作為公司的運(yùn)維人員，特別是中大型企業(yè)，網(wǎng)站被攻擊，網(wǎng)站打不開是一件再平常不過的事情了。下面由學(xué)習(xí)啦小編為大家整理的企業(yè)網(wǎng)站的安全知識，希望大家喜歡!

企業(yè)網(wǎng)站的安全知識

第一：網(wǎng)絡(luò)安全法規(guī)定

2017年6月1日正式實(shí)施的網(wǎng)絡(luò)安全法中明確要求：第三十三條，至第三十八條針對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者所做的規(guī)定(如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營商應(yīng)當(dāng)自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門)，具有相當(dāng)?shù)膹?qiáng)制性——在法律責(zé)任部分明確提到若不履行這些規(guī)定，則由有關(guān)主管部門責(zé)令整改、給予警告;

拒不改正或?qū)е挛：W(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，而且還對直接負(fù)責(zé)的主管人員除以一萬元以上、十萬元以下罰款。

值得關(guān)注的是，在信息安全風(fēng)險評估中，滲透測試是一種常用且非常重要的手段。

第二：滲透測試助力PCI DSS合規(guī)建設(shè)

在PCI DSS(Payment Card Industry Security Standards Council支付卡行業(yè)安全標(biāo)準(zhǔn)委員會)第 11.3中有這樣的要求：至少每年或者在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重大升級或修改后(例如操作系統(tǒng)升級、環(huán)境中添加子網(wǎng)絡(luò)或環(huán)境中添加網(wǎng)絡(luò)服務(wù)器)都需要執(zhí)行內(nèi)部和外部基于應(yīng)用層和網(wǎng)絡(luò)層的滲透測試。

第三：ISO27001認(rèn)證的基線要求

ISO27001 附錄“A12信息系統(tǒng)開發(fā)、獲取和維護(hù)”的要求，建立了軟件安全開發(fā)周期，并且特別提出應(yīng)在上線前參照例如OWASP標(biāo)準(zhǔn)進(jìn)行額外的滲透測試 。目前北京安普諾信息公司已經(jīng)獲得ISO27001的認(rèn)證。

第四：銀監(jiān)會多項監(jiān)管指引中要求

依據(jù)銀監(jiān)會頒發(fā)的多項監(jiān)管指引中明確要求，對銀行的安全策略、內(nèi)控制度、風(fēng)險管理、系統(tǒng)安全等方面需要進(jìn)行的滲透測試和管控能力的考察與評價。

第五：最大限度減少業(yè)務(wù)損失

除了滿足政策的合規(guī)性要求、提高客戶的操作安全性或滿足業(yè)務(wù)合作伙伴的要求。最終的目標(biāo)應(yīng)該是最大限度地減小業(yè)務(wù)風(fēng)險。

企業(yè)需要盡可能多地進(jìn)行滲透測試，以保持安全風(fēng)險在可控制的范圍內(nèi)。

網(wǎng)站開發(fā)過程中，會發(fā)生很多難以控制、難以發(fā)現(xiàn)的隱形安全問題，當(dāng)這些大量的瑕疵暴露于外部網(wǎng)絡(luò)環(huán)境中的時候，就產(chǎn)生了信息安全威脅。

這個問題，企業(yè)可以通過定期的滲透測試進(jìn)行有效防范，早發(fā)現(xiàn)、早解決。經(jīng)過專業(yè)滲透人員測試加固后的系統(tǒng)會變得更加穩(wěn)定、安全，測試后的報告可以幫助管理人員進(jìn)行更好的項目決策，同時證明增加安全預(yù)算的必要性，并將安全問題傳達(dá)到高級管理層。

企業(yè)網(wǎng)站普遍的流程

1、信息收集

1.1/ Whois信息--注冊人、電話、郵箱、DNS、地址

1.2/ Googlehack--敏感目錄、敏感文件、更多信息收集

1.3/ 服務(wù)器IP--Nmap掃描、端口對應(yīng)的服務(wù)、C段

1.4/ 旁注--Bing查詢、腳本工具

1.5/ 如果遇到CDN--Cloudflare(繞過)、從子域入手(mail，postfix)、DNS傳送域漏洞

1.6/ 服務(wù)器、組件(指紋)--操作系統(tǒng)、web server(apache，nginx，iis)、腳本語言

1.7/ More...

通過信息收集階段，攻擊者基本上已經(jīng)能夠獲取到網(wǎng)站的絕大部分信息，當(dāng)然信息收集作為網(wǎng)站入侵的第一步，決定著后續(xù)入侵的成功。

2、漏洞挖掘

2.1/ 探測Web應(yīng)用指紋--Discuz、PHPwind、Dedecms、Ecshop...

2.2/ XSS、CSRF、XSIO、SQLinjection、權(quán)限繞過、任意文件讀取、文件包含...

2.3/ 上傳漏洞--截斷、修改、解析漏洞

2.4/ 有無驗(yàn)證碼--進(jìn)行暴力解除

2.5/ More...

經(jīng)過漫長的一天，攻擊者手里已經(jīng)掌握了你網(wǎng)站的大量信息以及不大不小的漏洞若干，下一步他們便會開始利用這些漏洞獲取網(wǎng)站權(quán)限。

3、漏洞利用

3.1/ 思考目的性--達(dá)到什么樣的效果

3.2/ 隱藏，破壞性--根據(jù)探測到的應(yīng)用指紋尋找對應(yīng)的EXP攻擊載荷或者自己編寫

3.3/ 開始漏洞攻擊，獲取相應(yīng)權(quán)限，根據(jù)場景不同變化思路拿到webshell

4、權(quán)限提升

4.1/ 根據(jù)服務(wù)器類型選擇不同的攻擊載荷進(jìn)行權(quán)限提升

4.2/ 無法進(jìn)行權(quán)限提升，結(jié)合獲取的資料開始密碼猜解，回溯信息收集

5、植入后門

5.1/ 隱蔽性

5.2/ 定期查看并更新，保持周期性

6、日志清理

6.1/ 偽裝性，隱蔽性，避免激警他們通常選擇刪除指定日志

6.2/ 根據(jù)時間段，find相應(yīng)日志文件 太多太多。。。

企業(yè)網(wǎng)站的潛在價值

1.宣傳企業(yè)形象與品牌

企業(yè)文化往往是一個企業(yè)的靈魂，也是塑造一個企業(yè)形象與品牌的根本。通過互聯(lián)網(wǎng)這個窗口，可以得到更好的傳播與推廣，網(wǎng)站可以提高企業(yè)的知名度和品牌。經(jīng)過一段互聯(lián)網(wǎng)的熱潮，盡管很多人批評互聯(lián)網(wǎng)經(jīng)濟(jì)的不是，但是它在提高企業(yè)的知名度和品牌的作用是有目共睹的，例如搜狐、新浪、網(wǎng)易等，他們就是很好地借助互聯(lián)網(wǎng)，把他們的品牌做到過億人民幣之巨。

2.時尚的標(biāo)志

好的企業(yè)網(wǎng)站會給客戶一個強(qiáng)烈的印象。如果一個大企業(yè)連網(wǎng)站都沒有或者做得很差，給客戶的印象是：這不是一個現(xiàn)代企業(yè)，是一個跟不上形勢的企業(yè)。如果網(wǎng)站做得好，給客戶的感覺是：這企業(yè)領(lǐng)導(dǎo)意識先進(jìn)，走在時代的前列，管理科學(xué)化智能化，顧客感覺完全不同，信任度也高很多。

3.產(chǎn)品在線推廣

通過網(wǎng)站全面展示企業(yè)經(jīng)營的所有產(chǎn)品。互聯(lián)網(wǎng)足以令您的產(chǎn)品與品牌更加形象立體地呈現(xiàn)在用戶面前，比傳統(tǒng)的宣傳模式更加的豐富多彩、更加全面，更易于發(fā)布與傳播。

以前公司宣傳多做宣傳冊，但一本宣傳冊充其量做到幾十頁，可網(wǎng)站卻可以做到幾百上千頁。比如在介紹一個項目時，我們在宣傳冊上最多放上一兩張照片，一段簡短的文字介紹，但在網(wǎng)站上卻可以詳細(xì)介紹項目的背景、技術(shù)難度、施工情況等，這種效果顯然比宣傳冊好很多。

4.新的營銷渠道

擴(kuò)大產(chǎn)品的銷售渠道，企業(yè)網(wǎng)站可以滿足一部分客戶網(wǎng)上查詢產(chǎn)品信息與采購的需要，抓住互聯(lián)網(wǎng)商機(jī)，開展電子商務(wù)。網(wǎng)絡(luò)營銷不但可以作為傳統(tǒng)營銷的補(bǔ)充，還可以拓展新的市場空間，接觸更多潛在的消費(fèi)群體。

5.大大降低推廣成本

這是企業(yè)追求的目標(biāo)。與傳統(tǒng)銷售行業(yè)相比，網(wǎng)絡(luò)營銷可以減少很多環(huán)節(jié)，建設(shè)企業(yè)網(wǎng)站不需要花費(fèi)大額的金錢投資，也幾乎沒有任何風(fēng)險性。產(chǎn)品通過網(wǎng)站由公司直接到達(dá)客戶手中，省去了大中小批發(fā)商和零售商，以及中間過程中涉及到的廣告宣傳，物流與倉儲等等，企業(yè)網(wǎng)站分擔(dān)了這部份的人工，節(jié)省市場開發(fā)與業(yè)務(wù)銷售及客戶服務(wù)的成本，縮短銷售體系的距離。最終大大減少了人力物力，節(jié)約了費(fèi)用，降低了成本，還提高了營銷效率。

6.信息的及時更新

網(wǎng)站內(nèi)容可以隨時更新，這點(diǎn)對于現(xiàn)代企業(yè)來說很重要。例如某企業(yè)新接到一個大型或有影響力的項目時，一般很少立刻重印宣傳冊，通常一年或更長時間才更換一次宣傳冊，許多人看到宣傳冊的時候，不僅客戶多了，架構(gòu)變了，甚至連地址、電話都變了，這不能不說令人遺憾，而網(wǎng)站卻可以每天更新(甚至隨時更新)，可以反映你企業(yè)的最新情況。還可以發(fā)布招聘信息，代理加盟信息等等。

7.有利于改善售后服務(wù)

在線服務(wù)能夠更加及時地掌握用戶群體，通過網(wǎng)站的交互式服務(wù)實(shí)現(xiàn)售前、售后的全過程服務(wù)?；ヂ?lián)網(wǎng)的特點(diǎn)在于突破地域限制，可以服務(wù)于全國各地的用戶。同時，網(wǎng)站是一天24小時都一直呈現(xiàn)在顧客面前的。而不像公司的咨詢熱線，服務(wù)電話，只有上班時間才可以聯(lián)系到。下班與節(jié)假日的時候，客戶就無法取得聯(lián)系，導(dǎo)致信息不能得到及時的反饋，也可能會錯過網(wǎng)上訂單。

8.增加客戶的忠誠

企業(yè)建立網(wǎng)站，將信息咨詢站開設(shè)到網(wǎng)上，專人值守，提供信息服務(wù)?？膳c外部建立實(shí)時的、專題的或個別的信息交流渠道。一些企業(yè)在網(wǎng)站上公開電子郵件地址，使客戶能夠通過電子郵件向企業(yè)發(fā)表意見。通過網(wǎng)站可以及時反饋顧客使用產(chǎn)品后的意見，發(fā)現(xiàn)問題，及時解決問題。加強(qiáng)與客戶的溝通，建立與客戶交流的便捷渠道，不但可以傾聽顧客的意見，了解顧客的心聲，還可以加強(qiáng)企業(yè)與顧客間的聯(lián)系，建立良好的關(guān)系。