关于网站的安全性注意事项

一个网站,安全问题可能从多方面而来。光靠任何一方面,都不可能保证绝对的安全。一个安全的网站,必须要靠各方面配合才能打造出来。
首当其冲的是服务器的安全,服务器本身如果被人入侵了,你的网站系统再安全,那也没有任何作用。
其次是FTP或者远程管理等的帐号安全,如果人家破解了你的FTP或者远程管理权限,那也就等于窗户开给人家怕,那家里的东西自然是随便拿了。

上述的涉及系统管理的问题,这里不多说了,重点说说第三方面:脚本安全。纵横
脚本指在你的网站上的ASP,JSP,CGI等服务器端运行的脚本代码,比如动易系统、动网论坛都属此类。
脚本代码的安全问题最主要最集中的问题出在两个方面:SQL注入和FSO权限。
互动网站大多有数据库,ASP代码通过SQL语句对数据库进行管理,而SQL语句中的一些变量是通过用户提交的表单获取,如果对表单提交的数据没有做好过滤,攻击者就可以通过构造一些特殊的URL提交给你的系统,或者在表单中提交特别构造的字符串,造成SQL语句没有按预期的目的执行。
经常有网友在动易论坛提交一些扫描报告,说动易有SQL注入漏洞。像动易这么复杂的系统,我们不能说开发人员不会遗漏了一两个表单数据的检验和过滤,如果的确存在这种疏忽,而攻击者又通过源代码看到了,那么肯定网站是抵御不了这样的攻击的。在早期的动力系统中,曾经有过这样的漏洞。

到了动易的新版本,开发团队在防止SQL注入方面下了很大的工夫,几乎所有通过表单提交的数据,分字符性和数字性,分别用一个专门的函数进行处理。只要是提交的数据包含非法字符,或者被替换为安全字符,或者提交的数据被替换为默认值。为了程序具有较好的容错性,我们并没有对所有含有非法字符串的数据提交都以抱错回应。比如当用户访问ShowSource.asp这个网页,提交ChannelID=%3D这样的数据,系统就会将其修改为ChannelID=0,这是安全的数据,但是不会显示“您所提交的数据非法”这样的提示。因为对于访问者而言,这是没有必要的。

也就是因为这样的原因,一些比较弱智的漏洞扫描器就以为提交的ChannelID=%3D被执行了,于是告诉用户ShowSource.asp?ChannelID=%3D存在高危漏洞。纵横科技
大家如果遇到扫描器报告有高危漏洞的,可以联系我们开发人员确认。经过开发人员确认不存在,那就肯定不存在。即使扫描器报告说有,你也不用担心。因为攻击者是没有办法利用这个漏洞的。

除了SQL注入,还有一个更严重的安全问题:上传木马。
由于上传组件(通常ASP开发者都使用一个或多个第三方开发的上传组件或者ASP类)、站长的错误设置(允许上传asp或者shtml等类型的文件),或者其它存在的上传漏洞,都可能存在被攻击者上传后门的可能性。一旦上传了漏洞,攻击者就获得了站长的权限,甚至超过站长的权限(对整个服务器构成安全威胁)。
这几年来,包括动网、动力、动易在内的ASP系统,都曾经出现过上传漏洞的问题(尤其是去年的upload.inc上传.cer等类型文件的漏洞)。但是为什么每次发现这种大规模存在的漏洞之后,都只有一部分网站被黑呢?当然不是攻击者手软或者良心发现,而是一些网站通过服务器设置,防止了这些漏洞导致的损失。举个例子,如下图:

给各个不必要的目录,去掉“执行”权限,改为“无”,也就是这个目录下的文件,只能读取,不能运行。比如动网论坛除了根目录以外,其它所有目录都只给读取权限即可,关闭执行权限;动易系统给动易根目录、各个频道的根目录以及User、Reg这些含有ASP网页并且ASP要从浏览器访问的目录执行权限即可,其它都可以设置为“无”。尤其是上传目录,比如UploadFiles这样的目录,还有图片目录,一定要设置为只读。
这样设置以后,即使攻击者找到了上传漏洞,把asp木马上传到了你的UploadFiles目录,他也不能利用那个木马做什么。
另外,如果你的服务器采用NTFS文件系统,那么给网站文件所在的目录设置好权限也很重要,网站所在目录,只要给IUSR_你的机器名这个用户开放了读、写权限就能正常运行。不要给EveryOne\Guest这样的用户赋予完全权限,非Web目录,应该禁止IUSR_机器名这样的用户赋予权限,这样可以避免上传的ASP木马给服务器造成严重的安全问题。
另外,在IIS的运用程序配置中,删除不需要的程序映射,也是避免因为过滤不够被攻击者上传了某些特殊类型的木马进行攻击的办法。如下图:

(0)

相关推荐

  • 关于网站的安全性注意事项

    一个网站,安全问题可能从多方面而来.光靠任何一方面,都不可能保证绝对的安全.一个安全的网站,必须要靠各方面配合才能打造出来. 首当其冲的是服务器的安全,服务器本身如果被人入侵了,你的网站系统再安全,那也没有任何作用. 其次是FTP或者远程管理等的帐号安全,如果人家破解了你的FTP或者远程管理权限,那也就等于窗户开给人家怕,那家里的东西自然是随便拿了. 上述的涉及系统管理的问题,这里不多说了,重点说说第三方面:脚本安全.纵横 脚本指在你的网站上的ASP,JSP,CGI等服务器端运行的脚本代码,比如

  • 浅谈php(codeigniter)安全性注意事项

    1.httponly session一定要用httponly的否则可能被xxs攻击,利用js获取cookie的session_id. 要用框架的ci_session,更长的位数,httponly,这些默认都配好了. 不要用原生的phpsession,而要用ci_session.ci_session位数更长. 如果要用原生的session,应该这样设置(php.ini): session.sid_length //sid的长度,这里要加长,默认的太短了 session.cookie_httponl

  • Web网站安全性存在的五个误解

    目前,黑客攻击已成为一个很严重的网络问题.许多黑客甚至可以突破SSL加密和各种防火墙,攻入Web网站的内部,窃取信息.黑客可以仅凭借浏览器和几个技巧,即套取Web网站的客户信用卡资料和其它保密信息. 随着防火墙和补丁管理已逐渐走向规范化,各类网络设施应该是比以往更完全.但不幸的是,道高一尺,魔高一丈,黑客们已开始直接在应用层面对Web网站下手.要增强Web网站的安全性,首先要澄清五个误解. 一."Web网站使用了SSL加密,所以很安全" 单靠SSL加密无法保障网站的安全.网站启用SSL

  • PHP发明人谈MVC和网站设计架构 貌似他不支持php用mvc

    Q:越来越多Web 2.0网站走向应用平台,你认为打造这类平台的关键为何? A:简单来看,应用平台就是API,任何Ajax或 Web 2.0类型的网站,都是在应用平台上运用了API来创造出视觉介面的互动效果.例如Yahoo Mail,透过简单的Request呼叫,来读取後续的信件.打造这类网站,如何规画解决问题的方式,会决定了网站未来的扩充性(Scalability),而非效能决定网站的发展. Q:如何规画网站架构,才会具有扩充性? A:将一个网站应用,分成几十个独立小程式,前端透过 API提供

  • CI框架的安全性分析

    本文分析了CI框架的安全性.分享给大家供大家参考,具体如下: 用过ci框架的人都知道,ci框架能大大缩短你的代码.其实,ci框架更能提高你网站的安全性. 防止对数据库的攻击 数据输入可能引发许多问题.因为 HTML 和数据库的限制,数据中总包含特定的符号-举例来说,省略符号和引号-可能导致你的数据库遭到攻击,最终得到你无法预料的结果. 解决方案是在把这些数据存入数据库前对这些数据进行相关处理.这样做会浪费一些系统时间,增加一些额外编码. CI 的表单辅助函数会自动地完成这些工作.因此,当你编写一

  • 一步一步教你网站同步镜像(转载)

    1.介绍 现在的网站随着访问量的增加,单一服务器无法承担巨大的访问量,有没有什么方便快捷的方式解决这个问题呢,答案是"有"!比如建立服务器群,进行均衡负载. 但是如果要解决像电信网通这样的互访问题(中国网民的悲哀..),这个解决办法就无能为了了! 要解决这个问题最方便快捷的方式就是建立镜像网站!由访问者自己选择适合自己网络的速度最快的网站!这样即可以解决线路问题,又可以解决访问量问题! 2.网站同步的数据分类 网站数据基本分为两类: 一类是文件,比如HTML,ASP,PHP等网页文件,

  • WordPress网站性能优化指南

    1.选择一个好的主机 尽量不要使用免费主机或者共享主机(Godaddy啊.Bluehost啊等等所谓无限带宽.无限网站之类的主机) 首先,你的域名和你的主机最好在一个IDC哪儿,如果不是的话,建议你采用口碑良好的DNS服务商,让域名以最快的速度解析到主机上,这不是重点,重点是你的服务器/主机空间应该够快,怎么才能够快呢?CPU的配置.CPU的使用率.物理内存的大小.磁盘类型以及磁盘的I/O性能(包括Mysql数据库服务器所用磁盘).Mysql响应速度以及Mysql并发数等等,都会影响到网站的快与

  • 浅析ASP.NET安全性分析(加强asp.net 1.1/2.0安全性)

    ASP.NET安全性是Web 应用程序中一个非常重要的方面,它涉及内容非常广泛,不能在一篇文章内说明所有的安全规范,本文讲述如何利用IIS以及Forms 身份验证构建安全的 ASP.NET 应用程序,它是目前被使用最多最广的验证/授权方式. 本文分别以ASP.NET1.1与ASP.NET2.0在Forms 身份验证上的实现方法,以及ASP.NET2.0较上一版本有哪些改进或变化进行说明.相信读者都己经看过许多类似这样的文章,不伦是在网上或是某些专业书籍上,最近又有模式&实践小组成员发布WCF安全

  • 网站安全不容忽视 隐患无处不在

    根据CNCERT/CC今年上半年接收和处理的网络安全事件统计可以看出,目前中国的互联网安全实际状况仍不容乐观.各种网络安全事件与去年同期相比都有明显增加.半年时间内,CNCERT/CC 接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%.内地地区被植入木马的主机IP 远远超过去年全年,增幅达21 倍;内地被篡改网站数量比去年同期增加了4 倍,比去年全年增加了近16%. 从CNCERT/CC 掌握的上半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的

  • 网站安全不容忽视  隐患无处不在

    根据CNCERT/CC今年上半年接收和处理的网络安全事件统计可以看出,目前中国的互联网安全实际状况仍不容乐观.各种网络安全事件与去年同期相比都有明显增加.半年时间内,CNCERT/CC 接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%.内地地区被植入木马的主机IP 远远超过去年全年,增幅达21 倍;内地被篡改网站数量比去年同期增加了4 倍,比去年全年增加了近16%. 从CNCERT/CC 掌握的上半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的

随机推荐