网站安全检测内容(OracleWeb服务安全防护(一)：Web应用安全检测)

　　网站安全检测内容(OracleWeb服务安全防护(一)：Web应用安全检测)

　　网站安全测试1、概述网站安全主要从网络安全、主机系统安全、web服务安全、页面数据安全等方面进行测试。网络、主机等基础环境的安全测试这里不再赘述。2、Web 服务安全防护2.1 Web 应用安全检测 对于商业软件，如Oracle、Apache 等常用组件系统，安全设置应根据厂商或厂商提供的安全配置加固清单进行。第三方安全机构。厂商发布安全补丁后应及时进行安全补丁更新；应定期扫描使用常见程序（如 Apache、Websphere 等）的应用程序系统的弱点，发现的问题要及时解决；扫描应在非关键工作时间进行，并制定详细的回滚计划；隐藏 Apache 版本号和其他敏感信息。默认情况下，许多 Apache 安装会显示版本号和操作系统版本，甚至会显示服务器上安装了什么样的 Apache 模块。这些信息可以被黑客利用，黑客也可以从中了解到，你配置的服务器上的很多设置都处于默认状态。以下是您需要添加到 httpd.conf 文件中的两条语句： ServerSignature Off ServerTokens Prod ServerSignature 出现在 Apache 生成的 404 页面、目录列表等页面底部。并制定详细的回滚计划；隐藏 Apache 版本号和其他敏感信息。默认情况下，许多 Apache 安装会显示版本号和操作系统版本，甚至会显示服务器上安装了什么样的 Apache 模块。这些信息可以被黑客利用，黑客也可以从中了解到，你配置的服务器上的很多设置都处于默认状态。以下是您需要添加到 httpd.conf 文件中的两条语句： ServerSignature Off ServerTokens Prod ServerSignature 出现在 Apache 生成的 404 页面、目录列表等页面底部。并制定详细的回滚计划；隐藏 Apache 版本号和其他敏感信息。默认情况下，许多 Apache 安装会显示版本号和操作系统版本，甚至会显示服务器上安装了什么样的 Apache 模块。这些信息可以被黑客利用，黑客也可以从中了解到，你配置的服务器上的很多设置都处于默认状态。以下是您需要添加到 httpd.conf 文件中的两条语句： ServerSignature Off ServerTokens Prod ServerSignature 出现在 Apache 生成的 404 页面、目录列表等页面底部。甚至显示服务器上安装了什么样的 Apache 模块。这些信息可以被黑客利用，黑客也可以从中了解到，你配置的服务器上的很多设置都处于默认状态。以下是您需要添加到 httpd.conf 文件中的两条语句： ServerSignature Off ServerTokens Prod ServerSignature 出现在 Apache 生成的 404 页面、目录列表等页面底部。甚至显示服务器上安装了什么样的 Apache 模块。这些信息可以被黑客利用，黑客也可以从中了解到，你配置的服务器上的很多设置都处于默认状态。以下是您需要添加到 httpd.conf 文件中的两条语句： ServerSignature Off ServerTokens Prod ServerSignature 出现在 Apache 生成的 404 页面、目录列表等页面底部。

　　ServerTokens 目录用于确定 Apache 将在 Server HTTP 响应数据包的头部填充哪些信息。如果 ServerTokens 设置为 Prod，则 HTTP 响应头将设置为： Server: Apache 确保不向 Web 根目录外的文件提供服务，拒绝 Apache 访问 Web 根目录外的任何文件。假设你所有的网站文件都放在一个目录下（例如/web），你可以设置如下： Order Deny, Allow Deny from all Options None AllowOverride None Order Allow, Deny Allow from all 注意，因为Opitins None和 AllowOverride 设置为 None，这将关闭服务器的所有 Option 和 Override。您必须明确地将每个目录设置为 Option 或 Override。要关闭目录浏览，使用目录选项卡中的选项命令来实现此功能。将选项设置为无或-索引。Options-Indexes Close 包括通过使用 Directory 选项卡中的 Option 命令来实现。

　　将选项设置为 None 或 -Includes。选项 -Includes 关闭 CGI 执行程序。如果未使用 CGI，请将其关闭。将目录标签中的选项设置为 None -ExecCGI： 选项 -ExecCGI 禁止 Apache 按照上述符号链接，将选项设置为 None 或 -FollowSymLinks：选项 -FollowSymLinks 2.2 Web 网站 代码安全检测（一）使用最新版本的web服务程序；（二）使用最小权限的原则，设置专门的账号运行网站服务和数据库服务；（三）网站与数据库分离，禁止web服务和数据库服务运行在同一台服务器上（四）合理配置IIS、Apache等web服务，防止目录遍历等漏洞 写权限、文件下载等；（五）加强网站的代码安全，严格过滤网民提交到网站数据库的数据，防止SQL注入，如：“_,',” , and, exec, - , Or"等；（六） 严格过滤网民提交的网址和消息，防止跨站攻击，如：",',", script, /, (, )”等；(七）严格限制外部网站的文件上传功能。对于需要提供上传功能的网站，加强上传文件的格式和内容，以及进行病毒查杀，防止网民上传恶意代码；(八） 设置一个不应被猜到的后台管理目录，防止后台管理被暴力破解。概述网站安全主要从网络安全、主机系统安全、web服务安全、页面数据安全等方面进行测试。、网络、主机等基础环境安全检测这里不再赘述。