公司網站安全工作是一個日常工作�����,不可以掉以輕心�,我們在公司網站制作運營過程中�����,免不了有時候會面臨一些惡意的攻擊����,所以�,我們需要從多個方面��,多個角度去搞好網站的安全工作�,做好下面這六點�����,將是我們網站安全工作的重點���。
靠前�����、關于公司網站密碼問題
現在大多密碼都是md5加密的����,因此即使你的站被注入了�����,黑客們拿到了密碼也是個密文���,需要解密���。由于md5是個不可逆的加密算法�,因此只能暴力破���,就是一個一個試�,或者建立一個大的數據庫去查上面這個絕不是廣告�,當時我都用這個�,因為它的數據庫很大��,因此推薦各位站長保護自己密碼的一個好辦法�����,把自己密碼先加個密�,在放到站里去查看能不能破解出來�,要是能���,最好還是換個復雜點的����。
第二�����、關于跨站漏洞問題��,這個漏洞應該說對于非論壇的站危害不大��,主要危害地點是留言版��,防止方法即使過濾掉危險的html代碼像是scriptiframe等等�����,像php提供了專門函數可以將<>之類的代碼進行轉換���。
第三���、對于網站安全來講�,首先莫過于找個好的服務器���。
不過實際確是特別重要���,特別是對買不起服務器�����,只能買虛擬空間的朋友們���,因為即使你的網站再安全��,如果你服務器里其它網站很爛加之服務器權限設置又不是很好�����,或者提供了很多給黑客們提權的機會的話���,你的站同樣很危險�����。通常我們所說的旁注����,就是這樣一個道理����。建議是:挑選服務器是��,首先查詢下服務器內有些什么其它的站���,再掃一掃服務器開放了那些端口���,像是servu的端口43958就算一個高危端口����,當然也不是凡是有的就不能用��,有條件�,你可以自己試一試提權的難度����。
第四��、對于自身網站來說����,最危險的兩個漏洞要數:注入漏洞和上傳漏洞
首先我們談一談注入漏洞:注入漏洞通常是由于對傳入的參數過濾不嚴導致的���,黑客們可以通過構造sql語句來查詢數據庫中管理員帳號之類的�����,甚至對于mssql之類的數據庫�����,可以執行系統命令�����,上傳文件等等�,可謂危害甚大��,對于防止此類漏洞�����,一般主要是過濾掉危險的sql代碼如andselect之類的,另外常做的是在參數為數字時判斷一下isInt?在參數為字符時過濾掉''即可�。當然真正來說也不是這么簡單���,不過對于一個安全要求并不高的站來說就夠了���。對于上傳漏洞���,則更好解決�,如果是自己編的程序�,北京網站建設人員認為一般來說��,不會出太大問題����,記得要限制文件格式即可�����。對于市場上的程序我們后面講�。
第五���、關于用著名網站程序的問題
要知道����,越是著名的程序����,研究他的人越多�,比如當時的動網論壇���,幾乎一直暴漏洞��,成了洞網論壇了���,為什么呢?程序寫的不好?那為什么那么多人用����,當然用的是asp是其中一部分原因(asp確實就其他語言來說危險很多)�,更大原因是他太有名了�,研究的人太多了��。因此���,在這個情況下����,最好關注官方補丁���,一旦有補丁�����,就打上�,千萬別懶����。不然很快就要遭殃�����。
