保护域名安全从防范做起WEB安全

保护域名安全从防范做起WEB安全（精选4篇）

篇1：保护域名安全从防范做起WEB安全

一、用户ID被盗大多数因邮箱被盗

经过我们的统计，用户ID被盗大都数情况下是由于邮箱不慎被盗，导致 有机可趁，盗窃邮箱主要通过盗窃密码。

二、用户ID被盗之后域名安全问题

1、用户ID被盗后，该ID所拥有的域名在不被进行交易的情况下，域名属于安全范围，因为易名中国不会允许域名只有转出，比如只能将转移密码发送到该id所捆绑的手机号码上，而如果要通过人工转出，则需要将申请表填好，连同身份证件等一起寄给我们，我们才将转移密码给到对方email里，在这个时候只要用户及时发现，域名很快就能追回。

2、被盗ID用户没有及时发现被盗情况下，盗窃者拥有充分的时间进行域名交易，导致其他用户购买到“黑货”，域名已经属于他人。我们只允许一个域名在7天内转移一次会员号，只要在7天内发现被盗，还是可以比较快解决，虽然这个时候追回域名，比较麻烦，因为已经涉及到第三方用户，有可能给他人造成损失。

3、他人(身份真实合法的用户)购买到此域名后，域名所有人身份变更，该域名已经变成他人名下的域名，他人拥有对该域名使用权，就可以合法转移其他注册商名下。当域名转移到其它注册商以后，就超出了易名中国的管辖范围，这时候很可能已经造成了无法挽回的损失了。

三、目前发现的盗窃伎俩

1、通过各种途径猜测或 ，如网友作案、通过whois信息猜测密码、用户在陌生小网站、bbs等有填过若干注册信息，都能成为获取密码的途径。

2、通过上述途径盗取邮箱密码(目前以一些126等安全性并不是很高的免费邮箱为主要偷盗对象)，通过邮箱盗取了用户id。

3、直接用电话打到用户的手机或家里，假装某个机构做调查询问某亲人的名字之类的问题，实质是套话，套取安全问题操作保护的问题答案，

四、易名中国域名安全体系

易名中国的安全机制是目前国内最全的安全体系，除了上次登陆信息提示、操作日志查询、安全问题操作保护之外，还开通手机绑定提醒验证服务，用户做好这些安全设置，可以有效地保护域名不落入他人之手。

发现域名异常、被盗等情况并且上报易名中国以后，易名中国核实后将启动应急程序，立即冻结该用户ID及域名的转出、拍卖、交易等一切活动，避免或减少用户的损失。

五、建议保护域名安全从防范做起

1、保护域名安全应从防范做起，易名中国用户系统安全机制设置步骤并不复杂，但却是最有力的防范系统，为了域名安全，用户应不怕繁琐，做好每一步防范工作，以免造成更大的损失和麻烦。我们建议用户请尽快绑定手机，开通绑定提醒验证服务。设置相应的短信信息，随时把握自己帐户和域名的动态，及时跟踪用户活动信息，避免用户被盗多时或域名被 转出、交易而不知情，造成无法估量的损失。这样即使有其它方面的疏忽导致帐户被盗，也能第一时间收到消息，尽快处理以减少损失。

2、用户应时刻保持警惕，不轻易向他人透露邮箱密码、身份证信息、用户ID、设置问题答案等一切信息，以免被他人盗取邮箱、用户ID密码。警惕陌生电话，提高家人、朋友、老人的警惕意识，避免因疏忽而造成信息泄露。

3、设置邮箱密码、安全问题不宜过于简单或容易推测，不要使用身份证号、生日、手机、电话号码等做为密码，不同的系统、邮箱、QQ、msn或其它民间论坛，请使用不同的密码。

篇2：保护域名安全从防范做起WEB安全

汶川和玉树的自然灾害给当地的人们造成了很大伤害，大地震中伤亡了很多生命，包括在学校里学习的学生，使我们这些不是灾区的小朋友心里也增添了很多不安，保护生命 从安全做起

。为了提高同学们的.自我安全意识，学会自救逃生本领，我们南街小学在3月18号举行了一场别开生面、紧张刺激的安全逃生演练。老师在第二节给我们讲了一些安全演练的基本要求和注意事项：要统一行动，一切行动听指挥;撤离时不准带任何东西;为了便于老师指挥，演练过程大家必须保持安静······我和大家听得都很认真，但是我的心里还是好像揣着一只小兔子似的怦怦直跳，生怕自己在逃生的过程中不小心摔倒了下午第三节上课，校长洪亮的声音代替了熟悉的上课铃声： “一楼同学到操场集合!”紧张危险的气氛立刻象羊群中的瘟疫一样，传染了整个校园，

篇3：浅谈WEB应用安全问题及防范

关键词：web应用,开放性,安全问题,Web防火墙

随着信息资源逐渐向数据高度集中的模式, Web成为一种普适平台, Web应用成为了越来越多的企业或学校进行核心业务及信息管理的承载者。Web应用提供了丰富的开放资源和高效率的新工作方式, 但它的开放性、易用性和易开发性同样也使Web应用的安全问题日益突出, 已成为了网络安全核心问题之一。

1 Web应用的工作原理和特点

Web应用程序首先是“应用程序”, 和用标准的程序语言, 如C、C++等编写出来的程序没有什么本质上的不同。然而Web应用程序又有自己独特的地方, 就是它是基于Web的, 而不是采用传统方法运行的。

目前广泛使用的Web应用程序一般是B/S模式, 使用标准的三层架构模型:第一层是客户端;使用动态Web内容技术的部分属于中间层;数据库是第三层。在B/S模式中, 客户端运行浏览器软件。浏览器以超文本形式向Web服务器提出访问数据库的要求, Web服务器接受客户端请求后, 将这个请求转化为SQL语法, 并交给数据库服务器, 数据库服务器得到请求后, 验证其合法性, 并进行数据处理, 然后将处理后的结果返回给Web服务器, Web服务器再一次将得到的所有结果进行转化, 变成HTML文档形式, 转发给客户端浏览器以友好的Web页面形式显示出来。

因此, Web应用具有以下特点:

1.1 易用性

Web应用所基于的Web浏览器的界面都很相似, 对于无用户交互功能的页面, 用户接触的界面都是一致的, 因此Web应用的操作简单易上手。

1.2 开放性

在Web应用的B/S模式下, 除了内部人员可以访问, 外部的用户亦可通过通用的浏览器进行访问, 并且不受浏览器的限制。

1.3 易扩展性

由于Web的平台无关性, B/S模式结构可以任意扩展, 可以从一台服务器、几个用户的工作组级扩展成为拥有成千上万用户的大型系统。

2 WEB应用主要安全问题

由于Web应用的特点, 其受到的网络安全问题也与日俱增, 根据统计, 主要的安全问题有以下几种:

2.1 Web平台软件的不安全性

Web平台软件包括Web应用使用的操作系统、HTTP底层服务器软件和第三方应用程序等, 这些软件配置中往往存在很多安全问题, 攻击者使用扫描工具检测到漏洞并加以利用, 导致后端系统的攻陷, 包括数据库和企业内部网络。

2.2 拒绝服务攻击

因为IP地址不能作为请求来源的判断依据, 没有可靠的办法判断出一个HTTP请求从哪里来, 难以过滤恶意的访问, 所以很容易受到拒绝服务攻击, 攻击者发送多个类似请求, 使数据库链接池消耗, 导致合法用户不能使用服务, 也就是拒绝服务攻击。

2.3 SQL注入

SQL注入, 是指通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串, 最终达到欺骗服务器执行恶意的SQL命令。主要是针对Web应用在数据被输入程序前忽略对数据合法性的检验这样一个常见的编程漏洞, 以此操纵SQL代码来套取用户的用户名、密码等信息, 或对后台数据进行窃取和破坏。

2.4 跨站脚本攻击

跨站脚本, 是指一种迫使Web站点回显可执行代码的攻击技术, 而这些可执行代码由攻击者提供, 最终为用户浏览器加载。不同于大多数攻击 (一般攻击只设计攻击者和受害者) , 跨站脚本设计到三方, 即攻击者、客户端与网站。主要是针对Web应用服务器端的通用网关接口 (CGI) 程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换并允许往Web页面插入HTML代码这样一个漏洞, 从而盗取客户端的cookie或者其他网站用于识别客户端身份的敏感信息。

3 web应用的防范

对于Web应用常见的安全问题, 一般的防范方法主要是通过Web应用的网站管理人员进行设置。例如, 设置对用户输入数据的合法性进行检验, 通过正则表达式, 限制数据提交长度;或是对数据库连接进行权限分类设置, 为每个应用使用单独的有限数据库连接。

作为常用的网络安全防护工具, 传统防火墙在Web应用安全问题中无法起到有效作用。因为传统防火墙的工作原理是, 对于Web服务器对外部网络开放的HTTP应用端口方式防护效果甚微。

同时, 随着对Web应用安全的日益关注, 越来越多的厂商在进行针对Web应用安全问题的专用防火墙———Web应用防火墙 (WAF) 的研发, 市面上也已出现多种Web应用防火墙产品, 并投入使用检验效果。

不同于传统防火墙在网络层通过地址转换、访问控制以及状态检测等功能进行防护的工作原理, WAF位于Web客户端和Web服务器之间, 分析应用程序层的通信, 从而发现违反预先定义好的安全策略的行为, 具备事前预防、事中防护及事后补偿的综合能力。

Web应用防火墙针对Web应用安全问题具有以下特点:

3.1 异常检测协议

Web应用防火墙会对HTTP的请求进行异常检测, 拒绝不符合HTTP标准的请求, 并且它也可以只允许HTTP协议的部分选项通过, 从而减少攻击的影响范围。甚至, 一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

3.2 增强的输入验证

增强输入验证, 可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为, 从而减小Web服务器被攻击的可能性。

3.3 及时补丁

修补Web安全漏洞, 是Web应用开发者最头痛的问题, 没人会知道下一秒有什么样的漏洞出现, 会为Web应用带来什么样的危害。现在WAF可以为我们做这项工作了———只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。

3.4 基于规则的保护和基于异常的保护

基于规则的保护可以提供各种Web应用的安全规则, WAF生产商会维护这个规则库, 并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型, 并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到, 可现实中这是十分困难的一件事情。

3.5 状态管理

WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件 (比如登陆失败) , 并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。

3.6 其他防护技术

WAF还有一些安全增强的功能, 可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。

Web应用防火墙的发展目前有两个方向, 其一向高性能专业设备的方面发展, 其二是朝Web应用综合网关的方面发展。梭子鱼公司技术总监谷新给出了自己对传统防火墙与Web应用防火墙的解读, 他认为传统防火墙和WEB应用防火墙的本质区别在于, 前者只是针对网络协议的第三层网络层、第四层传输层的访问控制和攻击防御, 而后者深入到应用层对所有应用信息进行过滤, 是专门为保护基于Web的应用程序而设计的。

4 小结

Web应用安全已是网络时代给我们带来的新的考验, 也是急待解决的问题。目前, 针对Web应用安全问题而研发的专用防火墙———WAF仍处于起步阶段, 防范技术尚未统一, 但也取得了一定的防范效果。相信在日益完善的防护技术发展下, Web应用安全问题能够取得更大的突破。

参考文献

[1]戚永涵.Web应用安全弱点的解析与防范[J]IT与网络, 2010, 07:119.

[2]吴海燕.高国柱.苗春雨.数字校园Web应用安全问题研究[J].中山大学学报, 2009, 03 (48) :358-361.

[3]孙继红.Web应用安全的研究[J].信息科学, 2009, 12 (10) :94-96.

篇4：浅谈WEB应用安全问题及防范

关键词：web应用 开放性 安全问题 Web防火墙

随着信息资源逐渐向数据高度集中的模式，Web成为一种普适平台，Web应用成为了越来越多的企业或学校进行核心业务及信息管理的承载者。Web应用提供了丰富的开放资源和高效率的新工作方式，但它的开放性、易用性和易开发性同样也使Web应用的安全问题日益突出，已成为了网络安全核心问题之一。

1 Web应用的工作原理和特点

Web应用程序首先是“应用程序”，和用标准的程序语言，如C、C++等编写出来的程序没有什么本质上的不同。然而Web应用程序又有自己独特的地方，就是它是基于Web的，而不是采用传统方法运行的。

目前广泛使用的Web应用程序一般是B/S模式，使用标准的三层架构模型：第一层是客户端；使用动态Web内容技术的部分属于中间层；数据库是第三层。在B/S模式中，客户端运行浏览器软件。浏览器以超文本形式向Web服务器提出访问数据库的要求，Web服务器接受客户端请求后，将这个请求转化为SQL 语法，并交给数据库服务器，数据库服务器得到请求后，验证其合法性，并进行数据处理，然后将处理后的结果返回给Web服务器，Web服务器再一次将得到的所有结果进行转化，变成HTML文档形式，转发给客户端浏览器以友好的Web页面形式显示出来。

因此，Web应用具有以下特点：

1.1 易用性

Web应用所基于的Web浏览器的界面都很相似，对于无用户交互功能的页面，用户接触的界面都是一致的，因此Web应用的操作简单易上手。

1.2 开放性

在Web应用的B/S模式下，除了内部人员可以访问，外部的用户亦可通过通用的浏览器进行访问，并且不受浏览器的限制。

1.3 易扩展性

由于Web的平台无关性，B/S模式结构可以任意扩展，可以从一台服务器、几个用户的工作组级扩展成为拥有成千上万用户的大型系统。

2 WEB应用主要安全问题

由于Web应用的特点，其受到的网络安全问题也与日俱增，根据统计，主要的安全问题有以下几种：

2.1 Web平台软件的不安全性

Web平台软件包括Web应用使用的操作系统、HTTP底层服务器软件和第三方应用程序等，这些软件配置中往往存在很多安全问题，攻击者使用扫描工具检测到漏洞并加以利用，导致后端系统的攻陷，包括数据库和企业内部网络。

2.2 拒绝服务攻击

因为IP地址不能作为请求来源的判断依据，没有可靠的办法判断出一个HTTP请求从哪里来，难以过滤恶意的访问，所以很容易受到拒绝服务攻击，攻击者发送多个类似请求，使数据库链接池消耗，导致合法用户不能使用服务，也就是拒绝服务攻击。

2.3 SQL注入

SQL注入，是指通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。主要是针对Web应用在数据被输入程序前忽略对数据合法性的检验这样一个常见的编程漏洞，以此操纵SQL代码来套取用户的用户名、密码等信息，或对后台数据进行窃取和破坏。

2.4 跨站脚本攻击

跨站脚本，是指一种迫使Web站点回显可执行代码的攻击技术，而这些可执行代码由攻击者提供，最终为用户浏览器加载。不同于大多数攻击（一般攻击只设计攻击者和受害者），跨站脚本设计到三方，即攻击者、客户端与网站。主要是针对Web应用服务器端的通用网关接口（CGI）程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换并允许往Web页面插入HTML代码这样一个漏洞，从而盗取客户端的cookie或者其他网站用于识别客户端身份的敏感信息。

3 web应用的防范

对于Web应用常见的安全问题，一般的防范方法主要是通过Web应用的网站管理人员进行设置。例如，设置对用户输入数据的合法性进行检验，通过正则表达式，限制数据提交长度；或是对数据库连接进行权限分类设置，为每个应用使用单独的有限数据库连接。

作为常用的网络安全防护工具，传统防火墙在Web应用安全问题中无法起到有效作用。因为传统防火墙的工作原理是，对于Web服务器对外部网络开放的HTTP应用端口方式防护效果甚微。

同时，随着对Web应用安全的日益关注，越来越多的厂商在进行针对Web应用安全问题的专用防火墙——Web应用防火墙（WAF）的研发，市面上也已出现多种Web应用防火墙产品，并投入使用检验效果。

不同于传统防火墙在网络层通过地址转换、访问控制以及状态检测等功能进行防护的工作原理，WAF位于Web客户端和Web服务器之间，分析应用程序层的通信，从而发现违反预先定义好的安全策略的行为，具备事前预防、事中防护及事后补偿的综合能力。

Web应用防火墙针对Web应用安全问题具有以下特点：

3.1 异常检测协议

Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求，并且它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。甚至，一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

3.2 增强的输入验证

增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为，从而减小Web服务器被攻击的可能性。

3.3 及时补丁

修补Web安全漏洞，是Web应用开发者最头痛的问题，没人会知道下一秒有什么样的漏洞出现，会为Web应用带来什么样的危害。现在WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。

3.4 基于规则的保护和基于异常的保护

基于规则的保护可以提供各种Web应用的安全规则，WAF生产商会维护这个规则库，并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型，并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到，可现实中这是十分困难的一件事情。

3.5 状态管理

WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败)，并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。

3.6 其他防护技术

WAF还有一些安全增强的功能，可以用来解决WEB程序员过分信任输入数据带来的问题。比如：隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。

Web应用防火墙的发展目前有两个方向，其一向高性能专业设备的方面发展，其二是朝Web应用综合网关的方面发展。梭子鱼公司技术总监谷新给出了自己对传统防火墙与Web应用防火墙的解读，他认为传统防火墙和WEB应用防火墙的本质区别在于，前者只是针对网络协议的第三层网络层、第四层传输层的访问控制和攻击防御，而后者深入到应用层对所有应用信息进行过滤，是专门为保护基于Web的应用程序而设计的。

4 小结

Web应用安全已是网络时代給我们带来的新的考验，也是急待解决的问题。目前，针对Web应用安全问题而研发的专用防火墙——WAF仍处于起步阶段，防范技术尚未统一，但也取得了一定的防范效果。相信在日益完善的防护技术发展下，Web应用安全问题能够取得更大的突破。

参考文献：

[1]戚永涵.Web应用安全弱点的解析与防范[J]IT与网络，2010，07：119.

[2]吴海燕.高国柱.苗春雨.数字校园Web应用安全问题研究[J].中山大学学报，2009，03(48):358-361.

[3]孙继红.Web应用安全的研究[J].信息科学，2009，12(10):94-96.

[4]陈广成.拿什么拯救Web时代的安全危机[J].网络与信息，2011(04).