老秘网_材夜思范文

标题: 用IBM Rational AppScan查找网站老被挂马的原因 [打印本页]

作者: 福建老秘 时间: 2010-10-10 20:47
标题: 用IBM Rational AppScan查找网站老被挂马的原因
作网站，　安全非常重要，如果老被黑，给挂马，那可糟糕，但是，糟糕的事情似乎是与身俱来的，被黑这种事，总是挥之不去，不管我怎么搞，换主机空间，总被黑，空间商告诉我，说我用的程序有漏洞，我又找程序开发商，说空间安全性不好，晕倒，这让我等日子怎么过呀。
　　　我也配置过服务器，主机空间如果还有防火墙的话，安全应该不是大问题，我又看一些安全方面的资料，这些文章说网站被入侵，多数还是由于网站使用的管理程序不安全造成的。众所周知，现在都不再作静态页了，都要用网站的后台程序，就是CMS，用了CMS之后，作网站是方便了，管理也容易了，可问题也来了，如果CMS程序的编写有问题，是由一些不懂安全的人写的程序的话，你的网站就也对黑客打开大门了，我在网站找了一下，针对网站挂马的工具那个多呀。绝大多数是ASP的，　看来ASP的安全性实在不行。
　　　ASP的不行，我换了ASP.NET的，我用了风讯的后台，可是还是被黑，给挂马，打电话给风讯，对方说程序完全没问题，难道就真的没问题了吗？我又不会写程序，这个难到了我，工夫不负心人，一次偶然的机会，我看到了海南航空公司他们的网站安全测试报告，看起来很专业，找到了很多网站的安全漏洞，我再看这个报告，是用　IBM Rational AppScan　生成的，　这下好了，我也去找找这个东东，一找，　好家伙，IBM出的，7.8版有中文版，看在IBM的名头，我想这个软件肯定很厉害，蓝色巨人出品呀（大家不要认为我是IBM的枪手，IBM可看不上我），那我就用这个来测试一下，看看风讯到底是不是这个公司说的这样安全，这个软件很简单，我用了风讯官方网站上演示来测试，　不然他说我是故意把系统改得不安全测试的。测结果如下图：

看看，　大量的高危安全漏洞。SQL注入，SQL盲注，怪不得我的数据库都给搞坏了，给写了一些挂马的东西进去，　原来这个这么多SQL注入漏洞。看来我用风讯来作网站是完全错误的，　被黑是正常的，不被黑是偶然的。看到这么多的红色感叹号，我彻底无语。

作者: 福建老秘 时间: 2010-10-10 20:51
通过上述对 Web 应用现状和常见的 Web 应用攻击示例分析，我们可以看出，目前因特网上的 Web 应用，存在着极大的安全隐患和风险，企业对 Web 应用安全的保护，已经刻不容缓。IBM Rational AppScan，作为先进的 Web 应用自动化诊断工具，可以协助企业在整个 Web 应用开发生命周期，将安全意识贯彻到企业全员具体的工作中，高效率的发现应用中存在的安全隐患、给出详细的修复建议、并生成多种符合行业标准和法规的报告，已在全球拥有近千个成功案例，是一个完整的、端到端的 Web 应用安全解决方案，能真正为企业的 Web 应用披上安全的盔甲。

作者: 想破脑 时间: 2011-8-9 13:56
还是不太明白

欢迎光临老秘网_材夜思范文 (http://caiyes.cn/)