網(wǎng)站安全防護方案

時間：2023-04-19 09:18:02 | 來源：網(wǎng)站運營

時間：2023-04-19 09:18:02 來源：網(wǎng)站運營

網(wǎng)站安全防護方案： 一、導(dǎo)語

　　網(wǎng)站一直是黑客最喜歡入侵的目標(biāo)，能產(chǎn)生不錯的收益，入侵方法也不復(fù)雜。大量入侵工具的出現(xiàn)，讓小學(xué)生也能輕松入侵網(wǎng)站。

　　而幾乎所有企業(yè)網(wǎng)站都存在安全漏洞。因為都是外包給建站公司開發(fā)，建站公司只注重功能和時間，不會在安全方面多加考慮。

　　下面我們講述一下網(wǎng)站安全中的常見漏洞和應(yīng)對方法，當(dāng)然最好的解決辦法還是修復(fù)程序。

　　二、SQL注入

　　SQL注入是利用程序不嚴謹，傳遞一些特殊SQL命令，讀取或篡改數(shù)據(jù)庫。通過此種手段，黑客可以取得網(wǎng)站后臺權(quán)限，再實施新的入侵。

　　下面我們演示如何不用賬戶密碼登錄后臺。判斷賬戶密碼是否正確的SQL語句一般如下寫：

　　user=request("user")

　　password=request("password")

　　sql="select * from [admin] where user='" & user & "' and password='" & password & "'"

　　如果在用戶名和密碼輸入框都填寫：x' or 'a'='a

　　此時SQL語句就變成了：select * from [admin] where user='x' or 'a'='a' and password='x' or 'a'='a'

　　這樣就可以成功登錄網(wǎng)站后臺，無需正確的用戶名和密碼，是不是很簡單？

　　防御方法其實也很簡單。

　　1、增加SQL過濾模塊

　　從程序自身改進，對傳遞過來的每一個參數(shù)都做過濾，過濾掉一些危險字符，如：' " ( ) * [ ] = > < % 空格

　　再使用以上方法注入時，SQL語句就變成了：：select * from [admin] where user='xoraa' and password='xoraa'

　　程序就能正確判斷用戶名和密碼是否正確，成功防止SQL注入。

　　2、使用第三方安全系統(tǒng)

　　從程序自身改進是最好的辦法，但相當(dāng)?shù)穆闊踩菀资韬鲞z漏，給黑客留下機會。最好能再部署第三方安全系統(tǒng)，進行多重防護。

　　三、上傳漏洞

　　利用網(wǎng)站在線上傳漏洞，上傳網(wǎng)頁木馬，對網(wǎng)站進行掛馬、掛黑鏈、篡改、生成非法內(nèi)容等破壞，或者進一步入侵服務(wù)器。

　　這種一般是在線上傳程序沒有判斷權(quán)限，以及沒有對上傳的文件存儲時的后綴名和路徑做嚴格限制。有以下幾種解決辦法：

　　1、修復(fù)程序

　　如果您的網(wǎng)站不是必須使用在線上傳，建議直接刪除相關(guān)程序，徹底杜絕在線上傳漏洞。

　　如果需要使用在線上傳，務(wù)必增加權(quán)限判斷功能，只有授權(quán)的用戶才能上傳。存儲圖片時，強制指定存儲路徑，并限制文件后綴名只能為特定的（如圖片后綴gif、png、jpg）。

　　2、查殺網(wǎng)頁木馬

　　在線上傳之所以可怕是因為黑客可能上傳網(wǎng)頁木馬，如果能及時查殺網(wǎng)頁木馬，也就沒什么大問題了。

　　3、安全策略

　　從網(wǎng)站結(jié)構(gòu)入手，不同目錄賦予不同的訪問權(quán)限和腳本權(quán)限。

　　如整個網(wǎng)站只給讀權(quán)限，需要存儲上傳文件的目錄才給寫權(quán)限，再到IIS設(shè)置這個目錄沒有腳本權(quán)限，讓黑客即使上傳了木馬，也無法運行起來。

　　四、跨站入侵

　　黑客先入侵服務(wù)器上的其中一個網(wǎng)站，以此為跳板，再入侵該服務(wù)器上的其他網(wǎng)站。一般是站點安全結(jié)構(gòu)不合理導(dǎo)致。

　　要解決此問題，只需要讓每個站點獨立帳戶運行，再設(shè)置網(wǎng)站目錄只有自身匿名賬戶的訪問權(quán)限，讓網(wǎng)站相互完全隔離。

　　五、Cookies欺騙

　　很多程序員喜歡用Cookies保持用戶狀態(tài)，黑客可以利用相關(guān)工具篡改Cookies內(nèi)容，提升自己為管理員權(quán)限。

　　要解決此問題，只有從程序上入手，可以使用Session存儲用戶身份，防止黑客篡改。

　　六、暴力破解

　　又稱窮舉法，指黑客通過軟件，依靠密碼字典，不斷向網(wǎng)站登錄程序處發(fā)送字典中的數(shù)據(jù)；如果管理員的密碼比較簡單，黑客就可能通過此種方式獲取管理員密碼，達到入侵的目的。

　　解決辦法只有修改程序，在登錄模塊做限制，如果連續(xù)登錄錯誤超過幾次，則屏蔽該IP一段時間，達到防護的目的。詳情請加微信17388160749