软件检测过的安全网站不一定安全

1、 概述

　　网站安全主要从网络安全、主机系统安全、WEB服务安全及页面数据安全等方面进行检测，网络、主机等基础环境的安全检测此处不再述。

　　2、 Web 服务安全防护

　　2.1 Web 应用安全检测

　　(一) 对于商业软件，如Oracle，Apache等通用组件系统，应当依据厂商或第三方安全机构提供的安全配置加固列表进行安全设置，在厂商推出安全修补程序后应及时进行    安全补丁更新。

　　(二) 应当定期对采用通用程序(如Apache,Websphere等)的应用系统进行弱点扫描，并及时解决所发现的问题;扫描应当在非关键业务时段进行，并制定详细的回退计划。

　　(三) 隐藏Apache的版本号及其它敏感信息

　　默认情况下，很多Apache安装时会显示版本号及操作系统版本，甚至会显示服务器上安装的是什么样的Apache模块。这些信息可以为黑客所用，并且黑客还可以从中得知你   所配置的服务器上的很多设置都是默认状态。‘

　　这里有两条语句，你需要添加到你的httpd.conf文件中：

　　Serversignature off

　　Servertokens prod

　　Serversignature出现在Apache所产生的像404页面、目录列表等页面的底部。Servertoken目录被用来判断Apache会在Server HTTP响应包的头部填充什么信息。如果把      ServerTokens设为Products，那么HTTP响应包头就会被设置成：

　　Server：Apache

　　(四)确保web根目录之外的文件没有提供服务

　　拒绝Apache访问web根目录之外的任何文件。假设你的所有Web站点文件都放在一个目录下(例如/web)，你可以如下设置：

　　Order Deny,ALLow

　　Deny from all

　　Options None

　　Allowoverride None

　　Order ALLow,Deny

　　Allow from all

　　注意，因为轩opitins None和Allowoverride None，这将关闭服务器的所有Options和OCerride。必须明确把每个目录设置成Options或者Override。

　　(五)、关闭目录浏览

　　在Directory标签内用Options命令来实现这个功能。设置Options为None或者-Indexes.

　　(六)、关闭Includes

　　通过在Directory标签内使用Options命令实现。设备Options为None或者-Includes。

　　Options –Includes

　　(七) 、关闭CGI执行程序

　　如果不用CGI，对其进行关闭。在目录标签中把选项设置成None或——ExecCGI就可以：

　　Options —ExecCGI

　　(八) 、禁止Apache遵循符号连接

　　同上，把选项设置成None或者—FollowsymLinks：

　　Options —FollowSymlinks

　　2.2 Web 网站化代码安全检测

　　(一) 、采用最新版本的Web服务程序;

　　(二) 、采用最小权限的原则设置专门帐户用于运行网站服务、数据库服务;

　　(三) 网站与数据库分离，禁止Web服务与数据库服务运行于同一台服务器上;

　　(四) 对IIS、Apache等Web服务进行合理配置，防范目录权限、写权限、文件下载等漏洞;

　　(五) 加强网站代码的安全性，对互联网用户提交网站数据库的数据进行严格过滤，防范SQL注入，如“_、’、”、and、exec、--、or”等:

　　(六) 对于互联网用户提交的URL、留言等内容进行严格过滤，防范跨站攻击，如：“<、>、’、”、script、/、(、)”等;

　　(七) 严格限制对外网站的文件上传功能，对需要提供上传功能的网站 要加强上传文件的格式、内容松果，并进行病毒查杀，防止互联网用户上传恶意代码;

　　(八) 设置不宜猜测的后台管理目录，防范对后台管理暴力破解。