Web服務器上可能存在的漏洞有以下幾種：

• Web服務器因各種原因而不能返回客戶要訪問的秘密文件、目錄或重要數據。

• 遠程用戶向服務器發送信息時，特別是像信用卡之類的重要信息時，中途遭不法分子非法攔截。

• 入侵者可能突破Web服務器本身存在的一些漏洞，破壞其中的一些重要數據，甚至造成系統癱瘓。

• CGI（Common Gateway Interface，公共網關接口）安全方面存在的漏洞。CGI是Web信息服務與外部應用程序之間交換數據的標準接口。它具有兩個功能：收集從Web瀏覽器發送給Web服務器的信息，并且把這些信息傳送給外部程序；把外部程序的輸出作為Web服務器對發送信息的Web瀏覽器的響應，送給該Web瀏覽器。通過CGI程序，Web服務器真正實現了與Web瀏覽器用戶之間的交互。在HTML文件中，表單（Form）與CGI程序配合使用，共同來完成信息交流的目的。

Web 服務器安全防護措施有：

• 修改服務器遠程端口：更改默認端口，默認端口相對來說是不安全的，建議修改默認遠程端口為隨機 5 位數的端口。

• 禁止不必要的軟件：關閉一些不必要的軟件有助于電腦安全性。

• 設置防火墻并關閉不需要的服務和端口：防火墻是網絡安全的一個重要組成部分，通過過濾不安全的服務而降低風險。安裝服務器時，要選擇綠色安全版的防護軟件，以防有被入侵的可能性。對網站提供服務的服務器，軟件防火墻的安全設置最高，防火墻只要開放服務器端口，其他的一律都關閉，你要訪問網站時防火墻會提示您是否允許訪問，在根據實際情況添加允許訪問列表。這樣至少給系統多一份安全。

• 定時為數據進行備份：定時為數據做好備份，即使服務器被破解，數據被破壞，或者系統出現故障崩潰，你只需要進行重裝系統，還原數據即可，不用擔心數據徹底丟失或損壞。

• 把密碼設置的復雜一點：一但服務器 IP 被掃描出來默認端口，非法分子就會對服務器進行暴力破解，利用第三方字典生成的密碼來嘗試破解服務器密碼，如果您的密碼足夠復雜，非法分子就需要大量的時間來進行密碼嘗試，也許在密碼未破解完成，服務器就已經進入保護模式，不允許登陸。

• 修補已知的漏洞：如果網站出現漏洞時不及時處理，網站就會出現一系列的安全隱患，這使得服務器很容易受到病毒入侵，導致網絡癱瘓，所以，平時要養成良好的習慣，時刻關注是否有新的需修補的漏洞。

nmap掃描漏洞命令如下：

1. http 拒絕服務

    nmap --max-parallelism 800--script http-slowloris scanme.nmap.org

2. IIS 短文件泄露

    nmap -p 8080 --script http-iis-short-name-brute 61.142.64.176

3. ftp弱口令暴力破解

    nmap --script ftp-brute --script-args brute.emptypass=true,ftp-brute.timeout=30,userdb=/root/dirtionary/usernames.txt,brute.useraspass=true,passdb=/root/dirtionary/passwords.txt,brute.threads=3,brute.delay=6 203.195.139.153

4. 檢測CVE-2011-2523中的ftp-vsftpd-backdoor

    nmap -T2 --script ftp-vsftpd-backdoor 211.139.201.240

5. 驗證http中開啟的-methods 方法

    nmap -T3 --script http-methods --script-args http.test-all=true,http.url-path=/www.XXX.com

6. 驗證HTTP.sys 遠程代碼執行

    nmap -sV --script http-vuln-cve2015-1635 203.195.139.153

7. 驗證 SSL POODLE information leak

    nmap -sV -p 443 --version-light --script ssl-poodle 218.19.141.16

8. 驗證http 中開啟了put 方法

    nmap --script http-put --script-args http-put.url=/uploads/testput.txt,http-put.file=/root/put.txt 218.19.141.16

9. 驗證mysql 匿名訪問

    nmap --script mysql-empty-password 203.195.139.153

10. 驗證cve2015-1427 漏洞

    nmap --script http-vuln-cve2015-1427 --script-args command=ls 203.195.139.153

11. 驗證cve2014-8877漏洞

    nmap -Pn --script http-vuln-cve2014-8877 --script-args http-vuln-cve2014-8877.cmd=dir,http-vuln-cve2014-8877.uri=/wordpress 42.96.170.128

12. 驗證Cisco ASA中的CVE-2014-2126,CVE-2014-2127,CVE-2014-21,CVE-2014-2129漏洞

    nmap -p 443 --script http-vuln-cve2014-2126,http-vuln-cve2014-2127,http-vuln-cve2014-2128,http-vuln-cve2014-2129 203.195.139.153

13. 驗證低安全的 SSHv1，sslv2協議

    nmap --script sshv1,sslv2

14. 驗證CVE-2014-0224 ssl-ccs-injection

    nmap -Pn --script ssl-ccs-injection 203.195.139.153

15. 驗證ssl-cert證書問題

    nmap -v -v --script ssl-cert 203.195.139.153

16. 驗證SSL證書的有限期

    nmap -Pn --script ssl-date

17. 驗證CVE-2014-0160 OpenSSL Heartbleed bug

    nmap -p 443 --script ssl-heartbleed,ssl-known-key 203.195.139.153

18. 驗證 Debian OpenSSL keys

    nmap -p 443 --script ssl-known-key 203.195.139.153

19. 驗證弱加密SSL套件

    nmap --script ssl-enum-ciphers 203.195.139.153

20. 驗證CVE 2015-4000

    nmap --script ssl-dh-params

21. 驗證多種SSL漏洞問題

    nmap 203.195.139.153 --vv --script sshv1,ssl-ccs-injection,ssl-cert,ssl-date,ssl-dh-params,ssl-enum-ciphers,ssl-google-cert-catalog,ssl-heartbleed,ssl-known-key,sslv2

22. 在網絡中檢測某主機是否存在竊聽他人流量

    nmap --script sniffer-detect 10.10.167.5

Windows防火墻配置有以下三個選項：

1. 常規選項：可以開戶或關閉windows防火墻，開啟防火墻可以選擇是否阻止所有傳入連接；

2. 例外選項：是防火墻對這些例外的應用程序使用的端口或者自行添加的端口不進行阻止，直接放行，適合于已知安全的應用；

3. 高級選項：可以配置防火墻保護哪些網卡通訊的數據。

國家網絡安全空間遵循以下原則：

• 尊重網絡空間主權

  網絡空間主權不容侵犯，各國應有自主選擇發展的道路、網絡管理模式、互聯網公共政策和平等參與國際網絡空間治理的權利，這是各國都應該遵守的基本原則。任何國家都不搞網絡霸權、不搞雙重標準，不利用網絡干涉他國內政，不從事、縱容或支持危害他國國家安全的網絡活動。

• 和平利用網絡空間

  和平利用網絡空間符合人類的共同利益。各國應遵守《聯合國憲章》關于不得使用或威脅使用武力的原則，防止信息技術被用于與維護國際安全與穩定相悖的目的，共同抵制網絡空間軍備競賽和防范網絡空間沖突。堅持相互尊重、平等相待、求同存異、包容互信，尊重彼此在網絡空間的安全利益和重大關切，推動構建和諧網絡世界。反對以國家安全為借口，利用技術優勢控制他國網絡和信息系統，收集和竊取他國數據，更不能以犧牲別國安全謀求自身所謂絕對安全。

• 各國管理好自己的網絡空間

  各國主權范圍內的網絡事務由各國人民自己做主，各國有權根據本國國情制定有關網絡空間的法律法規，依法采取必要措施，管理本國信息系統及本國疆域上的網絡活動；保護本國信息系統和信息資源免受侵入、干擾、攻擊和破壞，保障公民在網絡空間的合法權益；防范、阻止和懲治危害國家安全和利益的有害信息在本國網絡傳播，維護網絡空間秩序。

• 協調網絡安全與發展

  面對全球性的網絡安全問題，加強國家間的合作對話、溝通與交流是保持信息通暢、行動一致以及消除隔閡、減少對抗的基本手段，除了舉行網絡安全演習、簽訂安全協議以及進行網絡談判之外，各國還應該經常性開展各種合作、對話和交流活動，以政府間、企業間和民間的各種友好研究探討模式，攜手努力，共同遏制信息技術濫用，反對網絡監聽和網絡攻擊，共同維護網絡空間和平安全。

內聯注釋是指任何文本中被編譯器忽略而不執行的注釋，它用于向用戶傳遞一些信息，并且僅用于文檔，用于描述應用程序中命令的用途。注釋可以放在語句中任何關鍵字、參數或標點符號之間的任意位置。本身不參與SQL語句的執行只是用于對用戶或者程序中的注釋。

sql 注入防范措施有以下這些：

• 把應用服務器的數據庫權限降至最低，盡可能地減少 SQL 注入攻擊帶來的危害。

• 避免網站打印出SQL錯誤信息，比如類型錯誤、字段不匹配等，把代碼里的SQL語句暴露出來，以防止攻擊者利用這些錯誤信息進行SQL注入。

• 對進入數據庫的特殊字符（’’尖括號&*;等）進行轉義處理，或編碼轉換。

• 所有的查詢語句建議使用數據庫提供的參數化查詢接口，參數化的語句使用參數而不是將用戶輸入變量嵌入到SQL語句中，即不要直接拼接SQL語句。

• 在測試階段，建議使用專門的 SQL 注入檢測工具進行檢測。網上有很多這方面的開源工具，例如sqlmap、SQLninja等。

• 善用數據庫操作庫，有些庫包可能已經做好了相關的防護，我們只需閱讀其文檔，看是否支持相應的功能即可。

信息系統的安全保護等級是：

• 信息安全等級保護即信息系統根據其在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法利益的危害程度，由低到高劃分為五個等級。分別是:第一級:用戶自主保護級、第二級:系統審計保護級、第三級:安全標記保護級、第四級:結構化保護級、第五級:訪問驗證保護級。

為開展網絡安全等級保護工作，國家制定了一系列等級保護相關標準，其中主要的標準有：

• 計算機信息系統安全保護等級劃分準則(GB 17859-1999)

• 信息安全技術 網絡安全等級保護定級指南(GB/T22240-2020)

• 信息安全技術 網絡安全等級保護實施指南(GB/T25058-2019)

• 信息安全技術 網絡安全等級保護基本要求(GB/T22239-2019)

• 信息安全技術 網絡安全等級保護設計技術要求(GB/T25070-2019)

• 信息安全技術 網絡安全等級保護測評要求(GB/T28448-2019)

• 信息安全技術 網絡安全等級保護測評過程指南(GB/T28449-2018)

WebDAV 收縮溢出漏洞是：

• WebDAV壓縮溢出出現的首要是IIS服務提供提供了對WebDAV的支持，WebDAV可以通過HTTP向用戶提供遠程文件存儲的服務，但是該組件不能充分檢查傳遞給部分系統組件的數據，這樣的遠程攻擊者利用這個漏洞就可以對WebDAV進行攻擊，從而獲得LocalSystem權限，完全控制目標主機。

WebDAV 收縮溢出漏洞成因：

• 通過往程序的緩沖區寫超出其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，造成程序崩潰或使程序轉而執行其它指令，以達到攻擊的目的。造成緩沖區溢出的原因是程序中沒有仔細檢查用戶輸入的參數。例如下面程序： void function(char *str) { char buffer[16]; strcpy(buffer,str); } 上面的strcpy()將直接把str中的內容copy到buffer中。這樣只要str的長度大于16，就會造成buffer的溢出，使程序運行出錯。存在象strcpy這樣的問題的標準函數還有strcat()，sprintf()，vsprintf()，gets()，scanf()等。 當然，隨便往緩沖區中填東西造成它溢出一般只會出現“分段錯誤”（Segmentation fault），而不能達到攻擊的目的。最常見的手段是通過制造緩沖區溢出使程序運行一個用戶shell，再通過shell執行其它命令。如果該程序屬于root且有suid權限的話，攻擊者就獲得了一個有root權限的shell，可以對系統進行任意操作了。

安全密碼管理器有以下類型：

• 基于瀏覽器類型的密碼管理器：這種類型的密碼管理器是基于瀏覽器存儲，將密碼存儲在瀏覽器中使用時瀏覽器幫助填寫密碼，這種類型的管理器因為瀏覽器本身存在風險導致安全性不是很高，但是相比一般存儲方式來說安全，并且這種密碼管理器一般都免費但是無法跨瀏覽器同步和不會對密碼長度進行測量；

• 基于云服務類型的密碼管理器：這種類型的密碼管理器是將密碼存儲在云服務器上，使用密碼時從云服務器上獲取密碼然后進行填寫，因為目前來說云服務器的安全性高所以存儲在云上的密碼相對安全，但因為傳輸過程需要借助網絡也會存在一定風險，但相對瀏覽器類型的密碼管理器安全性大大提升。

• 基于桌面管理類型的密碼管理器：這種類型的密碼管理器是安裝在本地計算機上，完全與互聯網斷開，使用密碼時從本地獲取密碼不借助互聯網也不需要進行傳輸，但是缺點也很明顯就是無法從其他本地設備獲取密碼，并且備份密碼完全靠手工備份比較復雜，雖然這種存儲器的安全性高但還是取決于使用者的安全意識。

內核級木馬一個無進程、無DLL、無啟動項的、集多種Rootkit技術特征的獨立功能遠程控制后門程序。其利用線程注射DLL到系統進程，解除DLL映射并刪除自身文件和啟動項，關機時恢復。主要部分工作在Ring0，因此有很強的隱蔽性和殺傷力。內核Rootkit程序在使得遠程黑客能夠更長期的享有目標機器的底層系統控制權的同時在很大程度上不被殺毒軟件發現，從而對被控主機造成更加嚴重的安全威脅。

內核木馬于傳統應用層木馬隱藏技術有以下區別：

• 進程隱藏：進程隱藏最初技術體系為最簡單的混淆字符隱藏，如系統進程名為svchost.exe，木馬進程名改為svch0st.exe隱藏，緊接著到注冊服務隱藏，dll注入隱藏。現在內核級木馬大部分通過進程控制塊中的活動進程鏈表（ActiveProcessLinks）中摘除自身來達到隱藏，或通過從PspCidTable表中摘除自身等方法來達到隱藏目的。

• 文件隱藏：文件隱藏最初是通過存放于敏感目錄（系統目錄）并混淆文件名來實現，后來有些人通過掛鉤應用層上的FindFirstFile，FindNextFile等API來實現該目的，現在在內核層隱藏文件方法一般試用FSDHook或FSD Inline Hook來實現。

• 自啟動隱藏：自啟動隱藏先后經歷了添加注冊表Run值，修改系統啟動文件，注冊為服務，修改定時程序，感染系統文件技術來實現，現在黑客開始關注于在硬盤固件，bios等地方做手腳來實現自啟動隱藏。

• 通訊隱藏：對于通信隱藏來說，現在有些研究者已經實現了NDIS小端口驅動層的隱藏，不過主流的木馬仍然在TDI層面上通信或者在NDIS中間層上通信。

內網服務器如果對外提供服務則要放在DMZ區，DMZ，是英文“demilitarized zone”的縮寫，中文名稱為“隔離區”，也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區。如果對內提供服務則需要放在Trust區，比如web和郵件服務器放DMZ區，財務，企業文件服務器、辦公服務器就放trust區。

防火墻內部有以下區域的劃分：

• 非受信區域（Untrust）：低級安全區域，安全優先級為 5，通常用來定義 Internet 等不安全的網絡，用于網絡入口線的接入。

• 非軍事化區域（DMZ）：中級安全區域，安全優先級為 50，作為非信任區域與信任區域之間的緩沖區。一般用于放置企業內部服務器。

• 信任區域（Trust）：高級級安全區域，安全優先級為 85，該區域內網絡的受信任程度高，通常用來定義內部用戶所在的網絡。

• 本地區域（Local）：頂級安全區域，安全優先級為 100，local 就是防火墻本身的區域，比如 ping 指令等網際控制協議的回復，需要 local 域的權限，凡是由防火墻主動發出的報文均可認為是從 Local 區域中發出，凡是需要防火墻響應并處理（而不是轉發）的報文均可認為是由 Local 區域接收。

• 管理區域（Management）：頂級安全區域，安全優先級為 100，代表防火墻本身。除了 console 控制接口對設備進行配置，如果防火墻設備可以通過 web 界面配置的話，需要一根雙絞線連接到管理接口，鍵入用戶名和密碼進行配置。

網絡安全等級保護制度的原則有以下這些：

• 自主保護原則：信息系統的安全責任主體是信息系統運營、使用單位及其主管部門。“自主”體現在運營使用單位及其主管部門按照相關標準自主定級、自主保護。在等級保護工作中，信息系統運營使用單位及其主管部門按照相關標準自主定級、自主保護。在等級保護工作中，信息系統運營使用單位和主管部門按照“誰主管誰負責，誰運營誰負責”的原則開展工作，并接受信息安全監管部門對開展等級保護工作的監督。運營使用單位和主管部門是信息系統安全的第一負責人，對所屬信息安全系統安全負有直接責任；公安、保密、密碼部門對運營使用單位和主管部門開展等級保護工作進行監督、檢查、指導，對重要信息系統安全負監管責任。由于重要信息系統的安全運行不僅影響本行業、本單位的生產和工作秩序，也影響國家安全、社會穩定、公共利益，因此，國家需要對重要信息系統的安全進行監管。

• 重點保護原則：重點保護就是要解決我國信息安全面臨的主要威脅和存在的主要問題，實行國家對重要信息系統進行重點安全保障的重大措施，有效體現“適度安全、保護重點”的目的，將有限的財力、物力、人力投放到重要信息系統安全保護中，依據相關標準建設安全保護體系，建立安全保護制度，落實安全責任，加強監督檢查，有效保護重要信息系統安全，有效保護重要信息系統安全，有效提高我國信息系統安全建設的整體水平。優化信息安全資源的配置，重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全。

• 同步建設原則：信息安全建設的特點要求在信息化建設中必須同步規劃、同步實施，信息系統在新建、改建、擴建時應當同步規劃和設計安全方案，投入一定比例的資金建設信息安全設施，保障信息安全與信息化建設相適應，避免重復建設而帶來的資源浪費。

• 動態調整原則：跟蹤信息系統的變化，調整安全保護措施。由于信息系統的應用類型、數量、范圍等會根據實際需要而發生相應調整，當調整和變更的內容發生較大變化時，應當根據等級保護的管理規范和技術標準的要求，重新確定信息系統的安全保護等級，根據信息系統安全保護等級的調整情況，重新實施安全保護。同時，信息安全本身也具有動態性，不是一成不變的，當信息安全技術、外部環境、安全威脅等因素發生變化時，需要信息安全策略、安全措施進行相應的調整，以滿足安全需求的變化。

WSB全稱Windows Sandbox：Windows Sandbox屬于一個沙盤系統，許多人一提到沙盤，就會想到古代打仗時將領們商議戰術時面前的沙盤，只是此沙盤并非彼沙盤，這里說的沙盤，主要是可以幫助用戶建立一個隔離的環境，以便用戶在里邊的所有操作都不會影響到真實系統的沙盤。

在瀏覽網頁的時候，即使安裝了殺毒軟件還是免不了給某些惡意軟件入侵，病毒木馬隨之而來，不但造成資料的損失，而且還會造成帳號被盜等等你不想發生的事件。

經常安裝卸載軟件？這喜好往往造成系統臃腫及混亂不堪。可不可以在安裝使用這些軟件的同時不影響操作系統呢？

安裝程序中帶有病毒，但是我要用到該程序，該怎么辦呢？

破解補丁被殺毒軟件報毒，怎么才能安全使用呢？

有了沙盤的幫助，以上問題就可以迎刃而解了，你可以在沙盤中隨意安裝軟件、瀏覽網頁，甚至激活病毒，不必擔心因此影響系統穩定性與安全性了。

引用一段話：電腦就像一張紙，程序的運行與改動，就像將字寫在紙上。而沙盤就相當于在紙上放了塊玻璃，程序的運行與改動就像寫在了那塊玻璃上，除去玻璃，紙上還是一點改變都沒有的。

WSB啟用：

啟用方法如下：

Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online

等級保護備案到以下部門登記：

• 根據《信息安全等級保護管理辦法》第十五條規定，已運營（運行）或新建的第二級以上信息系統，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統，應當向當地設區的市級以上公安機關備案。

備案依據：

• 《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法（公安部第33號令）》、公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》（以下簡稱《管理辦法》）。

DNS安全是網絡安全的核心，DNS之所以重要原因有二：一是，互聯網絕大多數應用的實際尋址方式，域名技術的再發展、以及基于域名技術的多種應用，豐富了互聯網應用和協議；二是，域名是互聯網上的身份標識，是不可重復的唯一標識資源，互聯網的全球化使得域名成為標識一國主權的國家戰略資源。

DNS安全加固建議

提升DNS系統防護能力。在目前的網絡攻擊中，最讓運維人員頭疼的就是各種針對DNS的攻擊。所有DNS攻擊都需要基于DNS協議來完成，信息化建設在DNS系統防護需采用多維度的DNS協議防護平臺，通過多層次、預先集成的防護策略，提高DNS服務器的性能，確保不會成為網絡中的瓶頸。

加強對DNS系統的實時監控。DNS服務是一項實時性要求非常高的服務，準確全面的監控系統是整個DNS服務的運營基礎。DNS安全監控需要一整套的監控體系，包括網絡流量監控、服務器內核監控模塊、解析監控、服務器集群監控等等。

及時加固DNS及操作系統漏洞補丁。DNS域名系統已采用通用系統平臺及開源軟件如BIND應及時進行漏洞補丁更新，對DNS底層承載系統進行加固，在非必要的情況下關閉除53端口的一切非DNS系統服務端口。并關注軟件商發布的最新安全漏洞，升級軟件系統。以下漏洞為開源ISCBIND存在的高危漏洞，攻擊者可以利用相關漏洞進行攻擊滲透，權限提升、非法數據竊取等操作。

確保域名解析服務的獨立性。運行域名解析服務的服務器上不能同時開啟其他端口的服務。權威域名解析服務和遞歸域名解析服務需要在不同的服務器上獨立提供，限制遞歸服務的服務范圍。

進行DNS訪問控制策略設計，保障安全隔離。網絡層的訪問控制被證明是最有效的（攻擊者很難繞過去）。網絡層訪問控制屬于基礎架構安全，這是最有效最重要的，整個安全防護的基礎。訪問控制策略部署原則要做到明細允許，默認拒絕。

工控安全保障正面臨五大挑戰：

安全失衡。即重發展、輕網絡，重功能安全、輕信息安全。

態勢失察。即資產底數不清、安全態勢不明、風險預警缺乏。

診斷失據。即審查評估無標準、安全防護無指南、測試工具不成熟、診斷環境受限制。

防護失效。由于工控系統的特殊性，導致大量現有的信息安全措施無法直接應用于工控安全防護的工作中。

力量失衡。由于我國工控安全研究力量分散，仍無專注于工控安全的先進的、權威的技術研究與支撐機構，工控安全保障技術體系還不完善，以至于目前對工控安全的態勢感知、有效防控、應急恢復、預測分析技術的保障能力還處于初級水平。