在衆多網站上線後出現的安全漏洞問題非常明顯,作為網站安全公司的主管我想給大家分享下在日常網站維護中碰到的一些防護黑客攻擊的建議,希望大家的網站都能正常穩定運作免遭黑客攻擊。
1.對上傳檔案的目錄設定為腳本不能執行的權限
要是Web伺服器沒法解析該檔案目錄下的腳本文檔,即便黑客攻擊發送了腳本制作文檔,網站伺服器自身也不容易受到損害。許多商業網站的發送運用,上傳檔案之後放進單獨的儲存上,做靜态資料文檔解決,一方面使用緩存檔案加快,減少伺服器硬體耗損;另一方面也避免了腳本木馬實行的可能。
2分辨擴充名,對發送的擴充名進行辨識
分辨擴充名時,結合使用MIMEType措施,檔案字尾名查驗等措施。在擴充名查驗中,極力推薦使用白名單機制,而并不是使用黑名單的措施。除此之外針對上傳照片的解決,使用縮小函數或是resize涵數,在處理照片的同時也将毀壞照片中将會包括的HTML編碼。
3.對發送路徑獨立設定網站域名去通路
因為網站伺服器都在同一伺服器上,而且域名都不相同,一系列用戶端攻擊将無效,例如發送了包含JS代碼的XSS跨站腳本指令攻擊實行等問題将得到解決。是否可以這樣設定,必須看實際的業務流程的具體環境。此外,上傳檔案作用,也要充分考慮病毒感染,木馬病毒,SE圖檔視訊,違規文檔等與實際網絡安全防護結合更密不可分的難題,則必須做的工作中就大量了。持續的發覺難題,結合業務流程要求,才可以設計構思出有效的,最安全性的上傳作用。
SQL注入的防禦
解決構思:
-尋找全部的SQL注入系統漏洞語句
-修複這種系統漏洞
1.使用預編查詢語句
防護SQL注入攻擊的最好措施,就是使用預編譯查詢語句,關連變量,然後對變量進行類型定義,比如對某函數進行數字類型定義隻能輸入數字。
2.使用存儲過程
實際效果與預編語句相近,差别取決于存儲過程必須先将SQL語句界定在資料庫查詢中。也肯定存在注入難題,防止在存儲過程中,使用動态性的SQL語句。
3.查驗基本資料類型
4.使用安全性函數
各種各樣Web代碼都保持了一些編号函數,能夠協助抵抗SQL注入。
5.其他建議
資料庫查詢本身視角而言,應當使用最少管理權限标準,防止Web運用立即使用root,dbowner等高線管理權限帳戶直接連接配接資料庫查詢。為每一運用獨立分派不一樣的帳戶。Web運用使用的資料庫查詢帳戶,不應當有建立自定函數和實際操作本地文檔的管理權限,說了那麼多可能大家對程式代碼不熟悉,那麼建議大家可以咨詢專業的網站安全公司去幫你做好網站安全防護,推薦SINE安全,鷹盾安全,山石科技,啟明星辰等等公司都是很不錯的。