網站安全防護方案
一、導語 網站一直是黑客最喜歡入侵的目標,能產生不錯的收益,入侵方法也不復雜。大量入侵工具的出現,讓小學生也能輕松入侵網站。
而幾乎所有企業網站都存在安全漏洞。因為都是外包給建站公司開發,建站公司只注重功能和時間,不會在安全方面多加考慮。
下面我們講述一下網站安全中的常見漏洞和應對方法,當然最好的解決辦法還是修復程序。
二、SQL注入 SQL注入是利用程序不嚴謹,傳遞一些特殊SQL命令,讀取或篡改數據庫。通過此種手段,黑客可以取得網站后臺權限,再實施新的入侵。
下面我們演示如何不用賬戶密碼登錄后臺。判斷賬戶密碼是否正確的SQL語句一般如下寫:
user=request("user")
password=request("password")
sql="select * from [admin] where user='" & user & "' and password='" & password & "'"
如果在用戶名和密碼輸入框都填寫:x' or 'a'='a
此時SQL語句就變成了:select * from [admin] where user='x' or 'a'='a' and password='x' or 'a'='a'
這樣就可以成功登錄網站后臺,無需正確的用戶名和密碼,是不是很簡單?
防御方法其實也很簡單。
1、增加SQL過濾模塊 從程序自身改進,對傳遞過來的每一個參數都做過濾,過濾掉一些危險字符,如:' " ( ) * [ ] = > < % 空格
再使用以上方法注入時,SQL語句就變成了::select * from [admin] where user='xoraa' and password='xoraa'
程序就能正確判斷用戶名和密碼是否正確,成功防止SQL注入。
2、使用第三方安全系統 從程序自身改進是最好的辦法,但相當的麻煩,也容易疏忽遺漏,給黑客留下機會。最好能再部署第三方安全系統,進行多重防護。
推薦使用“護衛神·入侵防護系統”,自帶過濾詞庫,無需改寫程序,過濾SQL注入。下面為攔截效果圖:


三、上傳漏洞 利用網站在線上傳漏洞,上傳網頁木馬,對網站進行掛馬、掛黑鏈、篡改、生成非法內容等破壞,或者進一步入侵服務器。
這種一般是在線上傳程序沒有判斷權限,以及沒有對上傳的文件存儲時的后綴名和路徑做嚴格限制。有以下幾種解決辦法:
1、修復程序 如果您的網站不是必須使用在線上傳,建議直接刪除相關程序,徹底杜絕在線上傳漏洞。
如果需要使用在線上傳,務必增加權限判斷功能,只有授權的用戶才能上傳。存儲圖片時,強制指定存儲路徑,并限制文件后綴名只能為特定的(如圖片后綴gif、png、jpg)。
2、查殺網頁木馬 在線上傳之所以可怕是因為黑客可能上傳網頁木馬,如果能及時查殺網頁木馬,也就沒什么大問題了。
推薦使用“護衛神·入侵防護系統”,在上傳時和存儲時都會實時查殺網頁木馬,有效查殺99.9%的網頁木馬。對于批量生成垃圾文件這種行為,也能有效防護。效果演示圖如下:


上傳木馬時查殺

存儲木馬時查殺

攔截生成非法內容
3、安全策略 從網站結構入手,不同目錄賦予不同的訪問權限和腳本權限。
如整個網站只給讀權限,需要存儲上傳文件的目錄才給寫權限,再到IIS設置這個目錄沒有腳本權限,讓黑客即使上傳了木馬,也無法運行起來。
這是非常有效的解決辦法,建議再部署“護衛神·網站安全系統”,將游客和管理員分離,并對后臺設置密碼鎖,只有解鎖的用戶才能進入后臺,進一步提升網站安全。
四、跨站入侵 黑客先入侵服務器上的其中一個網站,以此為跳板,再入侵該服務器上的其他網站。一般是站點安全結構不合理導致。
要解決此問題,只需要讓每個站點獨立帳戶運行,再設置網站目錄只有自身匿名賬戶的訪問權限,讓網站相互完全隔離。
如果您不知道怎么設置,建議用“護衛神·主機大師”開設站點,默認就是獨立匿名賬戶運行,徹底防止跨站。
五、Cookies欺騙 很多程序員喜歡用Cookies保持用戶狀態,黑客可以利用相關工具篡改Cookies內容,提升自己為管理員權限。
要解決此問題,只有從程序上入手,可以使用Session存儲用戶身份,防止黑客篡改。
六、暴力破解 又稱窮舉法,指黑客通過軟件,依靠密碼字典,不斷向網站登錄程序處發送字典中的數據;如果管理員的密碼比較簡單,黑客就可能通過此種方式獲取管理員密碼,達到入侵的目的。
解決辦法只有修改程序,在登錄模塊做限制,如果連續登錄錯誤超過幾次,則屏蔽該IP一段時間,達到防護的目的。


以上就是網站常用的入侵方式,總體而言,都可以修改程序解決,但這卻是最難的方法,部署第三方安全系統成了必然之選。
街机千炮捕鱼 深圳风采井盖厂 新彊时时彩最新开奖结果 竞彩足球混合过关6串1 快乐12开奖走势手机版 北京赛车pk开奖直播网 好玩棋牌游戏 幸运农场计划 体彩14场胜负 河北时时彩现场开奖 农村养山鸡赚钱吗 青海快3今天推荐号 股票融资买卖时如何操作 极速11选5开奖网站 重庆时时彩开奖记录下载 娱乐城堡充气滑梯 cpcp彩票群