的网页并诱使用户打开，用户访问网页后，恶意脚本就会将用户与网站的会话COOKIE及其它会话信息全部截留发送给攻击者，攻击者就可以利用用户的COOKIE正常访问网站。攻击者有时还会将这些恶意脚本以话题的方式提交到论坛中，诱使网站管理员打开这个话题，从而获得管理员权限，控制整个网站。跨站脚本漏洞主要是由于没有对所有用户的输入进行有效的验证所造成的，它影响所有的Web应用程序框架。

问：XSS有哪些危害？ 

答：XSS攻击的危害包括: 盗取各类用户账号，如机器登录账号、用户网银账号、各类管理员账号；控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力；盗窃企业重要的具有商业价值的资料 ；非法转账；强制发送电子邮件 ；网站挂马 ；控制受害者机器向其它网站发起攻击。

问：网站被XSS攻击了，该怎么办？ 

答：XSS攻击可以让黑客获得攻击任意一个访问受害网站页面的用户，虽然不直接危害网站的安全，但一方面影响网站声誉，另一方面如果网站管理者误访问恶意页面，也有权限泄漏的可能。如果确认网站被XSS攻击，首先要将黑客添加的恶意脚本清除，其次需要针对这些存在XSS漏洞的地方进行源码级修改或采用专业的安全硬件产品如入侵防御产品。

问：对于XSS攻击，是否可以通过禁止脚本执行来防御？

答：XSS攻击是由于Web页面代码编写不完善，导致攻击者可以在页面中插入恶意脚本，使得网站的访问者在访问这些页面时遭受攻击。如果在自己的浏览器完全禁用脚本执行，可以起到防范XSS攻击的作用，但与此同时，那些基于脚本的正常应用将无法正常访问。

问：如何防御XSS？ 

答：要想从根本上解决XSS攻击，就要对Web应用程序源代码进行检查，发现安全漏洞进行修改，但是这种方法在实际中给用户带来了不便，如：需要花费大量的人力财力；可能无法找到当时的网站开发人员，网站下线等，对代码进行修改后，由于增加了过滤条件和功能，同时也给服务器带来了计算压力。通常的解决方法是在Web服务器前部署入侵防御产品。

XSS攻击具有变种多、隐蔽性强等特点，传统的特征匹配检测方式不能有效的进行防御，需要采用基于攻击手法的行为监测的入侵防御产品产品才能够精切的检测到XSS攻击。

问：目前对Web服务器威胁较大的XSS攻击工具有哪些？

答：网上常见的XSS攻击工具有sessionIE，Webscan，XSS Inject Scanner 等。

问：什么叫SQL注入？ 

答：SQL注入就是利用现有应用程序，将恶意的SQL命令注入到后台数据库引擎执行的能力。SQL注入利用的是正常的HTTP服务端口，表面上看来和正常的Web访问没有区别，隐蔽性极强，不易被发现。

问：SQL注入有哪些危害？ 

答：SQL注入的主要危害包括：未经授权状况下操作数据库中的数据；恶意篡改网页内容；私自添加系统账号或者是数据库使用者账号；网页挂木马。

问：网站被SQL注入攻击了，该怎么办？ 

答：SQL注入可以让黑客获得数据库权限，可以窃取密码，执行修改/增加/删除数据库表等操作。所以，如果网站被SQL注入攻击了，首先要依据日志查看是哪个用户的权限泄漏导致的数据库修改，并更换密码，同时依据日志检查存在注入点的页面，进行代码级的修复或采用专业的安全硬件产品如入侵防御产品。

问：对于SQL注入攻击，是否可以通过禁止SQL语句执行来防御？

答：SQL注入利用的是Web页面的代码过滤不严格，攻击者可以通过提交某些特殊构造的SQL语句插入SQL的特殊字符和字段，来实现对数据库的非正常访问。如果完全禁止SQL语句，当然可以实现对SQL注入的防御，但与此同时，正常的数据库查询语言也将无法执行，除非Web站点是纯静态页面，否则将无法正常访问。采用禁止SQL语句执行来防御SQL注入，纯粹是因噎废食。

问：对于SQL注入攻击，弱点检测和漏洞修补是否可以完全防止？

答：SQL注入攻击是由于代码编写不够严谨导致，没有考虑到代码的健壮性和安全性，由于Web程序漏洞的复杂性，安全分析人员很难通过弱点检测和漏洞修补全面的检查出SQL注入漏洞并进行修补。需要说明的是，Web系统每一次添加了新的页面或应用，就需要再次进行弱点检测和漏洞修补。

问：如何防御SQL注入？ 

答：要想从根本上解决SQL注入攻击，就要对Web应用程序源代码进行检查，发现安全漏洞进行修改，但是这种方法在实际中给用户带来了不便，如：需要花费大量的人力财力；可能无法找到当时的网站开发人员，网站下线等，对代码进行修改后，由于增加了过滤条件和功能，同时也给服务器带来了计算压力。通常的解决方法是在数据库服务器前部署入侵防御产品。SQL注入攻击具有变种多、隐蔽性强等特点，传统的特征匹配检测方式不能有效的进行防御，需要采用基于攻击手法的行为监测的入侵防御产品才能够精切的检测到SQL注入攻击。 

问：目前对Web服务器威胁较大的SQL注入工具有哪些？ 

答：网上常见的SQL注入工具有啊D SQL注入工具，pangolin，NBSI，HDSI,管中窥豹注入工具等。 

问：什么叫Shellcode？

答：Shellcode实际是一段代码（也可以是填充数据），可以用来发送到服务器，利用已存在的特定漏洞造成溢出，通称缓冲区溢出攻击中植入进程的代码。这段代码可以是导致常见的恶作剧目的的弹出一个消息框弹出，也可以用来删改重要文件、窃取数据、上传木马病毒并运行，甚至是出于破坏目的的格式化硬盘等等。 

问：什么叫DOS./DDOS攻击？

答：DoS即Denial Of Service，拒绝服务的缩写。DoS是指利用网络协议实现的缺陷来耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。   

DDoS（Distributed Denial Of Service）又把DoS又向前发展了一大步，这种分布式拒绝服务攻击是黑客利用在已经侵入并已控制的不同的高带宽主机（可能是数百，甚至成千上万台）上安装大量的DoS服务程序，它们等待来自中央攻击控制中心的命令，中央攻击控制中心在适时启动全体受控主机的DoS服务进程，让它们对一个特定目标发送尽可能多的网络访问请求，形成一股DoS洪流冲击目标系统，猛烈的DoS攻击同一个网站。被攻击的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪崩溃。  

问：如何应对DOS/DDOS攻击？ 

答：从目前现有的技术角度来讲，还没有一项解决办法针对DoS非常有效。所以，防止DoS攻击的最佳手段就是防患于未然。也就是说，首先要保证一般的外围主机和服务器的安全，使攻击者无法获得大量的无关主机，从而无法发动有效攻击。一旦单位内部的主机或临近网络的主机被黑客侵入，那么其他的主机被侵入的危险会变得很大。同时，如果网络内部或邻近的主机被用来对本机进行DoS攻击，攻击的效果会更明显。所以，必须保证这些外围主机和网络的安全。尤其是那些拥有高带宽和高性能服务器的网络，往往是黑客的首选目标。保护这些主机最好的办法就是及时了解有关本操作系统的安全漏洞以及相应的安全措施，及时安装补丁程序并注意定期升级系统软件，以免给黑客以可乘之机。另外，网管人员要加强对网络流量的管理，对网络资源的使用情况和带宽分配进行限制或控制，通过流量过滤产品进行限流，同时配合网络审计产品，可以对攻击进行审计和记录，溯源的同时可用于事后取证，必要时向ISP进行举报。  

问：什么叫网络蠕虫？

答：一般认为：蠕虫病毒是一种通过网络传播的恶性病毒，它除具有病毒的一些共性外，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身，然后在网络中传播，严重的占用有限的网络资源，最终引起整个网络的瘫痪，使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失，因此它的危害性是十分巨大的；有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能，更是严重的危害到用户的系统安全。 

问：什么叫网络钓鱼？

答：网络钓鱼（Phishing ，又名钓鱼法或钓鱼式攻击）是通过传播声称来自于银行或其他知名机构的欺骗信息，意图引诱受害者给出敏感信息（如用户名、口令、账号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将受害者引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取受害者在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。 

问：ARP攻击的危害有哪些？ 

答：ARP攻击的危害主要有两个方面，从ARP攻击的原理来看，这种攻击使得受害主机的所有网络数据都将通过攻击者进行转发，想要窃取信息或控制流量就变得轻而易举。另一方面，由于ARP缓存会不断刷新，有的时候，真正的网关会偶尔“清醒”，当真正的网关参与到数据包转发中来时，由于做了一个切换动作，可能会有频繁的短暂掉线现象。如果Web服务器所在网络中发生了ARP攻击，将导致Web服务器不可访问。  

问：为什么Google把我的网站列为恶意网站？ 

答：Google在对网站内容进行搜索时，同时也会检查是否含有恶意软件或代码，这些恶意软件或代码可能威胁该网站的访问者，如果该网站存在这样的恶意软件或代码，就会在用户搜索到该网站时，加上一个标记：“该网站可能含有恶意软件，有可能会危害您的电脑”。这将会使网站信誉受损，并导致潜在的用户流失。 

问：网站会面临什么样的安全问题？

答：网站面临的安全问题是方方面面的，主要可概括为以下四个方面：

1）操作系统、后台数据库的安全问题 这里指操作系统和后台数据库的漏洞，配置不当，如弱口令等等，导致黑客、病毒可以利用这些缺陷对网站进行攻击。 

2）Web发布系统的漏洞 

Web业务常用的发布系统，如IIS、Apache等，这些系统存在的安全漏洞，给入侵者可乘之机。 

3）Web应用程序的漏洞 

主要指Web应用程序的编写人员，在编程的过程中没有考虑到安全的问题，使得黑客能够利用这些漏洞发起对网站的攻击，比如SQL注入、跨站脚本攻击等等。 

4）自身网络的安全状况 

网站服务器所处的网络安全状况也影响着网站的安全，比如网络中存在的DoS攻击等，也会影响到网站的正常运营。

问：怎样应对Web业务安全事件？

答：应对Web业务安全事件，从根本上的解决办法就是对Web应用程序源代码进行代码检查和漏洞修复，但是这会影响正常Web业务运行，而且费用较高。比较有效的解决方案是通过专业的Web业务安全检查工具或服务来检查网站安全状况，部署专业的Web安全产品，比如基于行为检测的入侵防御产品产品，同时在管理上，要求网管人员实时对网站进行监测，一旦发现被篡改等问题进行页面恢复、删除恶意脚本等工作。

问：什么叫网站漏洞？ 

答：随着B/S模式被广泛的应用，用这种模式编写Web应用程序的程序员也越来越多，但由于开发人员的水平和经验参差不齐，相当一部分的开发人员在编写代码的时候，没有对用户的输入数据或者是页面中所携带的信息(如Cookie)进行必要的合法性判断，导致了攻击者可以利用这个编程漏洞来入侵数据库或者攻击Web应用程序的使用者，由此获得一些重要的数据和利益。

问：怎样才能找到网站漏洞？ 

答：当网站的某个页面存在SQL注入或者跨站的漏洞时，攻击者会利用这个页面进行攻击。

可以采用三种方式来找出存在漏洞的页面：

 1. 采用Web漏洞扫描工具对网站进行扫描

 2. 人工或使用工具对网站代码进行审核

 3. 从Web服务日志分析攻击者提交的URL 

问：对成型的网站如何知道自己存在哪些Web威胁？ 

答：对于一个已经成型的网站，由于代码复杂度较高，利用代码检查的方法很难发现存在漏洞，最好的办法是利用商用Web程序安全性评估软件或者评估服务对Web系统的安全性进行测试评估。

问：为什么我网站的数据库表内容被大量替换？ 

答：如果排除了管理员误操作的可能性的话，可能是网站服务器被自动化攻击工具（如SQL

注入工具等）攻击的后果。目前已经有自动化的工具攻击对网站进行攻击，如果网站存在漏洞的话，攻击工具能够获得对数据库访问的权限。如果发现这种情况，应该仔细核查网站服务器和数据库服务器日志，找出更改记录。

问：黑客为什么要篡改网站页面? 

答：当黑客获取网站的控制权限时，往往会更改网站页面，可能的因素有：

1. 宣称政治主张

2. 炫耀技术，建立“声望”

3. 宣泄情绪

4. 经济利益，通过网站释放木马，从而获取经济利益。

问：黑客主要利用哪些方法对网站进行数据窃取和修改？ 

答：黑客需要使用一定权限的用户才能对网站进行数据窃取和修改，所以可能造成用户权限泄漏或提升的漏洞，都可以被黑客利用来进行攻击，如SQL注入，溢出漏洞、暴力猜解等。

问：黑客为什么喜欢攻击网站？ 

答：Web业务已经成为当前互联网最为流行的业务，大量的在线应用业务都依托于Web服务进行，且一些大型网站的日访问量可达百万之巨，不论是直接攻击网站（如网络银行，在线游戏服务器）还是通过网站挂马窃取访问者信息，都可以使黑客获得直接的经济利益。另外一方面，网站是机构的网络形象，通过攻击篡改网站页面，也可以得到最大范围的名声传播，对于那些企图出名的黑客，攻击网站是一项不错的选择。

问：如何判断自己的Web服务器是不是已经成为肉鸡？ 

答：如果发现自己的Web服务器开启了一些奇怪的进程，发现Web服务器总是有大量从内往外的连接，发现Web服务器不定时系统缓慢，如有以上现象，可使用木马清除软件进行检查和查杀。

问：Web威胁为什么难以防范？ 

答：针对Web的攻击已经成为全球安全领域最大的挑战，主要原因有如下两点：

1. 业务迅速更新，需要大量的Web应用快速上线，而由于资金、进度、意识等方面的影响，这些应用没有进行充分安全评估。 

2.  针对Web的攻击会隐藏在大量正常的业务行为中，而且使用各种变形伪装手段，导致传统的防火墙和基于特征的入侵防御系统无法发现和阻止这种攻击。

问：常见Web发布系统之IIS？ 

答：IIS 是Internet Information Server的缩写，是一个Web server，由微软开发，用以支持HTTP，FTP和SMTP服务发布。它主要运行在微软的操作系统之上，是最流行的Web服务器软件之一。

问：Web发布系统之apache？ 

答：Apache是Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上。Apache源于NCSAhttpd服务器，经过多次修改，成为世界上最流行的Web服务器软件之一。

问：什么叫Web应用系统？

答：Web应用系统就是利用各种动态Web技术开发的基于B/S(浏览器服务器)模式的事务处理系统。用户直接面对的是客户端浏览器，使用系统时，请求之后的事务逻辑处理和数据的逻辑运算由服务器与数据库系统共同完成，对用户而言是完全透明的。运算后得到的结果再通过浏览器的方式返回给用户。比如：ERP系统、CRM系统以及常见的网站系统(如电子政务网站、企业网站等)都是Web应用系统。

问：Web程序漏洞是怎么形成的？

答：Web站点之所以存在如此众多的安全漏洞，是由下列所示的这些原因造成的：

 1、大部分的中小型网站都是使用某个建站模块建设的，而这些通用的建站模块不仅本身存在各种安全漏洞，同时一些使用它们的建站人员根本没有在建站完成后对站点起先安全加固。

2、Web站点开发人员对安全不够重视，在编写网页时，没有对用户的输入进行验证，没有对数据的大小、类型和字符串进行规范，没有限制API函数对系统资源的使用，以及对

Web服务器没有进行相应的资源限制，引起拒绝服务攻击。

3、管理员对Web服务器主机系统及Web应用程序本身配置不当，一些中小企业自己管理的Web站点根本没有足够的技术人员来管理它们的安全。

4、当Web站点是托管在某个电信机房时，对它们进行的远程管理存在安全风险。

5、Web站点管理员本身技术水平的限制，对各种针对Web站点的安全攻击不了解，也没有端正工作态度，没能对站点进行认真的安全加固，以及进行日常的安全检查。

6、 Web站点所处网络大环境的安全设计不合理，以及没有将安全防范工作融入到站点整个生命周期的各个阶段。

7、企业领导不够重视，在Web站点的安全防范方面投入的资金太少或不合理，没有制定一个有效的Web站点安全防范策略，明确Web站点日常管理流程，也没有对Web站点的管理人员和工作人员进行不断的安全培训。

问：目前国内Web应用系统存在哪些最突出的安全隐患？

答：由于Web应用程序的漏洞是很难避免的，那么系统的安全隐患主要在三方面：首先是网络运维人员或安全管理人员对Web系统的安全状况不清楚，哪些页面存在漏洞，

哪些页面已经被挂马，不能够清晰的掌握从而及时采取改正措施；其次，在安全设备的部署方面，没有选用专业的面对Web业务攻击的防御产品对网站进行保护，而是寄托于防火墙这种访问控制类的网关安全设备；另外，从安全响应来看，Web安全事件发生后的应急与处理也存在欠缺，没有相应的页面恢复系统，也没有处理Web安全事件的专业安全服务团队，很多单位没有制定实时监控的网站安全管理制度。

问：遭遇Web威胁防御后是不是重装系统的就可解决问题？

答：重装系统可以简单快速地消除攻击者留下的后门和账户、修改的配置和文件等，但并没有解决原来的漏洞，因此重装系统一定要配合对操作系统、服务、应用的安全检查。

问：建立备份恢复体制是否可以完全保障Web业务的安全？

答：备份恢复可以防止数据的丢失，是保证业务数据的重要步骤。但同样备份恢复并没有解决原来的漏洞，甚至可能在备份的数据中就留用攻击者留下的后门。

问：流量分析工具能够发现针对Web服务器的攻击吗？ 

答：流量分析工具可以发现针对Web服务器的一段时间的访问状况，如果存在基于流量的攻击行为如拒绝服务之类，可以通过该类工具发现，但如果是基于数据内容的攻击行为，由于这类攻击并不带来流量的任何异常，所以不会被流量分析工具所发现。

问：在web威胁中防火墙的优点和不足？ 

答：防火墙可以过滤掉非业务端口的数据，防止非Web服务出现的漏洞，目前市场上可选择的防火墙品牌也较多。但对于目前大量出现在应用上的SQL注入和XSS漏洞，防火墙无法过滤，因而无法保护Web服务器所面临的应用层威胁。

问：什么叫应用防火墙？

答：应用防火墙的概念在上个世纪九十年代就已经被提出，但在最近几年才真正走向成熟应用。应用防火墙的概念与网络防火墙相对，网络防火墙关注网络层的访问控制，应用防火墙则关注应用层数据的过滤与控制。

问：什么叫网站防篡改系统？

答：网站防通过实时监控来保证Web系统的完整性，当监控到Web页面被异常修改后能够自动恢复页面，网站放篡改系统由于其设计理念的限制，对静态页面的防护能力比较好，而对动态页面的防护则先天不足。

问：做网站页面的代码修改是不是可以完全避免网站存在的问题？ 

答：在Web威胁中占越来越重要位置的SQL注入和跨站脚本都是由于服务器对用户输入检查不够严格导致的。因此在代码开发时，就应该对用户数据进行过滤。但是大量的过滤将极大加中服务器负载，导致服务器可接受的请求急剧减少。

问：定期升级操作系统补丁和病毒库是不是就可以高枕无忧了？ 

答：操作系统补丁可以解决操作系统本身的漏洞，及时更新病毒库可以使防病毒软件能够查杀最新的病毒，防止病毒对服务器的破坏。仅有这两种措施无法解决应用层漏洞带来的安全风险。 

问：部署防病毒软件是否可以保护网站不遭受挂马威胁？ 

答： 防病毒软件可以检测和消除各种已知病毒，并能对一些病毒行为进行阻断。但对于不存在病毒体的手工和自动攻击过程无法防御。目前大量的挂马代码都是定制化，防病毒软件无法发现和避免. 

问：采用了非常复杂的管理员密码是不是就可防止黑客拿到管理员权限？

答：攻击者获取到网站管理员密码可能有几种途径：

1.通过暴力猜解 

2.通过漏洞攻击获取权限后更改管理员密码

3.通过社会工程获得。采用复杂密码可以在防止通过暴力破解，但不能放弃黑客通过漏洞或者社会工程攻击的方式获得。

问：费用有限的情况下如何做定期安全评估？ 

答：目前网络上有很多的免费资料谈到如何做安全评估，也有很多免费工具可以用来做安全评估。因此需要网络管理人员花费一些时间来了解这些资料和工具。也有一些安全公司提供了远程评估服务和现场评估服务相比，有更高的性价比。