10秒后自動關(guān)閉
網(wǎng)站安全方案
一、導(dǎo)語 網(wǎng)站一直是黑客最喜歡入侵的目標(biāo),能產(chǎn)生不錯的收益,入侵方法也不復(fù)雜。大量入侵工具的出現(xiàn),讓小學(xué)生也能輕松入侵網(wǎng)站。
而幾乎所有企業(yè)網(wǎng)站都存在安全漏洞。因為都是外包給建站公司開發(fā),建站公司只注重功能和時間,不會在安全方面多加考慮。
下面我們講述一下網(wǎng)站安全中的常見漏洞和應(yīng)對方法,當(dāng)然最好的解決辦法還是修復(fù)程序。
二、SQL注入 SQL注入是利用程序不嚴(yán)謹(jǐn),傳遞一些特殊SQL命令,讀取或篡改數(shù)據(jù)庫。通過此種手段,黑客可以取得網(wǎng)站后臺權(quán)限,再實施新的入侵。
下面我們演示如何不用賬戶密碼登錄后臺。判斷賬戶密碼是否正確的SQL語句一般如下寫:
user=request("user")
password=request("password")
sql="select * from [admin] where user='" & user & "' and password='" & password & "'"
如果在用戶名和密碼輸入框都填寫:x' or 'a'='a
此時SQL語句就變成了:select * from [admin] where user='x' or 'a'='a' and password='x' or 'a'='a'
這樣就可以成功登錄網(wǎng)站后臺,無需正確的用戶名和密碼,是不是很簡單?
防御方法其實也很簡單。
1、增加SQL過濾模塊 從程序自身改進,對傳遞過來的每一個參數(shù)都做過濾,過濾掉一些危險字符,如:' " ( ) * [ ] = > < % 空格
再使用以上方法注入時,SQL語句就變成了::select * from [admin] where user='xoraa' and password='xoraa'
程序就能正確判斷用戶名和密碼是否正確,成功防止SQL注入。
2、使用第三方安全系統(tǒng) 從程序自身改進是最好的辦法,但相當(dāng)?shù)穆闊踩菀资韬鲞z漏,給黑客留下機會。最好能再部署第三方安全系統(tǒng),進行多重防護。
推薦使用“護衛(wèi)神·防入侵系統(tǒng)”,自帶過濾詞庫,無需改寫程序,過濾SQL注入。下面為攔截效果圖:


三、上傳漏洞 利用網(wǎng)站在線上傳漏洞,上傳網(wǎng)頁木馬,對網(wǎng)站進行掛馬、掛黑鏈、篡改、生成非法內(nèi)容等破壞,或者進一步入侵服務(wù)器。
這種一般是在線上傳程序沒有判斷權(quán)限,以及沒有對上傳的文件存儲時的后綴名和路徑做嚴(yán)格限制。有以下幾種解決辦法:
1、修復(fù)程序 如果您的網(wǎng)站不是必須使用在線上傳,建議直接刪除相關(guān)程序,徹底杜絕在線上傳漏洞。
如果需要使用在線上傳,務(wù)必增加權(quán)限判斷功能,只有授權(quán)的用戶才能上傳。存儲圖片時,強制指定存儲路徑,并限制文件后綴名只能為特定的(如圖片后綴gif、png、jpg)。
2、查殺網(wǎng)頁木馬 在線上傳之所以可怕是因為黑客可能上傳網(wǎng)頁木馬,如果能及時查殺網(wǎng)頁木馬,也就沒什么大問題了。
推薦使用“護衛(wèi)神·防入侵系統(tǒng)”,在上傳時和存儲時都會實時查殺網(wǎng)頁木馬,有效查殺99.9%的網(wǎng)頁木馬。對于批量生成垃圾文件這種行為,也能有效防護。效果演示圖如下:


上傳木馬時查殺
存儲木馬時查殺
攔截生成非法內(nèi)容
3、安全策略 從網(wǎng)站結(jié)構(gòu)入手,不同目錄賦予不同的訪問權(quán)限和腳本權(quán)限。
如整個網(wǎng)站只給讀權(quán)限,需要存儲上傳文件的目錄才給寫權(quán)限,再到IIS設(shè)置這個目錄沒有腳本權(quán)限,讓黑客即使上傳了木馬,也無法運行起來。
這是非常有效的解決辦法,建議再部署“護衛(wèi)神·網(wǎng)站鎖系統(tǒng)”,將游客和管理員分離,并對后臺設(shè)置密碼鎖,只有解鎖的用戶才能進入后臺,進一步提升網(wǎng)站安全。
四、跨站入侵 黑客先入侵服務(wù)器上的其中一個網(wǎng)站,以此為跳板,再入侵該服務(wù)器上的其他網(wǎng)站。一般是站點安全結(jié)構(gòu)不合理導(dǎo)致。
要解決此問題,只需要讓每個站點獨立帳戶運行,再設(shè)置網(wǎng)站目錄只有自身匿名賬戶的訪問權(quán)限,讓網(wǎng)站相互完全隔離。
如果您不知道怎么設(shè)置,建議用“護衛(wèi)神·主機大師”開設(shè)站點,默認(rèn)就是獨立匿名賬戶運行,徹底防止跨站。
五、Cookies欺騙 很多程序員喜歡用Cookies保持用戶狀態(tài),黑客可以利用相關(guān)工具劫持和篡改Cookies內(nèi)容,提升自己為管理員權(quán)限。
要解決此問題,可以從程序上入手,將Cookies和客戶端IP綁定,防止黑客篡改。也可以使用護衛(wèi)神·防入侵系統(tǒng)進行防護。
六、暴力破解 又稱窮舉法,指黑客通過軟件,依靠密碼字典,不斷向網(wǎng)站登錄程序處發(fā)送字典中的數(shù)據(jù);如果管理員的密碼比較簡單,黑客就可能通過此種方式獲取管理員密碼,達(dá)到入侵的目的。
解決辦法只有修改程序,在登錄模塊做限制,如果連續(xù)登錄錯誤超過幾次,則屏蔽該IP一段時間,達(dá)到防護的目的。
七、后臺非法登錄 黑客最喜歡入侵后臺,通過后臺任意操控網(wǎng)站。因此我們需要對網(wǎng)站后臺做防護,一般就是限制授權(quán)訪問IP。但是大部分用戶都是ADSL,IP是動態(tài)變化的,不可能每次登錄后臺都先到服務(wù)器添加授權(quán)IP吧,哪怎么辦呢?
沒關(guān)系,可以使用護衛(wèi)神·防入侵系統(tǒng),限制后臺授權(quán)訪問區(qū)域,一般為您所在城市,而黑客和你同所城市的幾率微乎其微,那后臺自然就很安全了。


以上就是網(wǎng)站常用的入侵方式,都可以修改程序解決,但這卻是最難的方法,部署第三方安全系統(tǒng)成了必然之選。
總而言之,安全無小事,我們只有對網(wǎng)站安全防護足夠重視,才能避免后期付出慘痛的代價。