网站安全检测内容(网站安全检测内容可分为网站服务器检测、证书检测)
优采云 发布时间: 2022-03-31 16:06网站安全检测内容(网站安全检测内容可分为网站服务器检测、证书检测)
网站安全检测内容可分为网站服务器检测、证书检测、域名备案检测、web服务器备案检测等方面。
一、网站服务器检测
1、安全检测流程主要包括:
1)、用户输入url规则,
2)、服务器返回了相应的结果;
3)、返回结果相应的源码存放到主目录。
2、通过url规则要求判断服务器操作系统是否为windows、linux、macos等,然后判断服务器是否与账号系统相关联,
4)、服务器本身是否有被篡改或作恶,如是,
5)、c段权限检测。用户在输入url规则,
6)、服务器返回了相应的结果;
7)、返回结果存放到主目录。
二、证书检测证书检测是对https协议的网站进行证书检测的一种特殊检测手段。url规则是限制了无关联的域名在建站时依然允许访问,然后用户输入一个并不存在的规则。用户登录后,通过对比url规则来检测其是否真实存在的请求。
1、请求的证书信息检测判断服务器是否存在java颁发的证书,如果未存在则视为未检测到。一般由于目前可以通过对javaapi的调用或是ssl证书验证来验证服务器是否真实存在java颁发的证书,所以用户会多次输入规则请求。一般都是建议设置合适的域名访问权限再进行验证,如果访问受限,一般会对该url规则进行检测;。
2、网站根证书检测网站根证书检测即传说中的根证书植入检测,是指以https协议建立的web服务器,其根证书信息存储在https证书签名服务器(例如yaaw)中,当访问这个web服务器时,请求将被标记为certificatenotfound,从而降低web服务器的访问响应,同时又能保证用户的用户安全。同时,这也会是服务器证书检测的一种新的检测手段。
在这种情况下,证书的真实性就是否真实访问者的一个重要的标准,这种检测手段有其他方法也可以方便的实现,但是使用这种方法可以避免证书缺失的问题;。
3、根证书签名判断根证书签名检测是判断证书签名过程是否被篡改,是否存在伪造等等的一种方法。常用的方法就是首先使用自动化脚本或netsignal对网站根证书签名过程进行自动化检测,如果有问题则直接判断签名不合法,如果无法检测到则判断签名有问题,然后再检测具体的证书签名是否合法。根证书签名检测是根据的官方例子说明所进行的一种对web服务器进行证书检测的方法。
4、证书查询并且解析证书签名判断确定网站所使用的根证书信息是否与指定的privatekey相关联,如果不相关,