• 广州端午假期揽客近600万人次 旅游收入37.48亿 2019-09-17
  • 外媒:火星巨大尘暴遮蔽阳光 致“机遇”号火星车失联 2019-09-17
  • 中国经济充当了世界经济发展的火车头。但是,作为世界经济火车头的中国,在世界主要经济体股市都走牛的情况下,为何熊途漫漫?这种不正常的现象,背后是我们资本市场的投融 2019-09-14
  • 维京战吼初登世界杯!冰岛球迷助威气势十足 2019-09-12
  • 小野丽莎最新单曲《大明劫》MV首播 2019-09-12
  • 海融口腔“免费看牙”惠民活动启动 惠及乌鲁木齐市民 2019-09-06
  • 为社会奉献爱心 用青春书写梦想 2019-09-05
  • 江西发现湿唇兰带叶兰分布 2019-09-03
  • 腾讯“N+计划”正式启动 精准数据赋能地产营销 2019-09-03
  • 专访李毅立:走进国家 了解国情 续写中华情 2019-08-30
  • 庆祝改革开放40年大型主题采访活动启动 2019-08-29
  • 林杰(原创首发)观福州知青书画摄影作品展【藏头诗】 2019-08-27
  • 中国人为什么一定要买房? 2019-08-27
  • 华龙网――主流媒体 重庆门户 2019-08-17
  • People are creators of history, real heroes Xi 2019-08-17
  • 网站安全防护方案
    一、导语 网站一直是黑客最喜欢入侵的目标,能产生不错的收益,入侵方法也不复杂。大量入侵工具的出现,让小学生也能轻松入侵网站。
    而几乎所有企业网站都存在安全漏洞。因为都是外包给建站公司开发,建站公司只注重功能和时间,不会在安全方面多加考虑。
    下面我们讲述一下网站安全中的常见漏洞和应对方法,当然最好的解决办法还是修复程序。
    二、SQL注入 SQL注入是利用程序不严谨,传递一些特殊SQL命令,读取或篡改数据库。通过此种手段,黑客可以取得网站后台权限,再实施新的入侵。
    下面我们演示如何不用账户密码登录后台。判断账户密码是否正确的SQL语句一般如下写:
    user=request("user")
    password=request("password")
    sql="select * from [admin] where user='" & user & "' and password='" & password & "'"
    如果在用户名和密码输入框都填写:x' or 'a'='a
    此时SQL语句就变成了:select * from [admin] where user='x' or 'a'='a' and password='x' or 'a'='a'
    这样就可以成功登录网站后台,无需正确的用户名和密码,是不是很简单?
    防御方法其实也很简单。
    1、增加SQL过滤???/span> 从程序自身改进,对传递过来的每一个参数都做过滤,过滤掉一些危险字符,如:' " ( ) * [ ] = > < % 空格
    再使用以上方法注入时,SQL语句就变成了::select * from [admin] where user='xoraa' and password='xoraa'
    程序就能正确判断用户名和密码是否正确,成功防止SQL注入。
    2、使用第三方安全系统 从程序自身改进是最好的办法,但相当的麻烦,也容易疏忽遗漏,给黑客留下机会。最好能再部署第三方安全系统,进行多重防护。
    推荐使用“护卫神·入侵防护系统”,自带过滤词库,无需改写程序,过滤SQL注入。下面为拦截效果图:


    三、上传漏洞 利用网站在线上传漏洞,上传网页木马,对网站进行挂马、挂黑链、篡改、生成非法内容等破坏,或者进一步入侵服务器。
    这种一般是在线上传程序没有判断权限,以及没有对上传的文件存储时的后缀名和路径做严格限制。有以下几种解决办法:
    1、修复程序 如果您的网站不是必须使用在线上传,建议直接删除相关程序,彻底杜绝在线上传漏洞。
    如果需要使用在线上传,务必增加权限判断功能,只有授权的用户才能上传。存储图片时,强制指定存储路径,并限制文件后缀名只能为特定的(如图片后缀gif、png、jpg)。
    2、查杀网页木马 在线上传之所以可怕是因为黑客可能上传网页木马,如果能及时查杀网页木马,也就没什么大问题了。
    推荐使用“护卫神·入侵防护系统”,在上传时和存储时都会实时查杀网页木马,有效查杀99.9%的网页木马。对于批量生成垃圾文件这种行为,也能有效防护。效果演示图如下:


    上传木马时查杀

    存储木马时查杀

    拦截生成非法内容
    3、安全策略 从网站结构入手,不同目录赋予不同的访问权限和脚本权限。
    如整个网站只给读权限,需要存储上传文件的目录才给写权限,再到IIS设置这个目录没有脚本权限,让黑客即使上传了木马,也无法运行起来。
    这是非常有效的解决办法,建议再部署“护卫神·网站安全系统”,将游客和管理员分离,并对后台设置密码锁,只有解锁的用户才能进入后台,进一步提升网站安全。
    四、跨站入侵 黑客先入侵服务器上的其中一个网站,以此为跳板,再入侵该服务器上的其他网站。一般是站点安全结构不合理导致。
    要解决此问题,只需要让每个站点独立帐户运行,再设置网站目录只有自身匿名账户的访问权限,让网站相互完全隔离。
    如果您不知道怎么设置,建议用“护卫神·主机大师”开设站点,默认就是独立匿名账户运行,彻底防止跨站。
    五、Cookies欺骗 很多程序员喜欢用Cookies保持用户状态,黑客可以利用相关工具篡改Cookies内容,提升自己为管理员权限。
    要解决此问题,只有从程序上入手,可以使用Session存储用户身份,防止黑客篡改。
    六、暴力破解 又称穷举法,指黑客通过软件,依靠密码字典,不断向网站登录程序处发送字典中的数据;如果管理员的密码比较简单,黑客就可能通过此种方式获取管理员密码,达到入侵的目的。
    解决办法只有修改程序,在登录??樽鱿拗?,如果连续登录错误超过几次,则屏蔽该IP一段时间,达到防护的目的。


    以上就是网站常用的入侵方式,总体而言,都可以修改程序解决,但这却是最难的方法,部署第三方安全系统成了必然之选。
  • 广州端午假期揽客近600万人次 旅游收入37.48亿 2019-09-17
  • 外媒:火星巨大尘暴遮蔽阳光 致“机遇”号火星车失联 2019-09-17
  • 中国经济充当了世界经济发展的火车头。但是,作为世界经济火车头的中国,在世界主要经济体股市都走牛的情况下,为何熊途漫漫?这种不正常的现象,背后是我们资本市场的投融 2019-09-14
  • 维京战吼初登世界杯!冰岛球迷助威气势十足 2019-09-12
  • 小野丽莎最新单曲《大明劫》MV首播 2019-09-12
  • 海融口腔“免费看牙”惠民活动启动 惠及乌鲁木齐市民 2019-09-06
  • 为社会奉献爱心 用青春书写梦想 2019-09-05
  • 江西发现湿唇兰带叶兰分布 2019-09-03
  • 腾讯“N+计划”正式启动 精准数据赋能地产营销 2019-09-03
  • 专访李毅立:走进国家 了解国情 续写中华情 2019-08-30
  • 庆祝改革开放40年大型主题采访活动启动 2019-08-29
  • 林杰(原创首发)观福州知青书画摄影作品展【藏头诗】 2019-08-27
  • 中国人为什么一定要买房? 2019-08-27
  • 华龙网――主流媒体 重庆门户 2019-08-17
  • People are creators of history, real heroes Xi 2019-08-17
  • 深圳风采2019028开奖 排列3开奖历史出现过同号 贵州11选五开奖号码最大遗漏 12生肖开奖走势图 内蒙古时时经典玩法 汇彩app 内蒙古时时11选5 南粤风采36选7开奖结果规则 重庆时时彩官方开奖 辽宁快乐12