方法一:構(gòu)建安全服務(wù)器環(huán)境,嚴(yán)防先進(jìn)道鎖
據(jù)陜西地震局一位負(fù)責(zé)
網(wǎng)站維護(hù)的技術(shù)人員告訴記者,陜西地震網(wǎng)遭受到了黑客攻擊,*頁(yè)顯示的“網(wǎng)站出現(xiàn)重大安全漏洞”的信息屬黑客發(fā)布的虛假信息,而目前網(wǎng)站運(yùn)行安全,并未出現(xiàn)技術(shù)漏洞。我們?cè)谧l責(zé)“地震黑客”的同時(shí),也在思考另一個(gè)問(wèn)題,怎么樣來(lái)保障我們的網(wǎng)站安全運(yùn)行?對(duì)此問(wèn)題,記者走訪了國(guó)內(nèi)中小型網(wǎng)站安全防范問(wèn)題專(zhuān)家。
據(jù)介紹:構(gòu)建安全服務(wù)器環(huán)境,構(gòu)筑黑客攻擊先進(jìn)鏈條。但構(gòu)建安全的服務(wù)器環(huán)境來(lái)抵御“黑客”攻擊,其涉及面相當(dāng)廣,但就中小型網(wǎng)站而言,大致可從三個(gè)方面來(lái)進(jìn)行:(一)技術(shù)層面:采用軟硬件防火墻、殺毒軟件、頁(yè)面防篡改系統(tǒng)來(lái)建立一個(gè)結(jié)構(gòu)上較完善的Web服務(wù)器環(huán)境;(二)服務(wù)方面,進(jìn)行網(wǎng)絡(luò)拓?fù)浞治?、建立中心機(jī)房管理制度、建立操作系統(tǒng)以及防病毒軟件定期升級(jí)機(jī)制、對(duì)重要服務(wù)器的訪問(wèn)日志進(jìn)行備份,通過(guò)這些服務(wù),增強(qiáng)網(wǎng)絡(luò)的抗干擾性;(三)支持方面,要求服務(wù)商提供故障排除服務(wù),以提高網(wǎng)絡(luò)的性。
但目前大多數(shù)中小型網(wǎng)站都是以虛擬主機(jī)的形式托管的,要提高網(wǎng)站安全性,降0黑客攻擊風(fēng)險(xiǎn),網(wǎng)站管理員就應(yīng)及時(shí)給自己的網(wǎng)站程序打上較新的補(bǔ)丁,在開(kāi)發(fā)的時(shí)候應(yīng)加強(qiáng)安全意識(shí),注意防止注入漏洞、上傳漏洞等問(wèn)題,同時(shí)把
網(wǎng)站托管在技術(shù)實(shí)力強(qiáng)、安全系數(shù)高、能主動(dòng)幫客戶(hù)解決安全的服務(wù)商處,以網(wǎng)站安全運(yùn)行環(huán)境的安全。
方法二:重視網(wǎng)站系統(tǒng)安全,布控第二把鎖
構(gòu)建安全服務(wù)器的環(huán)境,只是從外圍進(jìn)行阻擊“黑客”的攻擊,但更重要的還是要保障網(wǎng)站系統(tǒng)安全,防止黑客利用系統(tǒng)漏洞進(jìn)行攻擊,從而威脅網(wǎng)站安全。
據(jù)動(dòng)易公司網(wǎng)絡(luò)安全專(zhuān)家介紹:根據(jù)2007年OWASP組織發(fā)布的Web應(yīng)用程序脆弱性10大排名的統(tǒng)計(jì)結(jié)果表明,跨站腳本、注入漏洞、跨站請(qǐng)求偽造、信息泄露等方面的問(wèn)題仍然是目前黑客流行的攻擊方式,而其中尤以SQL注入攻擊和跨站腳本攻擊為重,所謂的SQL注入攻擊就是利用程序員在編寫(xiě)代碼時(shí)沒(méi)有對(duì)用戶(hù)輸入數(shù)據(jù)的合法性進(jìn)行判斷,導(dǎo)致入侵者可以通過(guò)插入并執(zhí)行惡意SQL命令,獲得數(shù)據(jù)讀取和修改的權(quán)限;而跨站腳本攻擊則是通過(guò)在網(wǎng)頁(yè)中加入惡意代碼,當(dāng)訪問(wèn)者瀏覽網(wǎng)頁(yè)時(shí),惡意代碼會(huì)被執(zhí)行或者通過(guò)給管理員發(fā)信息的方式誘使管理員瀏覽,從而獲得管理員權(quán)限,控制整個(gè)網(wǎng)站。
那么,對(duì)這種黑客攻擊方式有沒(méi)有有效的安全手段進(jìn)行阻擊呢?據(jù)悉,在SiteFactory?內(nèi)容管理系統(tǒng)開(kāi)發(fā)中,針對(duì)各種攻擊方式都制定了相應(yīng)完整的防御方案,并且借助ASP.NET的特性和功能,可以有效的抵制惡意用戶(hù)對(duì)網(wǎng)站進(jìn)行的攻擊,提高網(wǎng)站的安全性,但就針對(duì)目前SQL注入攻擊和跨站腳本攻擊,其更加有效的阻擊手段是什么呢?為此,我們向動(dòng)易網(wǎng)絡(luò)安全專(zhuān)家了解,他向我們介紹了一些安全手段:
(一)對(duì)于SQL注入攻擊:動(dòng)易系統(tǒng)采用對(duì)SQL查詢(xún)語(yǔ)句中的查詢(xún)參數(shù)進(jìn)行過(guò)濾;使用類(lèi)型安全的SQL參數(shù)化查詢(xún)方式,從根本上解決SQL注入的問(wèn)題;URL參數(shù)類(lèi)型、數(shù)量、范圍限制功能,解決惡意用戶(hù)通過(guò)地址欄惡意攻擊的問(wèn)題等,這些手段是控制SQL注入的,還包括其它的一些過(guò)濾處理,和其它的對(duì)用戶(hù)輸入數(shù)據(jù)的驗(yàn)證來(lái)防止SQL注入攻擊。
(二):對(duì)于跨站腳本攻擊:在對(duì)于不支持HTML的內(nèi)容直接實(shí)行編碼處理的辦法,來(lái)從根本上解決跨站問(wèn)題。而對(duì)于支持Html的內(nèi)容,我們有專(zhuān)門(mén)的過(guò)濾函數(shù),會(huì)對(duì)數(shù)據(jù)進(jìn)行安全處理(依據(jù)XSS攻擊庫(kù)的攻擊實(shí)例),雖然這種方式目前是安全的,但不代表以后也一定是安全的,因?yàn)楣羰侄螘?huì)不斷翻新,我們的過(guò)濾函數(shù)庫(kù)也會(huì)不斷更新。
另外對(duì)于外站訪問(wèn)和直接訪問(wèn)我們也做了判斷,從一定程度上也可以避免跨站攻擊。即使出現(xiàn)了了跨站攻擊,我們也會(huì)將攻擊的影響減到較?。阂?、對(duì)于后臺(tái)一些會(huì)顯示HTML內(nèi)容的地方,通過(guò)frame的安全屬性security="restricted"來(lái)阻止腳本的運(yùn)行(IE有效);二、使用Cookie的HttpOnly屬性來(lái)防止Cookie通過(guò)腳本泄密(IE6SP1以上、Firefox3);三、身份驗(yàn)證票據(jù)都是加密過(guò)的;四、推薦使用更高版本的IE或者FF。
網(wǎng)頁(yè)題目:中小型網(wǎng)站的安全防范問(wèn)題
本文路徑:http://muchs.cn/article8/seieop.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站導(dǎo)航、企業(yè)建站、商城網(wǎng)站、用戶(hù)體驗(yàn)、動(dòng)態(tài)網(wǎng)站、網(wǎng)站營(yíng)銷(xiāo)
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源:
創(chuàng)新互聯(lián)