从今年3月全球黑客攻击网络分析的情况来看,中国占黑客攻击网站的绝大多数。所以,作为一家公司或者开发公司,如何防范自身网站的黑客攻击,从企业网站建设之初,就应该做好这方面的安全对策。当你的网站保证以下几个方面做得很好,相对性就相对安全了。下面,SINE安全网汇集了你关于如何防止网站被攻击的干货经验。
1、越权:
问题描述:不同管理权限的账号之间存在未授权浏览。
变更建议:完善用户权限认证。
注意:通常根据不同的管理权限,客户可以浏览、cookie、更改id等。
2.密文传输
问题描述:系统对客户动态密码维护不够,网络攻击可以利用专用工具从互联网上窃取客户动态密码合理合法的数据信息。
更改建议:传输的登录密码必须加密几次,以防被破解。
注意:所有登录密码都应该加密。需要复杂的数据加密。您不能使用或md5。
3.sql注入:
问题描述:网络攻击利用sql注入系统漏洞,可以获取数据库查询中的各种信息内容,如后台管理系统的登录密码等,然后将数据库查询中的内容去掉(去数据库)。
更改建议:过滤并检查输入的主要参数。选择黑名单和白名单的方式。
注意:过滤和检查应涵盖系统软件中的所有主要参数。
4.跨站点脚本攻击:
问题描述:网络攻击在不检查输入信息内容的情况下,可以通过适当的方式将有意的命令代码引入网页。一般这类代码是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者通用HTML。攻击成功后,网络攻击可以获得更高的管理权限。
变更建议:过滤并检查客户输入。输出HTML实体行号。
注意:过滤,检查,HTML实体行号。屏蔽所有主要参数。
5.上传文件系统的漏洞:
问题描述:上传文件没有限制,上传文件将作为可执行文件或脚本文件提交。进一步导致网站服务器崩溃。
修改建议:严格上传认证文件,避免提交asp、aspx、asa、php、jsp等风险脚本。最好是朋友添加表头认证,避免客户提交非法文件。
6.后台管理中的详细地址泄漏
问题描述:后台管理的详细地址过于简单,为网络攻击的后台管理提供了便利。
建议换:要更改后台管理的地址链接,地址名称必须复杂。
7.敏感数据泄露:
问题描述:系统软件暴露内部信息内容,如网站绝对路径、网页源代码、SQL语句、分布式数据库版本号、异常程序流等。
变更建议:过滤客户输入的异常空格字符。屏蔽掉一些不正确的回声,如自定义404、403、500等。
8、指令执行系统漏洞
问题描述:脚本进程被启用,如php系统、exec、shell_exec等。
变更建议:修复漏洞,严格限制系统中必须执行的指令。
9.文件目录遍历系统漏洞
问题描述:暴露文件目录的信息内容,如编程语言、网站建设等
更改建议:更改相关配置以防止显示目录列表。
10.应用程序重放攻击
问题描述:重复提交数据文件。
更改建议:添加令牌身份验证。时间戳或该图形验证码。
11.CSRF(跨站点请求伪造)
问题描述:应用程序已经登录客户,并在不知情的情况下进行了某些姿势攻击。
更改建议:添加令牌身份验证。时间戳或该图形验证码。
12.免费文件包含和免费压缩文件下载:
问题描述:随机文件包含,没有对系统传递的文件夹名称进行有效检查,然后实际操作意外文档。压缩文件随意下载,系统软件显示免费下载功能,但免费下载文件夹名称不限。
变更建议:限制客户提交的文件夹名称。避免有意的文件加载和免费下载。
13、设计缺点/逻辑错误:
问题描述:程序流程按照逻辑保持丰富多彩的功能。在很多情况下,逻辑函数都有缺点。例如,程对的安全观,考虑不全面等。
变更建议:改进设计方案和程序流程的判断推理。
14.XML实体行介绍:
问题描述:允许引入外部实体时,根据结构的有意内容,可以加载随机文档,可以实现系统命令,可以检测内网端口。
变更建议:使用禁止使用编程语言呈现的外部实体的方法,对客户提交的XML数据信息进行过滤。
15.检查不相关的服务项目和有风险的端口号
问题描述:检查有风险的无关服务项目和端口号,为网络攻击提供便利。
变更建议:关闭无用的服务项目和端口号,前期只开放80个和数据库端口,如有申请可对外开放20或21个端口。
16.登录功能短信验证码系统漏洞
问题描述:一个合理的数据文件被有意地、连续地重复,并被反复发送到服务器。服务器没有合理限制客户提交的数据文件。
变更建议:在网站服务器后端开发更新短信验证码,数据文件提交后数据信息立即更新。
17.不安全的饼干
问题描述:cookies包含敏感信息,如登录名或登录密码。
更改建议:去掉cookies中的登录名和密码。
18、SSL3.0
问题描述:SSL是一种安全协议,用于显示通信网络和数据库的安全性。SSl会爆炸一些系统漏洞。如:心血管血液潴留系统漏洞等。
更改建议:升级到openssl的最新版本
19.SSRF系统漏洞:
问题描述:服务器端请求网络钓鱼。
更改建议:修复漏洞或卸载无用的包
20.默认情况下设置动态密码和弱密码
问题描述:由于动态密码的默认设置,弱密码非常容易被猜到。
修改建议:提高动态密码抗压强度不适合弱密码
注意:弱密码字母或简单字母不应出现在动态密码中。
21.其他系统漏洞
问题描述:其他系统漏洞
变更建议:根据实际系统漏洞分析并进行安全防护
聊了这么多网站安全防护的干货体验,朋友们对网站未来的安全稳定运行有把握吗?如果期间仍有黑客攻击和入侵,建议找专业的网站安全公司处理。