重庆网站建设公司润雪科技
业成于勤
,守于挚
技精于专
,做于细
重庆网站建设 新闻动态 公司动态

网站开发:网站安全基本知识

2017-08-12      发布者:润雪科技      浏览量:1990

在不采取必要的安全预防措施的情况下启动网站就像在门上建立没有锁的房子一样。大多数人可能不会注意到,但是任何有恶意意图窃取或损坏您的数据的人都将有多个可以利用的漏洞。除了对您的业务造成的任何即时财务损失之外,如果客户的数据被盗窃,您也可能将其置于法律责任的危险,下面重庆网页设计公司重庆网站制作公司具体谈谈网站安全的问题。


在没有专家帮助的情况下,企业可以采取哪些基本步骤来提高自己网站的安全性?


网络安全审核 - 有许多网站,无论是付费还是免费,将为您提供基本的高级网站审核。其中一些应用程序可以提供非常深入的结果,可以传递给专业人士来处理。这些结果可能会暴露诸如跨站点脚本漏洞,SQL注入和JavaScript注入漏洞等缺陷。其中一些审核站点也可以间隔执行扫描以检测签名。由于它们通常是一个Web应用程序,企业所有者可以注册并执行扫描。


强密码策略 - 尽管在几乎每一篇关于网站安全的文章中都提到了这一点,但是最方便的方式来攻击一个网站,仍然是强力攻击一个非常简单的密码。为了帮助防止这种情况,一些系统将允许自定义密码策略。一个好的政策是主观的 - 有些喜欢至少有12个字符,需要一个数字,一个大写字母,有时是一个特殊的字符; 

锁定HTML输入 --允许站点管理员设置用户可以输入的数据类型的权限级别。例如,允许不受信任的用户输入完整的HTML是一个很大的风险,因为这将允许他们添加脚本标签并利用一个页面。权限页面提供了不允许不受信任的用户访问此输入类型的选项。

安全套件 - 允许用户调整网站的各种安全设置。虽然这对于非专业人士来说可能太过先进了,但该模块是公开的,可以通过网站进行配置,而不需要使用代码。

网站安全方面的专家可以增加什么价值?


端口扫描 - 根据您的设置,您的网站可能托管在托管平台上。在其他情况下,您可能有自己的专用服务器或VPS。在后一种情况下,专业人员将能够设置对端口更改的监视,端口是计算机上的服务,用于接收和传输数据。定期扫描服务器上的端口对于查看外部人员是否能够进行通话很有用。

定期更新 - 专业人员将能够在服务器和任何Web应用程序上运行定期更新。这将确保安装所有已知安全漏洞的修补程序。而在更新的例子中,如果没有按计划进行更新,他们将能够为您恢复您的网站。


防火墙 - 大多数UNIX / Linux发行版都安装了软件防火墙标准,并制定规则,以防止入侵者由专业人员进行,只允许某些端口对外开放,并注意流量。

DDoS - 为防止不必要的流量和DDoS攻击,这是一种攻击,试图通过淹没请求来使您的服务无法使用,专业人员将能够通过放置脚本来帮助您,或帮助配置像CloudFlare这样的付费服务。

HTTPS - 专业人员将能够帮助您将HTTPS证书放在适当位置,这在通过您的网站传输的敏感凭证(如密码或信用卡信息)时至关重要。

敏感数据保护 - 专业人员可以确保任何敏感数据(如信用卡数据)以符合行业安全标准的方式进行加密和存储。他们还可以锁定不能通过网络访问的文件和目录。

网站最常见的漏洞是什么?


强力密码攻击 - 这是当攻击者运行一个自动脚本来垃圾邮件登录尝试一次又一次的网站,直到他们猜到正确的密码。因此,强大的密码策略对于访问重要站点组件的人员的管理员尤其重要。


JavaScript注入 - 这是当未经授权的尝试将脚本插入到将要运行的一个或多个页面时,通常没有人知晓。用户可以随时提交值,该值应该被清理。


SQL注入 - 与JavaScript注入类似,当攻击者尝试将SQL(数据库)代码添加到任何输入字段或URL中以尝试覆盖数据库查询时。如果攻击成功,他们将能够覆盖数据库中的数据,添加自己的用户,更改密码,修改页面或访问信用卡数据(如果存储在数据库中,加密或其他)。这也可以通过消化输入数据来缓解。幸运的是CMS中,大多数的SQL操纵都是使用他们在源码中的核心来处理的; 然而,如果使用较旧的系统或自定义代码,则可能存在可以使用SQL注入的边缘情况。

跨站点脚本 - 与Javascript注入类似,攻击者可以向页面添加一些内联JavaScript。这通常通过表单字段或随后在页面上显示输入值的任何地方完成。这将允许某人将一些恶意代码添加到页面,然后通过电子邮件或链接传递到该页面的链接,以执行窃取凭据和劫持用户会话等操作。有两种XSS攻击 - 反思和持久。第一种是当代码被注入时,后者是代码被存储时,例如在数据库中或在模板上。

会话数据/ Cookie - 根据您的系统在客户端存储的数据,知识渊博的黑客可能会尝试利用这些数据并伪造自己的Cookie,以访问其通常不会访问的网站。只有非机密数据或在认证中不起主要作用的数据才能存储在cookie中。在诸如Redis的数据库中存储会话数据是常见的,并在客户端上存储加密的Cookie,如HMAC,以防止篡改。

DDoS攻击 - 如上所述,这是当一个攻击企图用更多的请求来淹没一个服务,它可以处理它,使其停止。在网站离线的消息中看到的大量攻击是由于DDoS攻击造成的。


一个网站安全专家最常见的问题是什么 - 企业可以自己解决的基本问题,以及需要更复杂的问题?


当网站被利用时,专业人士会遇到的最常见的问题是上述攻击。我们遇到的大多数实例是已经受到SQL注入和DDoS攻击的页面。由于密码策略差,黑客密码也很常见。 


但是,它也取决于Web应用程序和服务器。网站源码善于减轻许多核心安全问题,如跨站点脚本,SQL注入,JavaScript注入以及开箱即用的强力攻击。

对网站安全性最常见的误解是什么?


前苏联的宣传员尤里·贝泽梅诺夫曾经说过,最常见的间谍活动就是吹起桥梁,窃取微缩胶卷和高速追逐车。人们对黑客的看法可能是类似的,但事实却是截然不同的。绝大多数攻击除非有政治动机,否则将针对一个具体目标,即将网站降低或提取某种个人利益。大多数黑客将会寻找自动化的东西,并将其放在您的网站上,并进入下一个目标,以获得最大的收益。 


他们通常会在您的系统上运行各种扫描开始; 如果他们要尝试访问您的服务器,他们将尝试运行端口扫描并检查在各种端口上运行的软件版本。如果您的服务器在一段时间内尚未升级或更新,那么有一个漏洞可以用于一个软件运行的机会,并且可能会尝试利用它。或者如果您在服务器上运行的服务也可能具有较少的权限,那么他们可能会尝试以这种方式获得访问权限。 


如果您的服务器运行FTP以允许您上传文件,则黑客可能会尝试强制使用用户和密码组合,方法是尝试常用的词典进入。如果存在密码较弱的用户,则可能会获得访问,放置脚本,然后运行它,如果服务器没有确定的措施来防止这种情况。 


黑客也可以运行Web扫描器来尝试确定您使用的系统,版本以及启用了哪些模块。如果这些模块之一或系统本身不是最新的安全更新,他们可能会尝试利用漏洞利用来访问系统。如果这是不可能的,他们可能会尝试在您的系统上混合使用URL模式,将查询传递给URL以尝试执行SQL注入或跨站点脚本攻击。如果您运行的是较旧的系统或某些低于标准的自定义代码,这可能适用于它们。 


否则,他们可能会在您的网站上查找具有表单或输入字段的各种页面,并尝试注入恶意代码。他们可能会运行一个脚本,将无尽的请求发送到您的服务器,如果多个黑客以相同的方法定位到您的站点,可能会使您的服务器停止,在这种情况下,有一个良好的系统来防止这一点至关重要。黑客也可能会开始检查您的网站在浏览器中存储的cookie,并尝试对其进行解码,以找到一种利用它们的方式。 


这些只是几个例子,但除非黑客真正意图进入您的网站和您的网站,否则他们将寻找最快速,最简单的方式进行,以便他们可以放置一个政治信息或物品获得金钱利益然后转到他们的下一个目标。


本文由重庆网站建设公司润雪科技原创,文章地址:/news/id/719.html

重庆网站建设公司 - 润雪科技

地址:中国 · 重庆市南岸区南坪亚太商谷7幢23-10、23-11        电话:400-807-5908        手机:186-9655-6121        客服QQ:714-287-173

重庆网站建设公司润雪科技,专注于重庆网站建设重庆网站制作重庆网站设计重庆做网站,公司都秉承以“产品”为核心“用户”为中心,从实际出发为客户提供更优质的服务为宗旨,联系电话:400-807-5908
COPYRIGHT (©) 2017 网站建设公司润雪科技渝ICP备15012622号