網站伺服器的安全性設置

仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳

網站作為一種基於Web的應用程式，通常會比其他C/S結構的軟體更容易面臨安全性問題。 特別是對於應用在金融、電信等領域的網站系統而言，其安全性便成為了系統至關重要的方面，稍微安全性問題，就會造成重大的經濟災難。 從網路安全理論上來講，只要給予足夠的時間和資源，任何系統都可以被侵入。 因此，我們不能忽略網站的安全性問題。 很多站長朋友們都有自己的網站伺服器，那麼網站伺服器有哪些安全性需要我們關注的呢?通常情況下，網站伺服器的安全性設置主要包括目錄安全性、SSL通訊端、使用者登錄驗證、日誌檔和指令碼語言安全性設置等，具體如下：

首先，網站伺服器的目錄安全性設置。 Web的目錄安全性是不容忽視的。 對於Web伺服器而言，首先需要設置安全的目錄，每個目錄下應該有index.html或default.html頁面，從而可以保護該目錄下的內容安全。 如果Web程式或Web伺服器的處理不適當，通過URL替換和目錄名推測，就會將整個目錄暴露給外部使用者。 這個時候，我們就應該嚴格設置Web伺服器的目錄存取權限，以降低目錄安全隱患。

其次，SSL安全性設置。 通常預設情況下，HTTP協定是沒有經過任何加密措施的，所有的消息全部都是以明文的形式在網路上進行傳輸。 這時，外部惡意的攻擊者就可以通過安裝監聽程式來獲得使用者和伺服器之間的通信內容。 但如果Web伺服器建立了SSL安全機制後，只有SSL允許的客戶才能與SSL允許的Web網站進行通信，並且在使用URL資源定位器時，只能輸入HTTPs://,而不能使用HTTP://進行訪問。 使用SSL安全機制時，用戶端隨機生成會話密匙，用從伺服器得到的公共密匙對話密匙進行加密，並把會話密匙在網路上傳遞給伺服器，而會話密匙只有在伺服器端用私人金鑰才能進行解密，這樣，用戶端和伺服器端就可以建立一個唯一的安全通道。 使用SSL安全設置保障了用戶端和伺服器之間的資料傳輸安全。

接著，網站登錄安全性驗證。 目前網站基本上是採用先註冊、後登錄的方式。 因此，需要驗證系統阻止非法的使用者名和密碼進行登錄，實現有效安全登錄。 比如，使用者登錄的登錄次數是否有限制;是否限制從某些IP位址的使用者登錄;密碼設置是否有規則限制;是否可以不登錄而直接流覽某些網頁。

此外，網站伺服器需要對網站動作記錄檔進行有效存儲。 日誌檔至關重要，我們需要關注相關的重要資訊是否寫進了日誌檔、出現故障後是否可以追蹤故障來源。 網站正式上線後，需要對Web伺服器運行和訪問的日誌及流量進行日常監控，這就需要網站伺服器有相應的功能進行日誌管理。 比如，日誌檔中是否記錄了使用者訪問的IP位址，是否記錄了訪問使用者的使用者名;日誌檔中是否記錄了所有的交易處理資訊，是否記錄失敗的註冊企圖，特別是涉及到資金安全的，比如是否記錄被盜信用卡的使用等等。

最後，網站伺服器腳本運行安全性設置。 每種指令碼語言的運行效果都不同，有些指令碼語言允許訪問伺服器的根目錄，有些則不能運行在伺服器根目錄，有的只允許訪問郵件伺服器，但不管是什麼腳本，對於有些經驗豐富的駭客就可以通過各種手段將伺服器使用者名和口令發送給他們自己， 這個時候，他們就找出網站使用了哪些指令碼語言，並研究這些語言的缺陷和漏洞，對伺服器進行攻擊和篡改。 之前，本人曾多次發現有很多朋友的網站被掛上了一段VB或JS腳本，當使用者登錄網站的會員後臺，這些腳本就會自動運行，把使用者名和密碼盜取，從而導致大量使用者帳號被盜。 所以，我們必須伺服器端腳本運行的許可權，防止惡意的腳本攻擊。

本文由心理學之家 HTTP://www.psybook.com 原創，轉載請標明出處!謝謝!