網站安全工作是一個日常工作,不可以掉以輕心,我們在網站運營過程中,免不了有時候會面臨一些惡意的攻擊,所以,我們需要從多個方面,多個角度去搞好網站的安全工作,做好下面這六點,将是我們網站安全工作的重點。
第一、關于密碼問題
現在大多密碼都是md5加密的,因此即使你的站被注入了,黑客們拿到了密碼也是個密文,需要解密。由于md5是個不可逆的加密算法,因此隻能暴力破,就是一個一個試,或者建立一個大的數據庫去查上面這個絕不是廣告,當時我都用這個,因為它的數據庫很大,因此推薦各位站長保護自己密碼的一個好辦法,把自己密碼先加個密,在放到站裡去查看能不能破解出來,要是能,還是換個複雜點的。
第二、關于跨站漏洞問題,這個漏洞應該說對于非論壇的站危害不大,主要危害地點是留言版,防止方法即使過濾掉危險的html代碼像是script iframe等等,像php提供了專門函數可以将<>之類的代碼進行轉換。
第三、 對于安全來講,首先莫過于找個好的服務器。
不過實際确是特别重要,特别是對買不起服務器,隻能買虛拟空間的朋友們,因為即使你的網站再安全,如果你服務器裡其它網站很爛加之服務器權限設置又不是很好,或者提供了很多給黑客們提權的機會的話,你的站同樣很危險。通常我們所說的旁注,就是這樣一個道理。建議是:挑選服務器是,首先查詢下服務器内有些什麼其它的站,再掃一掃服務器開放了那些端口,像是servu的端口43958就算一個高危端口,當然也不是凡是有的就不能用,有條件,你可以自己試一試提權的難度。
第四、對于自身網站來說,危險的兩個漏洞要數:注入漏洞和上傳漏洞
首先我們談一談注入漏洞:注入漏洞通常是由于對傳入的參數過濾不嚴導緻的,黑客們可以通過構造sql語句來查詢數據庫中管理員帳号之類的,甚至對于mssql之類的數據庫,可以執行系統命令,上傳文件等等,可謂危害甚大,對于防止此類漏洞,一般主要是過濾掉危險的sql代碼如and select之類的,另外常做的是在參數為數字時判斷一下isInt?在參數為字符時過濾掉'即可。當然真正來說也不是這麼簡單,不過對于一個安全要求并不高的站來說就夠了。對于上傳漏洞,則更好解決,如果是自己編的程序,北京網站建設人員認為一般來說,不會出太大問題,記得要限制文件格式即可。對于市場上的程序我們後面講。
第五、關于用著名程序的問題
要知道,越是著名的程序,研究他的人越多,比如當時的動網論壇,幾乎一直暴漏洞,成了洞網論壇了,為什麼呢?程序寫的不好?那為什麼那麼多人用,當然用的是asp是其中一部分原因(asp确實就其他語言來說危險很多),更大原因是他太有名了,研究的人太多了。因此,在這個情況下,關注官方補丁,一旦有補丁,就打上,千萬别懶。不然很快就要遭殃。
第六、 談一談默認帳号名或者默認數據庫的問題
很多菜鳥站長,開始不會做站,拿到一個免費程序,就直接上傳上去就用,這個是很危險的,比如黑客們常說,默認帳号名是永遠不會過時的漏洞。就是因為安全意識不夠,大家拿到程序,或者自己編程序,如果對安全不是很熟悉,最好将數據庫默認地址改掉,不要用默認帳号,後台地址也改掉。像我的便将後台改得連我自己都差點不記得了,呵呵,千萬不要用admin,manager,houtai之類的路徑,我們猜都先猜這個,也别用網站域名。
納一科技(北京)有限公司提拱的網站建設服務口号是:“建設能幫客戶賺錢的網站才是好網站”,網站界面美觀大方,網站結構合理,對搜索引擎友好,能快速的使您的網站獲得排名,網站後台管理功能全面,網站内容管理一個人就能輕松搞定,網站前後台用戶體驗度高,操作簡單明了。助您用網站實現企業價值。
