在衆多網站上線後出現的安全漏洞問題非常明顯,作爲網站安全公司的主管我想給大家分享下在日常網站維護中碰到的一些防護黑客攻擊的建議,希望大家的網站都能正常穩定運行免遭黑客攻擊。
1.對上傳文件的目錄設定爲腳本不能執行的權限
要是Web服務器沒法解析該文件目錄下的腳本文檔,即便黑客攻擊發送了腳本製作文檔,網站服務器自身也不容易受到損害。許多商業網站的發送運用,上傳文件之後放進單獨的儲存上,做靜態數據文檔解決,一方面使用緩存文件加快,減少服務器硬件耗損;另一方面也避免了腳本木馬實行的可能。
2分辨擴展名,對發送的擴展名進行辨別
分辨擴展名時,結合使用MIMEType措施,文件後綴名查驗等措施。在擴展名查驗中,極力推薦使用白名單機制,而並不是使用黑名單的措施。除此之外針對上傳照片的解決,使用縮小函數或是resize涵數,在處理照片的同時也將毀壞照片中將會包括的HTML編碼。
3.對發送路徑獨立設定網站域名去訪問
因爲網站服務器都在同一服務器上,而且域名都不相同,一系列客戶端攻擊將無效,例如發送了包含JS代碼的XSS跨站腳本指令攻擊實行等問題將得到解決。是否可以這樣設置,必須看實際的業務流程的具體環境。此外,上傳文件作用,也要充分考慮病毒感染,木馬病毒,SE圖片視頻,違規文檔等與實際網絡安全防護結合更密不可分的難題,則必須做的工作中就大量了。持續的發覺難題,結合業務流程要求,纔可以設計構思出有效的,最安全性的上傳作用。
SQL注入的防禦
解決構思:
-尋找全部的SQL注入系統漏洞語句
-修復這種系統漏洞
1.使用預編查詢語句
防護SQL注入攻擊的最好措施,就是使用預編譯查詢語句,關連變量,然後對變量進行類型定義,比如對某函數進行數字類型定義只能輸入數字。
2.使用存儲過程
實際效果與預編語句相近,差別取決於存儲過程必須先將SQL語句界定在數據庫查詢中。也肯定存在注入難題,防止在存儲過程中,使用動態性的SQL語句。
3.查驗基本數據類型
4.使用安全性函數
各種各樣Web代碼都保持了一些編號函數,能夠協助抵抗SQL注入。
5.其他建議
數據庫查詢本身視角而言,應當使用最少管理權限標準,防止Web運用立即使用root,dbowner等高線管理權限帳戶直接連接數據庫查詢。爲每一運用獨立分派不一樣的帳戶。Web運用使用的數據庫查詢帳戶,不應當有建立自定函數和實際操作本地文檔的管理權限,說了那麼多可能大家對程序代碼不熟悉,那麼建議大家可以諮詢專業的網站安全公司去幫你做好網站安全防護,推薦SINE安全,鷹盾安全,山石科技,啓明星辰等等公司都是很不錯的。