10秒后自動(dòng)關(guān)閉
網(wǎng)站安全方案
一、導(dǎo)語(yǔ) 網(wǎng)站一直是黑客最喜歡入侵的目標(biāo),能產(chǎn)生不錯(cuò)的收益,入侵方法也不復(fù)雜。大量入侵工具的出現(xiàn),讓小學(xué)生也能輕松入侵網(wǎng)站。
而幾乎所有企業(yè)網(wǎng)站都存在安全漏洞。因?yàn)槎际峭獍o建站公司開(kāi)發(fā),建站公司只注重功能和時(shí)間,不會(huì)在安全方面多加考慮。
下面我們講述一下網(wǎng)站安全中的常見(jiàn)漏洞和應(yīng)對(duì)方法,當(dāng)然最好的解決辦法還是修復(fù)程序。
二、SQL注入 SQL注入是利用程序不嚴(yán)謹(jǐn),傳遞一些特殊SQL命令,讀取或篡改數(shù)據(jù)庫(kù)。通過(guò)此種手段,黑客可以取得網(wǎng)站后臺(tái)權(quán)限,再實(shí)施新的入侵。
下面我們演示如何不用賬戶密碼登錄后臺(tái)。判斷賬戶密碼是否正確的SQL語(yǔ)句一般如下寫(xiě):
user=request("user")
password=request("password")
sql="select * from [admin] where user='" & user & "' and password='" & password & "'"
如果在用戶名和密碼輸入框都填寫(xiě):x' or 'a'='a
此時(shí)SQL語(yǔ)句就變成了:select * from [admin] where user='x' or 'a'='a' and password='x' or 'a'='a'
這樣就可以成功登錄網(wǎng)站后臺(tái),無(wú)需正確的用戶名和密碼,是不是很簡(jiǎn)單?
防御方法其實(shí)也很簡(jiǎn)單。
1、增加SQL過(guò)濾模塊 從程序自身改進(jìn),對(duì)傳遞過(guò)來(lái)的每一個(gè)參數(shù)都做過(guò)濾,過(guò)濾掉一些危險(xiǎn)字符,如:' " ( ) * [ ] = > < % 空格
再使用以上方法注入時(shí),SQL語(yǔ)句就變成了::select * from [admin] where user='xoraa' and password='xoraa'
程序就能正確判斷用戶名和密碼是否正確,成功防止SQL注入。
2、使用第三方安全系統(tǒng) 從程序自身改進(jìn)是最好的辦法,但相當(dāng)?shù)穆闊,也容易疏忽遺漏,給黑客留下機(jī)會(huì)。最好能再部署第三方安全系統(tǒng),進(jìn)行多重防護(hù)。
推薦使用“護(hù)衛(wèi)神·防入侵系統(tǒng)”,自帶過(guò)濾詞庫(kù),無(wú)需改寫(xiě)程序,過(guò)濾SQL注入。下面為攔截效果圖:


三、上傳漏洞 利用網(wǎng)站在線上傳漏洞,上傳網(wǎng)頁(yè)木馬,對(duì)網(wǎng)站進(jìn)行掛馬、掛黑鏈、篡改、生成非法內(nèi)容等破壞,或者進(jìn)一步入侵服務(wù)器。
這種一般是在線上傳程序沒(méi)有判斷權(quán)限,以及沒(méi)有對(duì)上傳的文件存儲(chǔ)時(shí)的后綴名和路徑做嚴(yán)格限制。有以下幾種解決辦法:
1、修復(fù)程序 如果您的網(wǎng)站不是必須使用在線上傳,建議直接刪除相關(guān)程序,徹底杜絕在線上傳漏洞。
如果需要使用在線上傳,務(wù)必增加權(quán)限判斷功能,只有授權(quán)的用戶才能上傳。存儲(chǔ)圖片時(shí),強(qiáng)制指定存儲(chǔ)路徑,并限制文件后綴名只能為特定的(如圖片后綴gif、png、jpg)。
2、查殺網(wǎng)頁(yè)木馬 在線上傳之所以可怕是因?yàn)楹诳涂赡苌蟼骶W(wǎng)頁(yè)木馬,如果能及時(shí)查殺網(wǎng)頁(yè)木馬,也就沒(méi)什么大問(wèn)題了。
推薦使用“護(hù)衛(wèi)神·防入侵系統(tǒng)”,在上傳時(shí)和存儲(chǔ)時(shí)都會(huì)實(shí)時(shí)查殺網(wǎng)頁(yè)木馬,有效查殺99.9%的網(wǎng)頁(yè)木馬。對(duì)于批量生成垃圾文件這種行為,也能有效防護(hù)。效果演示圖如下:


上傳木馬時(shí)查殺
存儲(chǔ)木馬時(shí)查殺
攔截生成非法內(nèi)容
3、安全策略 從網(wǎng)站結(jié)構(gòu)入手,不同目錄賦予不同的訪問(wèn)權(quán)限和腳本權(quán)限。
如整個(gè)網(wǎng)站只給讀權(quán)限,需要存儲(chǔ)上傳文件的目錄才給寫(xiě)權(quán)限,再到IIS設(shè)置這個(gè)目錄沒(méi)有腳本權(quán)限,讓黑客即使上傳了木馬,也無(wú)法運(yùn)行起來(lái)。
這是非常有效的解決辦法,建議再部署“護(hù)衛(wèi)神·網(wǎng)站鎖系統(tǒng)”,將游客和管理員分離,并對(duì)后臺(tái)設(shè)置密碼鎖,只有解鎖的用戶才能進(jìn)入后臺(tái),進(jìn)一步提升網(wǎng)站安全。
四、跨站入侵 黑客先入侵服務(wù)器上的其中一個(gè)網(wǎng)站,以此為跳板,再入侵該服務(wù)器上的其他網(wǎng)站。一般是站點(diǎn)安全結(jié)構(gòu)不合理導(dǎo)致。
要解決此問(wèn)題,只需要讓每個(gè)站點(diǎn)獨(dú)立帳戶運(yùn)行,再設(shè)置網(wǎng)站目錄只有自身匿名賬戶的訪問(wèn)權(quán)限,讓網(wǎng)站相互完全隔離。
如果您不知道怎么設(shè)置,建議用“護(hù)衛(wèi)神·主機(jī)大師”開(kāi)設(shè)站點(diǎn),默認(rèn)就是獨(dú)立匿名賬戶運(yùn)行,徹底防止跨站。
五、Cookies欺騙 很多程序員喜歡用Cookies保持用戶狀態(tài),黑客可以利用相關(guān)工具劫持和篡改Cookies內(nèi)容,提升自己為管理員權(quán)限。
要解決此問(wèn)題,可以從程序上入手,將Cookies和客戶端IP綁定,防止黑客篡改。也可以使用護(hù)衛(wèi)神·防入侵系統(tǒng)進(jìn)行防護(hù)。
六、暴力破解 又稱窮舉法,指黑客通過(guò)軟件,依靠密碼字典,不斷向網(wǎng)站登錄程序處發(fā)送字典中的數(shù)據(jù);如果管理員的密碼比較簡(jiǎn)單,黑客就可能通過(guò)此種方式獲取管理員密碼,達(dá)到入侵的目的。
解決辦法只有修改程序,在登錄模塊做限制,如果連續(xù)登錄錯(cuò)誤超過(guò)幾次,則屏蔽該IP一段時(shí)間,達(dá)到防護(hù)的目的。
七、后臺(tái)非法登錄 黑客最喜歡入侵后臺(tái),通過(guò)后臺(tái)任意操控網(wǎng)站。因此我們需要對(duì)網(wǎng)站后臺(tái)做防護(hù),一般就是限制授權(quán)訪問(wèn)IP。但是大部分用戶都是ADSL,IP是動(dòng)態(tài)變化的,不可能每次登錄后臺(tái)都先到服務(wù)器添加授權(quán)IP吧,哪怎么辦呢?
沒(méi)關(guān)系,可以使用護(hù)衛(wèi)神·防入侵系統(tǒng),限制后臺(tái)授權(quán)訪問(wèn)區(qū)域,一般為您所在城市,而黑客和你同所城市的幾率微乎其微,那后臺(tái)自然就很安全了。


以上就是網(wǎng)站常用的入侵方式,都可以修改程序解決,但這卻是最難的方法,部署第三方安全系統(tǒng)成了必然之選。
總而言之,安全無(wú)小事,我們只有對(duì)網(wǎng)站安全防護(hù)足夠重視,才能避免后期付出慘痛的代價(jià)。