-
-
- 咨詢熱線:
- 021-37721408
-
- 當(dāng)前位置: 首頁(yè) | 新聞動(dòng)態(tài) | 新聞資訊
-
- 目前網(wǎng)站建設(shè)的安全問(wèn)題
- 添加時(shí)間:2014/2/24 17:02:11 瀏覽次數(shù):4930
-
做網(wǎng)站的目的是網(wǎng)站建設(shè)完成后,網(wǎng)站安全穩(wěn)定的運(yùn)行,以達(dá)到網(wǎng)絡(luò)營(yíng)銷或者品牌宣傳。網(wǎng)站安全是指防止網(wǎng)站受到外來(lái)電腦入侵者對(duì)其網(wǎng)站進(jìn)行掛馬,做程序后門(mén),篡改網(wǎng)頁(yè)內(nèi)容等行為而做出一系列的防御工作。一個(gè)網(wǎng)站設(shè)計(jì)者更多地考慮滿足用戶應(yīng)用,如何實(shí)現(xiàn)業(yè)務(wù),很少考慮網(wǎng)站應(yīng)用開(kāi)發(fā)過(guò)程中所存在的漏洞,這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見(jiàn),大多數(shù)網(wǎng)站設(shè)計(jì)開(kāi)發(fā)者、網(wǎng)站維護(hù)人員對(duì)網(wǎng)站攻防技術(shù)的了解甚少;在正常網(wǎng)站制作使用過(guò)程中,即便存在安全漏洞,正常的使用者并不會(huì)察覺(jué)。
常見(jiàn)問(wèn)題大多數(shù)企業(yè)網(wǎng)站建設(shè),只考慮正常用戶穩(wěn)定使用,但在黑客對(duì)漏洞敏銳的發(fā)覺(jué)和充分利用的動(dòng)力下,做網(wǎng)站存在的這些漏洞就被挖掘出來(lái),成為黑客們直接或間接獲取利益的機(jī)會(huì)。對(duì)于Web應(yīng)用程序的SQL注入漏洞,有試驗(yàn)表明,通過(guò)搜尋1000個(gè)網(wǎng)站取樣測(cè)試,檢測(cè)到有15%的網(wǎng)站存在SQL注入漏洞。
網(wǎng)站建設(shè)防御措施過(guò)于落后,甚至沒(méi)有真正的防御,大多數(shù)防御傳統(tǒng)的基于特征識(shí)別的入侵防御技術(shù)或內(nèi)容過(guò)濾技術(shù),對(duì)保護(hù)網(wǎng)站抵御黑客攻擊的效果不佳。比如對(duì)SQL注入、跨站腳本這種特征不唯一的網(wǎng)站攻擊,基于特征匹配技術(shù)防御攻擊,不能精確阻斷攻擊。因?yàn)楹诳蛡兛梢酝ㄟ^(guò)構(gòu)建任意表達(dá)式來(lái)繞過(guò)防御設(shè)備固化的特征庫(kù),比如:and 1=1 和 and 2=2是一類數(shù)據(jù)庫(kù)語(yǔ)句,但可以人為任意構(gòu)造數(shù)字構(gòu)成同類語(yǔ)句的不同特征。而and、=等這些標(biāo)識(shí)在WEB提交數(shù)據(jù)庫(kù)應(yīng)用中又是普遍存在的表達(dá)符號(hào),不能作為攻擊的唯一特征。因此,這就很難基于特征標(biāo)識(shí)來(lái)構(gòu)建一個(gè)精確阻斷SQL注入攻擊的防御系統(tǒng)。導(dǎo)致目 前有很多黑客將SQL注入成為入侵網(wǎng)站的首選攻擊技術(shù)之一。
安全檢測(cè)一、進(jìn)行網(wǎng)站安全漏洞掃描
由于現(xiàn) 在很多企業(yè)網(wǎng)站都存在sql注入漏洞,上傳漏洞等,而黑客可以通過(guò)網(wǎng)站這些漏洞,進(jìn)行SQL注入進(jìn)行攻擊,通過(guò)漏洞進(jìn)行上傳木馬等。所以網(wǎng)站建設(shè)好后安全檢測(cè)很重要一步就是網(wǎng)站的漏洞檢測(cè),盡量找有經(jīng)驗(yàn)的專業(yè)網(wǎng)站建設(shè)設(shè)計(jì)公司,而不是為了美觀找廣告公司做網(wǎng)站。
二、網(wǎng)站木馬的檢測(cè)網(wǎng)站被掛馬是非常普遍的事情,同時(shí)也是最頭疼的一件事。所以網(wǎng)站安全檢測(cè)中,網(wǎng)站是否被掛馬是很重要的一個(gè)指標(biāo)。
溢尚網(wǎng)絡(luò)科技專業(yè)網(wǎng)站建設(shè)公司溫馨提示:網(wǎng)站被掛馬是嚴(yán)重影響網(wǎng)站的信譽(yù)的,如有被掛馬請(qǐng)暫時(shí)關(guān)閉網(wǎng)站,及時(shí)聯(lián)系做網(wǎng)站的專業(yè)公司清理木馬或木馬鏈接的頁(yè)面地址。
三、結(jié)構(gòu)設(shè)計(jì)
網(wǎng)站建設(shè)結(jié)構(gòu)設(shè)計(jì)是網(wǎng)站設(shè)計(jì)的重要組成部分。在內(nèi)容設(shè)計(jì)完成之后,網(wǎng)站的目標(biāo)及內(nèi)容主題等有關(guān)問(wèn)題已經(jīng)確定。結(jié)構(gòu)設(shè)計(jì)要做的事情就是如何將內(nèi)容劃分為清晰合理的層次體系,比如欄目的劃分及其關(guān)系、網(wǎng)頁(yè)的層次及其關(guān)系、鏈接的路徑設(shè)置、功能在網(wǎng)頁(yè)上的分配等等,以上這些都僅僅是前臺(tái)結(jié)構(gòu)設(shè)計(jì),而前臺(tái)結(jié)構(gòu)設(shè)計(jì)的實(shí)現(xiàn)需要強(qiáng)大的后臺(tái)支撐,后臺(tái)也應(yīng)有良好的結(jié)構(gòu)設(shè)計(jì)以保證前臺(tái)結(jié)構(gòu)設(shè)計(jì)的實(shí)現(xiàn)。顯然網(wǎng)站的結(jié)構(gòu)設(shè)計(jì)是體現(xiàn)內(nèi)容設(shè)計(jì)與創(chuàng)意設(shè)計(jì)的關(guān)鍵環(huán)節(jié)。理清網(wǎng)頁(yè)內(nèi)容及欄目結(jié)構(gòu)的脈絡(luò),使鏈接結(jié)構(gòu)、導(dǎo)航線路層次清晰;內(nèi)容與結(jié)構(gòu)要突出主題。
四、安全措施
1、登錄頁(yè)面加密做好的網(wǎng)站在登錄之后實(shí)施加密有可能有用,把登錄會(huì)話被傳輸?shù)搅艘粋(gè)加密的資源,通常加密方式有MD5加密、數(shù)據(jù)庫(kù)加密等。
2、專業(yè)工具輔助
網(wǎng)站建設(shè)好后用檢測(cè)監(jiān)測(cè)系統(tǒng)針對(duì)網(wǎng)站安全漏洞做檢測(cè),同時(shí)再給出相應(yīng)的防范措施。
3、加密連接管理站點(diǎn)
網(wǎng)站制作中請(qǐng)務(wù)必使用加密的協(xié)議,如SSH等來(lái)訪問(wèn)安全資源,要使用經(jīng)證實(shí)的一些安全工具如某人截獲了你的登錄和口令信息,他就可以執(zhí)行你可做的一切操作。
4、兼容性加密
根據(jù)目前的發(fā)展情況,SSL已經(jīng)不再是企業(yè)網(wǎng)站建設(shè)加密的最先進(jìn)技術(shù)。可以考慮TLS,即傳輸層安全,它是安全套接字層加密的繼承者。要保證你所選擇的任何加密方案不會(huì)限制你的用戶基礎(chǔ)。
5、連接安全網(wǎng)絡(luò)
只要你必須登錄到服務(wù)器或Web站點(diǎn)實(shí)施管理,或訪問(wèn)其它的安全資源時(shí),避免連接安全特性不可知或不確定的網(wǎng)絡(luò),也不要連接一些安全性差勁的網(wǎng)絡(luò),如一些未知的開(kāi)放的無(wú)線訪問(wèn)點(diǎn)等。
6、不共享登錄信息
共享登錄機(jī)要信息會(huì)引起諸多安全問(wèn)題。這不但適用于網(wǎng)站管理員或Web服務(wù)器管理員,還適用于在網(wǎng)站擁有登錄口令的人員,客戶最好不應(yīng)把登錄口令保存在電腦上共享其登錄憑證。
7. 采用基于密鑰的認(rèn)證而不是口令認(rèn)證
口令認(rèn)證要比基于密鑰的認(rèn)證更容易被攻破。設(shè)置口令的目的是在需要訪問(wèn)一個(gè)安全的資源時(shí)能夠更容易地記住登錄信息。不過(guò)如果使用基于密鑰的認(rèn)證,并僅將密鑰復(fù)制到預(yù)定義的、授權(quán)的系統(tǒng),你將會(huì)得到并使用一個(gè)更強(qiáng)健的難于破解的認(rèn)證憑證。
8. 維護(hù)一個(gè)安全的工作站
如果你從一個(gè)客戶端系統(tǒng)連接到一個(gè)安全的資源站點(diǎn),而你又不能完全保證其安全性,你就不能保證某人并沒(méi)有在監(jiān)聽(tīng)你所做的一切。因此鍵盤(pán)記錄器、受到惡意損害的網(wǎng)絡(luò)加密客戶以及黑客們的其它一些破壞安全性的伎倆都會(huì)準(zhǔn)許某個(gè)未得到授權(quán)的個(gè)人訪問(wèn)敏感數(shù)據(jù),而不管網(wǎng)絡(luò)是否有安全措施,是否采用加密通信,也不管你是否部署了其它的網(wǎng)絡(luò)保護(hù)。因此保障工作站的安全性是至關(guān)重要的。
9. 運(yùn)用冗余性保護(hù)網(wǎng)站
備份和服務(wù)器的失效轉(zhuǎn)移可有助于維持最長(zhǎng)的正常運(yùn)行時(shí)間。雖然失效轉(zhuǎn)移可以極大地減少服務(wù)器的宕機(jī)時(shí)間,但這并不是冗余性的唯一價(jià)值。用于失效轉(zhuǎn)移計(jì)劃中的備份服務(wù)器可以保持服務(wù)器配置的最新,這樣在發(fā)生災(zāi)難時(shí)你就不必從頭開(kāi)始重新構(gòu)建你的服務(wù)器。
10. 確保對(duì)所有的系統(tǒng)都實(shí)施強(qiáng)健的安全措施,而不僅運(yùn)用特定的Web安全措施
在這方面,可以采用一些通用的手段,如采用強(qiáng)口令,采用強(qiáng)健的外圍防御系統(tǒng),及時(shí)更新軟件和為系統(tǒng)打補(bǔ)丁,關(guān)閉不使用的服務(wù),使用數(shù)據(jù)加密等手段保證系統(tǒng)的安全等。
11、利用防火墻防護(hù)網(wǎng)站安全
例如使用操作系統(tǒng)自帶的Internet連接防火墻(ICF),檢查出入防火墻的所有數(shù)據(jù)包,決定攔截或是放行那些數(shù)據(jù)包。防火墻可以是一種硬件、固件或者軟件,例如專用防火墻設(shè)備、就是硬件形式的防火墻,包過(guò)濾路由器是嵌有防火墻固件的路由器,而代理服務(wù)器等軟件就是軟件形式的防火墻。
12、運(yùn)用網(wǎng)站監(jiān)控措施
網(wǎng)站監(jiān)控是通過(guò)軟件或者網(wǎng)站監(jiān)控服務(wù)提供商對(duì)網(wǎng)站進(jìn)行監(jiān)控以及數(shù)據(jù)的獲取從而達(dá)到網(wǎng)站的排錯(cuò)和數(shù)據(jù)的分析。
13、空間的安全性
網(wǎng)站建設(shè)公司都知道網(wǎng)站空間的穩(wěn)定性,是網(wǎng)站健康運(yùn)行的根本,如果一個(gè)黑客對(duì)企業(yè)網(wǎng)站進(jìn)行一點(diǎn)的操作那就麻煩了對(duì)整個(gè)網(wǎng)站。所以空間的選擇一般要求空間服務(wù)商比較有實(shí)力和空間運(yùn)行比較穩(wěn)定的公司來(lái)維護(hù)以及選擇。
14、語(yǔ)言程序的選擇
網(wǎng)站制作沒(méi)有那種語(yǔ)言誠(chéng)信是決定安全的,具體的看網(wǎng)站的具體要求。不過(guò)現(xiàn)在企業(yè)網(wǎng)站建設(shè)一般都采用Asp,維護(hù)方便,升級(jí)成本低。
15、限制權(quán)限及時(shí)安裝系統(tǒng)補(bǔ)丁
溢尚網(wǎng)絡(luò)科技網(wǎng)站建設(shè)專家建議一般網(wǎng)站安全設(shè)置最好把寫(xiě)入權(quán)限關(guān)閉,因?yàn)檫@樣對(duì)方就篡改不了網(wǎng)站的文本信息了,及時(shí)更新系統(tǒng)補(bǔ)丁,服務(wù)器做好安全權(quán)限,如果網(wǎng)站用的別人的程序定期查看是否有補(bǔ)丁推出。
16、域名劫持監(jiān)控服務(wù)
存在域名劫持攻擊手段,在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求,分析請(qǐng)求的域名,把審查范圍以外的請(qǐng)求放行,否則直接返回假的IP地址或者什么也不做使得請(qǐng)求失去響應(yīng),使得對(duì)于特定的網(wǎng)址不能訪問(wèn)或訪問(wèn)的是假網(wǎng)址。針對(duì)這一攻擊手段,對(duì)域名解析進(jìn)行監(jiān)測(cè),一旦發(fā)現(xiàn)用戶網(wǎng)站訪問(wèn)域名出現(xiàn)被攻擊劫持現(xiàn)象,立刻恢復(fù)故障。
關(guān)于企業(yè)網(wǎng)站建設(shè)制作、網(wǎng)站托管維護(hù)、網(wǎng)頁(yè)策劃設(shè)計(jì)、網(wǎng)站改版推廣、平面標(biāo)志logo設(shè)計(jì)、企業(yè)畫(huà)冊(cè)設(shè)計(jì)、手機(jī)網(wǎng)站開(kāi)發(fā)、視頻主持人制作,微網(wǎng)站搭建、微信服務(wù)號(hào)和訂閱號(hào)的申請(qǐng)及欄目的二次開(kāi)發(fā)、域名注冊(cè)、網(wǎng)站空間解析等相關(guān)的一切,不管您遇到什么,需要什么,只需要一個(gè)電話,上海溢尚網(wǎng)絡(luò)科技有限公司都可以為您解決! 熱線:021-37721408
- 已經(jīng)是第一條數(shù)據(jù)了 下一條:針對(duì)微信的廣泛應(yīng)用,公司新開(kāi)發(fā)了微網(wǎng)站
