免費論壇 繁體 | 簡體
Sclub交友聊天~加入聊天室當版主
分享
返回列表 發帖

[其它] 关于网站安全的专题交流

看到落伍者技术交流版块最近有几个帖子是关于网站安全的,几句话说不完,故写个博文综述一下网站安全这个东西,其中很多内容是借鉴网络资源,所以不算是原创是总结,所以称为综述,所以请各位大虾不要喷我,谢谢!

何为网站安全?

网站安全是指出于防止网站受到外来电脑入侵者对其网站进行挂马,篡改网页等行为而做出一系列的防御工作。由于一个网站设计者更多地考虑满足用户应用,如何实现业务。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少;在正常使用过程中,即便存在安全漏洞,正常的使用者并不会察觉。来源自百度。

那具体的攻击有哪些?

用户资料不严谨,例如用户名密码设置过于简单,例如123456,abc,woaini,等等很容易就猜中的。解决方案:密码设置8位以上,以数字、字母相结合的来设置,例如 c2Pk0Bd7

网站存在漏洞:

1.网站程序本身的漏洞,现在开源程序phpwind、 Discuz!、dedecms、zblog都是很多站长们喜欢用的程序,他们也会出现漏洞问题,所以经常去官方查看程序版本信息,是十分重要的,程序版本更新就会把最新的程序漏洞补丁都修正好,不会有问题出现了。解决方案:跟随官方发布程序版本更新自己的网站程序文件到最新版。

2.网站原作者&二次开发者保留的后门,这个是非常隐蔽的。起码,我这样啥也不会的站长是真没办法,谁叫我们不懂代码呢?!解决办法:检查网站文件的完整性,与官方文件进行对比,发现异常,可以仔细看看,有没有异常加密的数据,例如:JS代码、编码加密内容、转码类似乱码的内容,都有可能是异常代码,有这样的代码,另存为源文件,问问二次开发者是做什么用的。

最后就是服务器漏洞

像服务器权限问题,服务器口令问题,数据库漏洞问题等等,这样的问题,我们使用虚拟主机的用户无法解决,只能联系空间商来解决,如有自己主机的大大,最好找个技术高手来帮你检查检测一下有没有问题,就可以放心了。

如何避免网站被黑及被黑以后的解决方案:

上面已经将避免网站被黑的方法说了一下,例如更新网站版本打补丁、加强网站后台管理员登陆密码的强度。最后就是经常备份一下你的网站数据,包括web文件和数据库文件。ASP类的程序只需要将web空间里的所有数据全部下载下来就可以备份了。有mysql和mssql数据库的需要在网站后台备份一下数据库文件以后再到web空间里下载所有文件到电脑上备份。

被黑以后,应先检查被黑的页面,恢复备份文件,就可以了。再检查为什么被黑,是文件修改还是数据库修改?文件挂马(页面加上js连接)情况应该是ftp资料泄露、网站有漏洞上传木马后门程序、服务器有漏洞,数据库修改,网站用户名密码泄露,数据库用户名密码泄漏。

隐藏网站管理目录,例如修改管理员登陆页面、修改后台文件夹名、直接删除后台文件夹,需要用的时候再上传使用。

使用伪静态或者是全静态页面,这样除非是你的ftp资料泄露、服务器入侵外~再无办法被黑 =.=

以上就是我对网站安全的见解,很简单也很杂乱,希望大家能看懂吧,如有疑问可以到博客进行回复交流,太专业的我也不懂 =.=

谢谢观赏……

原文来自 萧过无痕的栖息地 http://www.54wuhen.com
1

評分人數

返回列表