博久网络在网站制作过程中总结的容易见到的安全漏洞:
近期有一件事情把笔者震撼到了。有个朋友一个人一人经营着一个行业网站平台,网站的百度网站权重已经达到了5。他天天的工作只不过接待顾客电话询盘,天天的咨询量很大,大到他几乎连喝水的时间都没。但就是这么有价值的一个网站,之前有一段时间频频出现网站打不开的现象。后来查出来是被同行攻击了。
原来事情是如此的:朋友的网站平台是好多年以前用ASP+access数据库开发的,网站制作时大多数新闻页面都是动态页面,每一个访客打开他的网站页面,都是直接向ACCESS数据库发送访问请求,但每一个服务器都是有最高并发限制的,超越这个最高并发数目,网站就会出现卡死的状况,也就是说假如最高限制并发是5000个,假如并发请求达到5001条,网站就会卡死打不开。他的角逐对手就是找出了他网站的这个缺点,用软件刷访问量的方法把他网站搞瘫痪了。逼得他不能不换万网的云服务器,提升服务器配置。
于是近期我一直在想一个问题,网站的安全隐患真的要看重,不然你前面运营网站积累的一些基础和成就或许会被毁于一旦。那样网站到底或许会存在什么安全漏洞呢?大家今天来推荐一下博久网络在网站制作过程中总结的容易见到的安全漏洞主要有这类:
1、文件上传漏洞问题描述:没对文件上传限制,或许会被上传可实行文件,或脚本文件。进一步致使服务器沦陷。修改建议:严格验证上传文件,预防上传asp、aspx、asa、php、jsp等危险脚本。同事最好加入文件头验证,预防用户上传非法文件。2、明文传输问题描述:对系统用户口令保护不足,攻击者可以借助攻击工具,从互联网上窃取合法的用户口令数据。修改建议:传输的密码需要加密。注意:所有密码要加密。要复杂加密。不要用base64或md5。3、sql注入问题描述:攻击者借助sql注入漏洞,可以获得数据库中的多种信息,如:管理后台的密码,从而脱取数据库中的内容(脱库)。修改建议:对输入参数进行过滤、校验。使用黑白名单方法。注意:过滤、校验要覆盖系统内所有些参数。4、默认口令、弱口令问题描述:由于默认口令、弱口令比较容易叫人猜到。修改建议:加大口令强度不适用弱口令注意:口令不要出现容易见到的单词。如:root123456、admin1234、qwer1234、pssw0rd等。5、敏锐信息泄露问题描述:系统暴露内部信息,如:网站的绝对路径、网页源码、SQL语句、中间件版本、程序异常等信息。修改建议:对用户输入的异常字符过滤。屏蔽一些错误回显,如自概念404、403、500等。6、命令实行漏洞问题描述:脚本程序调用如php的system、exec、shell_exec等。修改建议:打补丁,对系统内需要实行的命令要严格限制。7、跨站脚本攻击问题描述:对输入信息没进行校验,攻击者可以通过巧妙的办法注入恶意指令代码到网页。这种代码一般是Javascript,但事实上,也可以包含Java、VBscript、ActiveX、Flash或者普通的HTML。攻击成功之后,攻击者可以拿到更高的权限。修改建议:对用户输入进行过滤、校验。输出进行HTML实体编码。注意:过滤、校验、HTML实体编码。要覆盖所有参数。8、SSRF漏洞问题描述:服务端请求伪造。修改建议:打补丁,或者卸载无用的包9、CSRF(跨站请求伪造)问题描述:用已经登陆用户,在不知情的状况下实行某种动作的攻击。修改建议:添加token验证。时间戳或这图片验证码。
当然以上这类并非所大概出现的漏洞,公司网站在运营过程中必须要常常测试维护,最好有专门的负责人对公司网站按期测试维护,确保网站安全。
朋友换了服务器之后,为了防止再被同行攻击,他想了一个笨方法,但非常有用。网站的各项网站权重和关键字的排名已经很好了,不可以把那些文章的动态页面改成静态页面啊。用什么方法呢?他在那之后每次更新网站文章,都是根据文章模板手工的把文章做成一个静态网页,直接用FTP工具上传到服务器里去,而不是通过网站后台添加文章。一直积累了近一千个静态页面。这个方法我戏称之为愚公移山。这也是最好效果最好的修补方法了。
其实,假如在网站制作的初期就考虑到这类问题,用PHP+SQL数据库开发网站,使用网站后台生成静态页面的方法,那就能完全消除数据库的负担了。
