发布时间：2022-09-27 00:00   您所在的位置： 网站首页 > 新闻资讯 > 经验杂谈

方法一：构建保险服务器环境，严防先进道锁

　　据陕西地震局一位负责网站维护的技术人员告知记者，陕西地震网遭受到了黑客攻击，*页显示的“网站出现重大保险漏洞”的信息属黑客发布的虚假信息，而现在网站运行保险，并未出现技术漏洞。咋们在谴责“地震黑客”的同时，也在思考另一个问题，怎么样来保障咋们的网站保险运行？对此问题，记者走访了国内中小型网站保险防范问题专家。

　　据介绍：构建保险服务器环境，构筑黑客攻击先进链条。但构建保险的服务器环境来抵御“黑客”攻击，其涉及面相当广，但就中小型网站而言，大致可从三个方面来开展：（一）技术层面：采用软硬件防火墙、杀毒软件、页面防篡改系统来建立一个结构上较健全的Web服务器环境；（二）服务方面，开展网络拓扑剖析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的浏览日志开展备份，通过这些服务，增强网络的抗干扰性；（三）支持方面，需求服务商提供故障排除服务，以提高网络的性。

　　但现在大多数中小型网站全是以虚拟主机的形式托管的，要提高网站保险性，降0黑客攻击风险，网站管理员就应及时给自个的网站程序打上较新的补丁，在开发的时候应加强保险意识，注意防止注入漏洞、上传漏洞等问题，同时把网站托管在技术实力强、保险系数高、能主动帮客户解决保险的服务商处，以网站保险运行环境的保险。

　　方法二：重视网站系统保险，布控第二把锁

　　构建保险服务器的环境，只是从外围开展阻击“黑客”的攻击，但更重要的还是要保障网站系统保险，防止黑客利用系统漏洞开展攻击，从而威胁网站保险。

　　据动易公司网络保险专家介绍：依据2007年 OWASP 组织发布的 Web 应用程序脆弱性10大排名的统计结果表明，跨站脚本、注入漏洞、跨站请求伪造、信息泄露等方面的问题仍然是现在黑客流行的攻击方法，而其中尤以SQL注入攻击和跨站脚本攻击为重，所谓的SQL注入攻击便是利用程序员在编写代码时没有对顾客输入数据的合法性开展判断，使得入侵者可以通过插入并执行恶意SQL命令，获得数据读取和修改的权限；而跨站脚本攻击则是通过在网页中加入恶意代码，当浏览者浏览网页时，恶意代码会被执行或者通过给管理员发信息的方法诱使管理员浏览，从而获得管理员权限，控制整个网站。

　　那么，对这种黑客攻击方法有没有有效的保险手段开展阻击呢？据悉，在SiteFactory? 信息管理系统开发中，针对多种攻击方法都制定了相应完整的防御方案，并且借助 ASP.NET 的特性和基本功能，可以有效的抵制恶意顾客对网站开展的攻击，提高网站的保险性，但就针对现在SQL注入攻击和跨站脚本攻击，其更加有效的阻击手段是什么呢？为此，咋们向动易网络保险专家清楚，他向咋们介绍了一部分保险手段：

　　（一）相对SQL注入攻击：动易系统采用对SQL查询语句中的查询参数开展过滤；使用类型保险的SQL参数化查询方法，从根本上解决SQL注入的问题；URL参数类型、数量、范围限制基本功能，解决恶意顾客通过地址栏恶意攻击的问题等，这些手段是控制SQL注入的，还包含其它的一部分过滤处置，和其它的对顾客输入数据的验证来防止SQL注入攻击。

　　（二）：相对跨站脚本攻击：在相对不支持HTML的信息直接实行编码处置的方法，来从根本上解决跨站问题。而相对支持Html的信息，咋们有专门的过滤函数，会对数据开展保险处置（依据XSS攻击库的攻击实例），虽然这种方法现在是保险的，但不代表以后也一定是保险的，由于攻击手段会一直翻新，咋们的过滤函数库也会一直更新。

　　另外相对外站浏览和直接浏览咋们也做了判断，从一定水平上也可以防止跨站攻击。即使出现了了跨站攻击，咋们也会将攻击的决定减到较小：一、相对后台一部分会显示HTML信息的地方，通过frame的保险属性security="restricted"来阻止脚本的运行（IE有效）；二、使用Cookie的HttpOnly属性来防止Cookie通过脚本泄密（IE6 SP1以上、Firefox 3）；三、身份验证票据全是加密过的；四、推荐使用更高版本的IE或者FF。

本文章由新概念互动原创，如没特殊注明，转载请注明来自：http://www.jianzhan0.com/jingyand/74588.html

上一篇：网站开发指南：给小白站长做网站十七条建议

下一篇：网站开发遇到瓶颈了吗 不同阶段各有的特征