各大站长不可忽略的日常安全隐患

网络安全跟随着网络的高速发展其重要性越来越高， 人们的日常生活已经与网络安全息息相关。 近年来， 网络安全被披露越来越多的安全隐患。 为了加强网络安全防护， 首先要清楚目前的网络安全隐患有哪些， 本文将为大家一一列出。

　　1、暴露站点统计信息

　　哪些人正在访问我的站点？这个问题大家都想知道， 网络上也并不缺少这样的程序 。 有商业版的日志分析软件， 也有日益流行、甚至一些商业网站也在采用的开源分析软件， 因为它们能提供很花哨的功能， 选择面也多， 令人不解的是为何有些站点的管理员不去管好它！比如， 流行的统计程序AWStats 和 Webalizer存在许多安全漏洞， 使用这些程序相当于自暴其丑。 此外， 访客在你的站点的活动记录应属于机密信息， 有何理由公之于众？

　　2、被遗忘的备份文件

　　在开发个人网站时， 许多人没有使用完整的开发环境或版本控制软件， 这可以理解。 但如果用在商业网站的开发中， 问题就来了：有些人为了图方便， 将旧的网页改个名字， 再上传一个新的版本， 如果有问题， 再重新改回原来的旧版本。 一般在这些文件的名字加上.bak 或 .old, 如果忘记删除这些旧文件， 那些颇有心计的攻击者的机会就来了。 服务器当然不知道”.bak” 或”.old”是什么类型的文件， 会乖乖地把你的源代码拱手送出！

　　3、你的站点入选了“恶人榜”

　　存在跨站点脚本漏洞的网站实在数不胜数， 黑客们对此已经麻木了。 已经出现了“恶人榜”(Wall of Shame)之类的站点， 专供过路者随手张贴发现的漏洞站点， 这种游街示众的做法好像有点不太厚道， 但似乎只有这样才能引起他们对安全问题的重视。 大名鼎鼎的Dell, HP, MySpace, Photobucket, F5, and Acunetix都曾经入选过 sla.ckers.org 的“恶人榜”。

　　4、目录遍历

　　如果连自己的服务器都管不好， 网站的安全性就无从谈起。 尽管有些目录是有意允许遍历的， 但通常都是服务器管理不当的症状。

　　5、过期的SSL证书

　　如果一个网站连更新SSL证书的钱都舍不得出， 你还信得过他们吗？如果你不打算更新证书， 当客户准备交易时看到浏览器给出的错误消息显示连接有问题， 肯定会攥紧自己的钱包。

　　6 第三方软件的漏洞

　　别误会， 我很赞成代码重用， 既然有很好的开源代码， 为什么还要重新发明轮子？但是， 千万不要过分信赖别人的代码。 如果你要在项目中使用这些代码， 就要用同样的安全标准审查这些代码， 而且还要对它的缺陷进行跟踪。 至少要定期订阅免费的缺陷发布网站的缺陷列表， 检查这些共享代码有没有问题。

　　6、详细的错误消息

　　详细的错误消息对开发者很有用， 但对用户来说等于“红色警报”。 即使你不是安全专家， 也能看出网页中包含的错误消息意味着网站有潜在的漏洞。 各种网站中像瘟疫一样流行的SQL注入就是 最常见的安全漏洞， 而那些错误信息就像是地雷的导火索。 不要自作聪明， 关闭错误显示并不能消除漏洞， 只不过增加了发现的难度而已。

　　7、源代码中的注释

　　注释可以用来标记需要进一步检视的代码， 特别是团队中的多名程序员共同完成的代码。 在代码进入发布阶段前， 要确保提到的问题已经解决， 并且删除与此相关的注释。 使用 Google代码搜索 可找到隐藏在许多库文件中有趣的注释。 别让这些注释成为指向漏洞的地图。

　　8、BIND漏洞

　　位于十大之首的是BIND漏洞， 有些系统默认安装运行了BIND， 这种系统即使不提供DNS服务， 很容易受到攻击。

　　9、有漏洞的通用网关接口程序

　　位于十大脆弱性中第二位的是有漏洞的CGI程序和Web服务器上的扩展程序。 入侵者很容易利用CGI程序中的漏洞来修改网页， 窃取信用卡信息， 甚至为下一次入侵建立后门。

　　10、病毒的侵袭

　　病毒的”毒性”不同， 轻者只会玩笑性地在受害机器上显示几个警告信息， 重则有可能破坏或危及个人计算机乃至整个企业网络的安全。

　　11、黑客的非法闯入

　　黑客通过寻找未设防的路径进入网络或个人计算机， 一旦进入， 他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络， 所有这些都会对企业造成危害。 黑客非法闯入将具备企业杀手的潜力， 企业不得不加以谨慎预防。

　　12、数据”窃听”和拦截

　　直接或间接截获网络上的特定数据包并进行分析来获取所需信息。 加密技术是保护传输数据免受外部窃听的最好办法， 其中SSL证书以及VPN是目前使用最多的加密技术载体。

　　13、拒绝服务

　　这类攻击一般能使单个计算机或整个网络瘫痪， 黑客使用这种攻击方式的意图很明显， 就是要阻碍合法网络用户使用该服务或破坏正常的商务活动。

　　14、内部网络安全

　　为特定文件或应用设定密码保护能够将访问限制在授权用户范围内。

　　15、电子商务攻击

　　从技术层次分析， 试图非法入侵的黑客， 或者通过猜测程序对截获的用户账号和口令进行破译， 以便进入系统后做更进一步的操作；或者利用服务器对外提供的某些服务进程的漏洞， 获取有用信息从而进入系统；或者利用网络和系统本身存在的或设置错误引起的薄弱环节和安全漏洞实施电子引诱， 以获取进一步的有用信息；或者通过系统应用程序的漏洞获得用户口令， 侵入系统。

　　还有如下网络安全隐患：

　　恶意扫描：这种方式是利用扫描工具(软件)对特定机器进行扫描， 发现漏洞进而发起相应攻击。

　　密码破解：这种方式是先设法获取对方机器上的密码文件， 然后再设法运用密码破解工具获得密码。 除了密码破解攻击， 攻击者也有可能通过猜测或网络窃听等方式获取密码。

　　数据篡改：这种方式是截获并修改网络上特定的数据包来破坏目标数据的完整性。

　　地址欺骗：这种方式是攻击者将自身IP伪装成目标机器信任机器的IP 地址， 以此来获得对方的信任。

　　垃圾邮件 主要表现为黑客利用自己在网络上所控制的计算机向企业的邮件服务器发送大量的垃圾邮件， 或者利用企业的邮件服务器把垃圾邮件发送到网络上其他的服务器上。

　　基础设施破坏：这种方式是破坏DNS或路由器等基础设施， 使得目标机器无法正常使用网络。

　　由上述诸多入侵方式可见， 企业可以做的是如何尽可能降低危害程度。 除了采用防火墙、数据加密以及借助公钥密码体制等手段以外， 对安全系数要求高的企业还可以充分利用网络上专门机构公布的常见入侵行为特征数据-通过分析这些数据， 企业可以形成适合自身的安全性策略， 努力使风险降低到企业可以接受且可以管理的程度。

　　GDCA（数安时代）拥有国内自主签发信鉴易 TrustAUTH SSL证书以及是国际多家知名品牌：GlobalSign、Symantec、GeoTrust SSL证书指定的国内代理商。 为了让国内更多的网站升级到安全的https加密传输协议， 五一期间， GDCA推出多种国际知名SSL证书优惠活动， 实现HTTPS加密并展示网站真实身份信息。