用IBM Rational AppScan查找网站老被挂马的原因
作网站, 安全非常重要,如果老被黑,给挂马,那可糟糕,但是,糟糕的事情似乎是与身俱来的,被黑这种事,总是挥之不去,不管我怎么搞,换主机空间,总被黑,空间商告诉我,说我用的程序有漏洞,我又找程序开发商,说空间安全性不好,晕倒,这让我等日子怎么过呀。<br/> 我也配置过服务器,主机空间如果还有防火墙的话,安全应该不是大问题,我又看一些安全方面的资料,这些文章说网站被入侵,多数还是由于网站使用的管理程序不安全造成的。众所周知,现在都不再作静态页了,都要用网站的后台程序,就是CMS,用了CMS之后,作网站是方便了,管理也容易了,可问题也来了,如果CMS程序的编写有问题,是由一些不懂安全的人写的程序的话,你的网站就也对黑客打开大门了,我在网站找了一下,针对网站挂马的工具那个多呀。绝大多数是ASP的, 看来ASP的安全性实在不行。<br/> ASP的不行,我换了ASP.NET的,我用了风讯的后台,可是还是被黑,给挂马,打电话给风讯,对方说程序完全没问题,难道就真的没问题了吗?我又不会写程序,这个难到了我,工夫不负心人,一次偶然的机会,我看到了海南航空公司他们的网站安全测试报告,看起来很专业,找到了很多网站的安全漏洞,我再看这个报告,是用 IBM Rational AppScan 生成的, 这下好了,我也去找找这个东东,一找, 好家伙,IBM出的,7.8版有中文版,看在IBM的名头,我想这个软件肯定很厉害,蓝色巨人出品呀(大家不要认为我是IBM的枪手,IBM可看不上我),那我就用这个来测试一下,看看风讯到底是不是这个公司说的这样安全,这个软件很简单,我用了风讯官方网站上演示来测试, 不然他说我是故意把系统改得不安全测试的。测结果如下图:<br/><img alt="" src="http://www.zydn.net/upfile/1/2010/10/0910572569612.jpg"/><br/>看看, 大量的高危安全漏洞。SQL注入,SQL盲注,怪不得我的数据库都给搞坏了,给写了一些挂马的东西进去, 原来这个这么多SQL注入漏洞。看来我用风讯来作网站是完全错误的, 被黑是正常的,不被黑是偶然的。看到这么多的红色感叹号,我彻底无语。<br/> 通过上述对 Web 应用现状和常见的 Web 应用攻击示例分析,我们可以看出,目前因特网上的 Web 应用,存在着极大的安全隐患和风险,企业对 Web 应用安全的保护,已经刻不容缓。IBM Rational AppScan,作为先进的 Web 应用自动化诊断工具,可以协助企业在整个 Web 应用开发生命周期,将安全意识贯彻到企业全员具体的工作中,高效率的发现应用中存在的安全隐患、给出详细的修复建议、并生成多种符合行业标准和法规的报告,已在全球拥有近千个成功案例,是一个完整的、端到端的 Web 应用安全解决方案,能真正为企业的 Web 应用披上安全的盔甲。 还是不太明白
页:
[1]