摘要: 360最新發佈的《2013中國高校網站安全檢測報告》稱,中國每個高校網站平均每天被駭客攻擊113次(包含掃描等行為),其中被攻擊最多的網站最高可達每日上萬次。 據瞭解,這份報告資料
360最新發佈的《2013中國高校網站安全檢測報告》稱,中國每個高校網站平均每天被駭客攻擊113次(包含掃描等行為),其中被攻擊最多的網站最高可達每日上萬次。 據瞭解,這份報告資料樣本來自2013年1月1日至2013年5月30日360網站安全檢測和360網站衛士產品資料庫中的高校網站安全資料,共涉及全國30個省級行政區約5萬個高校網站。
現如今,以上面高校網站被黑為例,網站被駭客攻擊和入侵已經不是新鮮事情了,小到縣級政府網站,大到國家網站都是常常被入侵。 但是此類政府網站被攻擊入侵都是駭客花了高代價換來的成果,但是現在更多的企業網站是犯了低級失誤,導致網站被掛碼,被入侵,或者打不開。 下面由深網網路教大家如何讓網站更難被入侵。
三大影響網站安全性問題
一、網站程式問題
網站程式是個大問題,如果程式選擇的不對,被入侵的機會非常大。 很多網站都是下載一些免費開源的源碼來做網站的,此類型網站有2種情況。
(1)下載一個毫無知名度的免費源碼,此類的免費源碼被入侵的可能性超過百分之99,因為免費,消費者少,開發者更不會去完善漏洞,更不會去升級,導致此類網站逐漸的會出現漏洞,所以,即使大家要選擇開源免費的程式, 一定要選擇知名度比較高的。
(2)下載知名的建站CMS,如:DEDECMS PHPWING 動易CMS ECSHOP 等免費程式,此類程式消費者比較多,開發者也會經常更新漏洞以及升級,但是同樣的,因為消費者比較多,駭客更喜歡尋找此類型網站的漏洞來進行掛馬, 所以,此類型網站需要及時的更新漏洞以及升級,還要根據安全提示去更改資料夾許可權。
二 、網站的空間/伺服器
很多網站都是購買比較便宜的空間,此類網站的安全性能最差,如果賣空間的人盈利很低,更何談幫你維護伺服器安全性能。 更不談什麼穩定性,所以很容易就被入侵,如果購買的是獨立伺服器或VPS,應該要配一個專業的技術維護人員,要佈建服務器的安全,設置伺服器檔的許可權,如果網站主沒辦法聘請專業人員,更應該外包給技術人員, 因為一個資料夾許可權錯誤都可能導致整個伺服器癱瘓而被入侵。
三、後臺路徑以及帳號密碼
筆者今天就幫客戶維護一個網站,他的後臺路徑是/ADMIN 帳號是admin 密碼是admin123,此類網站如果不被入侵,那都是奇怪的事情了。 即使網站程式和網站空間配置的多麼好,後臺的路徑更不應該是大眾式的後臺路徑,帳號和密碼也是最通用的,如果駭客用伺服器進行掃或嘗試登陸後臺,很容易就讓他們得逞,入侵都是輕而易舉的事情了。 所以大家後臺路徑要設置好,帳號儘量不要用admin,密碼也不要用常用的。 儘量有大小寫字母的組合!
下面補充其他可以提高安全性能的知識
1. 防拷貝:
當您在流覽銀行的網銀時,您經常會發覺您沒辦法在銀行網銀的介面裡面使用滑鼠右鍵.這樣可以阻止用戶端通過右鍵常看網站的原始程式碼,這樣可以有效的防範網站用戶端代碼(如:HTML,Js,Css,Img)被拷貝等。
2. 對使用者輸入的內容進行過濾:
大部分的網站安全問題都是用戶端通過文本輸入框輸入的。
網站服務端需對用戶端輸入的內容進行過濾,如:把用戶端輸入的等代碼過濾掉。 這樣會相對有效的防範用戶端的 注入式攻擊和XSS攻擊等。
3. 使用參數化查詢:
有時候對用戶端輸入的內容進行匹配還不足以防範Sql注入,而使用參數化查詢可從根源上杜絕Sql注入。
4. 使用URL偽靜態:
網站的網址中經常帶有參數,動態的參數往往會暴露了網頁之間的傳參關係,增加了不安全性。 假設把動態的參數重寫為偽靜態的,可隱藏動態的參數,從而提高了網站的安全性。
5.使用驗證碼:
在論壇註冊登錄或者評論,在管理員登錄的頁面,經常需輸入驗證碼之後才能繼續下一步操作。 驗證碼的原理很簡單,就是在伺服器生成一段Session儲存驗證碼中生成的圖片中的文字,而驗證碼的圖片文字經常是通過扭曲漸變等字串。 安全且複雜的驗證碼使用可以有效的防範論壇的註冊機,發貼機還有一些密碼暴力破解器等對網站有危害的工具。
6. 系統記錄日誌:
包括伺服器日誌和Sql日誌等,網站管理員可以通過日誌中記錄的內容查看用戶端在訪問當前網站的行為,發現有一些破壞性的行為,可進行下一步操作。
7. 對使用者的ip進行過濾:
這種方式可以過濾掉一些不友好的訪客的ip位址,有效的阻止了拒絕服務攻擊等。
8. 使用安全加密技術:
使用者或者是管理員在註冊登錄的時候,伺服器會對使用者或者是管理員的密碼進行加密,就是把明文的密碼加密成一串加密字串,通過不安全的網路傳輸到資料庫伺服器上進行儲存或者匹配等。 常用的加密技術有 Md5加密, SSL加密等。