1. 創(chuàng)業(yè)頭條
  2. 創(chuàng)業(yè)故事
  3. 正文

站長百科訪談:網(wǎng)站安全防護(hù)探討揭秘

 2013-06-27 15:32  來源:站長百科  我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

站長百科:

大家下午好,歡迎參加本期站長百科訪談。

網(wǎng)站安全問題是每個(gè)站長都或多或少遇到過的,也許有很多人的網(wǎng)站都曾經(jīng)被掛馬之類的安全問題困擾。本期站長百科訪談,邀請了湖盟云防火墻安全工程吳輝,就個(gè)人網(wǎng)站的安全問題進(jìn)行探討揭秘。

下面有請本期訪談嘉賓與大家打聲招呼,并簡單自我介紹下。

吳輝:

大家好,我是吳輝,湖北黃岡人,現(xiàn)居深圳,國內(nèi)一線安全白帽子聚集區(qū)——烏云技術(shù)社區(qū)一員。2007年起專攻互聯(lián)網(wǎng)網(wǎng)絡(luò)安全,以viekstID混跡于國內(nèi)各個(gè)相關(guān)的論壇。在校期間曾對(duì)學(xué)校主站,內(nèi)部網(wǎng)絡(luò),當(dāng)?shù)亻T戶等做滲透測試,均取得成功。個(gè)人擅長代碼審計(jì)和web滲透測試。近期在湖盟云防火墻做為安全工程師,負(fù)責(zé)針對(duì)WEB的規(guī)則補(bǔ)強(qiáng),以及注入滲透等測試工作。

站長百科:

可以看得出來,嘉賓的網(wǎng)站安全方面的實(shí)戰(zhàn)經(jīng)驗(yàn)很豐富。

下面開始本期訪談的第一個(gè)問題

什么是網(wǎng)站安全?嘉賓能簡單給我們介紹下網(wǎng)站安全的概念嗎?

吳輝:

網(wǎng)站安全是指出于防止網(wǎng)站受到外來電腦入侵者對(duì)其網(wǎng)站進(jìn)行掛馬,篡改網(wǎng)頁等行為而做出一系列的防御工作。由于一個(gè)網(wǎng)站設(shè)計(jì)者更多地考慮滿足用戶應(yīng)用,如何實(shí)現(xiàn)業(yè)務(wù)。很少考慮網(wǎng)站應(yīng)用開發(fā)過程中所存在的漏洞,這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見,大多數(shù)網(wǎng)站設(shè)計(jì)開發(fā)者、網(wǎng)站維護(hù)人員對(duì)網(wǎng)站攻防技術(shù)的了解甚少;在正常使用過程中,即便存在安全漏洞,正常的使 用者并不會(huì)察覺。

站長百科:

那么對(duì)于個(gè)人網(wǎng)站來說,利用這些漏洞的常見網(wǎng)站攻擊手段又有哪些呢?

吳輝:

對(duì)于這些覺的攻擊有:SQL注入 ,跨站, 文件包含, 遠(yuǎn)程代碼執(zhí)行

這些漏洞都是由于程序的設(shè)計(jì)缺陷或者某些參數(shù)沒有過濾,成功利用這些漏洞可以獲取管理員權(quán)限

站長百科:

很多站長會(huì)經(jīng)常被網(wǎng)站上出現(xiàn)的黑鏈所困擾,對(duì)于黑鏈我們該怎么防范呢?

吳輝:

一般黑客會(huì)在網(wǎng)站的首頁或者內(nèi)容頁掛上一段代碼,讓搜索引擎認(rèn)為網(wǎng)站導(dǎo)出了一個(gè)鏈接,而且這段代碼是非常隱蔽的,在我們平時(shí)簡單的網(wǎng)站維護(hù)中是看不到的,此時(shí)就可以通過IE的查看菜單,找到源文件,并且通過Ctrl+F進(jìn)行查找,比如。

“ < a href="" target="_blank" > 百度 < /a > ”內(nèi)容頁也是如此。如果查找到以后??梢酝ㄟ^Ftp下載Index.php等文件進(jìn)行刪除,上傳并覆蓋。這樣就基本上解決了被掛黑鏈的問題,當(dāng)然解決問題之后,就一定要通過密碼的設(shè)置加強(qiáng)對(duì)網(wǎng)站的安全的防護(hù),從而保證今后的網(wǎng)站安全性能!

站長百科:

對(duì)于個(gè)人網(wǎng)站來說,掛馬可能是經(jīng)常遇到和頭疼的一件事情。

那么我們該如何防范掛馬這類的安全問題呢?

吳輝:

通常木馬都是在html頁面中加入了一句Iframe代碼,而這段代碼很容易通過js腳本下載到客戶機(jī)上面,從而讓別人的電腦感染木馬病毒,我們可以在首頁和內(nèi)容頁中查詢iframe開頭的段落,然后再利用工具進(jìn)行排查,同時(shí)包括數(shù)據(jù)庫,后臺(tái)以及服務(wù)器等!網(wǎng)站受到攻擊之后,很多情況下是能夠發(fā)現(xiàn)的,你還可以檢測下網(wǎng)站服務(wù)器日志來查獲這些信息,一旦發(fā)現(xiàn)異常立即處理。

站長百科:

在網(wǎng)站的服務(wù)器安全問題上,我們會(huì)經(jīng)常提到webshell問題。

那么我們該如何做才能有效預(yù)防webshell問題呢?

吳輝:

其實(shí)webshell的獲得不僅僅能夠通過破解服務(wù)器后門獲得,我們通過上傳漏洞,或者寫配置文件也可獲得,所以對(duì)于相關(guān)的cms建站程序,要及時(shí)的進(jìn)行修復(fù)升級(jí),將這些漏洞打上補(bǔ)丁避免被黑客利用,另外平時(shí)多學(xué)習(xí)服務(wù)器及網(wǎng)站的安全防范知識(shí),從多種途徑解決網(wǎng)站漏洞的問題!

站長百科:

那么關(guān)于服務(wù)器的安全問題,我們要考慮哪些方面的因素,才能達(dá)到較高地安全性呢?

吳輝:

有些空間商為了節(jié)約成本,沒有安裝質(zhì)量高的殺毒軟件,從而讓服務(wù)器出現(xiàn)了很多的后門,這些后門往往就被一些黑客添加了很多新的管理賬戶,然后就被黑客拿走了 webshell,雖然現(xiàn)在市場上的webshell比較的廉價(jià),但是黑客可以黑空間商從而進(jìn)行批量的出售

為了防止服務(wù)器后門被攻擊,我們可以通過一直 按數(shù)次的shift鍵然后就提示你可以進(jìn)入后臺(tái)了,此時(shí)就可以定期的檢查后臺(tái)是否有不明身份的賬戶存在,如果有的話就要立即刪除,同時(shí)在仔細(xì)檢查服務(wù)器里 面的管理組用戶,看看有沒有什么不明的用戶,當(dāng)然適當(dāng)?shù)膫浞菔欠浅S斜匾?

站長百科:

對(duì)于網(wǎng)站的安全防護(hù),我們有哪些方面需要注意的?

吳輝:

(1)網(wǎng)站上線后應(yīng)及時(shí)修改網(wǎng)站后臺(tái)管理路徑

(2)設(shè)置不常見的賬號(hào)和復(fù)雜的密碼

(3)定時(shí)定期的備份后臺(tái)的數(shù)據(jù)并且及時(shí)備份到個(gè)人主機(jī)上,

(4)定期到論壇觀察最新咨詢和漏洞

(5)一旦出現(xiàn)問題,及時(shí)恢復(fù)備份的數(shù)據(jù)

站長百科:

那么對(duì)于站長來說,該怎么做才能真正保障自己的網(wǎng)站不被入侵呢?

吳輝:

要保護(hù)我們的網(wǎng)站不被黑客攻擊,我們應(yīng)該從空間,建站程序,以及站長的安全意識(shí)三個(gè)方面加強(qiáng),任何一個(gè)小的問題都有可能導(dǎo)致黑客入侵,只有這三個(gè)方面同時(shí)進(jìn)行防護(hù),才能有效避免黑客攻擊。

站長百科:

上面提到了建站程序的安全問題

那么如何從網(wǎng)站安全的角度來選擇一個(gè)建站程序?有沒有一些測試手段來測試網(wǎng)站程序是否安全?

吳輝:

選擇一個(gè)安全建站程序很重要,這也直接決定了后面的數(shù)據(jù)以及網(wǎng)站的安全。當(dāng)然這些建站系統(tǒng)也不可能做到絕對(duì)的安全,他們或多或少都存在一些漏洞,我們要做的就是在這個(gè)基礎(chǔ)上進(jìn)行完善。

想檢測自己網(wǎng)站是否安全,你可以在網(wǎng)上下一些Web安全漏洞掃描器,這里給大家介紹一個(gè)JSky,他可以檢測出SQL注入、跨站腳本、目錄泄露、網(wǎng)頁木馬等在內(nèi)的所有的WEB應(yīng)用層漏洞,也是黑客經(jīng)常使用的一個(gè)工具。

站長百科:

下面是本期訪談的最后一個(gè)問題

請嘉賓從網(wǎng)站安全的角度對(duì)個(gè)人網(wǎng)站提出一些建議。

吳輝:

(1)仔細(xì)查看安裝說明,按官方的說明做好基礎(chǔ)的安全設(shè)置。

(2)經(jīng)常訪問相關(guān)官方網(wǎng)站,關(guān)注程序安全漏洞和更新版本,及時(shí)給自己程序升級(jí)或打上補(bǔ)丁。

(3)盡量不采用修改版和插件版的程序,因?yàn)樾薷暮蟮某绦驎?huì)使漏洞更多,而且補(bǔ)丁也不一定完全適用。

(4)設(shè)置相對(duì)復(fù)雜的FTP密碼和網(wǎng)站管理密碼并經(jīng)常修改,同時(shí)考慮修改網(wǎng)站后臺(tái)管理的文件名稱。

(5)經(jīng)常檢查網(wǎng)站內(nèi)部文件,發(fā)現(xiàn)可疑文件后及時(shí)處理,并分析可能的原因。

(6)對(duì)于SQL數(shù)據(jù)庫,您可以用企業(yè)管理器連接,然后把重要數(shù)據(jù)表設(shè)置為只讀權(quán)限,可以防止任何方式添加管理員。

(7)二次開發(fā)時(shí)切記做好對(duì)特殊符號(hào)的過慮,防止注入漏洞。

(8)經(jīng)常備份自己的網(wǎng)站數(shù)據(jù),因?yàn)榫W(wǎng)站安全的第一要求就是備份,防止被黑以后數(shù)據(jù)丟失。

(9)如果有服務(wù)器管理權(quán)限建議把論壇上傳圖片目錄設(shè)置權(quán)限最低

站長百科:

感謝嘉賓的精彩解答,本期站長百科訪談到此結(jié)束。

版權(quán)所有,轉(zhuǎn)載請注明來自站長百科(),違者必究

申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

  • 暫不要?jiǎng)?chuàng)業(yè),誰創(chuàng)業(yè)誰死

    關(guān)注盧松松,會(huì)經(jīng)常給你分享一些我的經(jīng)驗(yàn)和觀點(diǎn)。盧松松視頻號(hào)會(huì)員專區(qū)有個(gè)會(huì)員提問,我感覺挺有代表性的,寫成公眾號(hào)文章,分享給大家:松哥,我花了太多時(shí)間在思考上,而一直沒有行動(dòng),名副其實(shí)的想的多做的少,同時(shí)感覺對(duì)這個(gè)世界缺乏了好奇心,不知道怎么去調(diào)整自己目前的這個(gè)狀態(tài),能量場太低。目前正值畢業(yè)季,我學(xué)的

  • 2024,你是誰?

    某種程度上“不惑”靠的不是年齡和閱歷,而是時(shí)代背景下的自我認(rèn)識(shí)和自我定位。

  • 中小微企業(yè)老板,如何講述一個(gè)引爆人心的創(chuàng)業(yè)故事?

    有粉絲留言說,我是一個(gè)中小微企業(yè)的創(chuàng)業(yè)者。我一直關(guān)注您的公眾號(hào)文章,也非常清楚私域用戶的重要性,特別是通過講述自己的創(chuàng)業(yè)故事來吸引他們。但我并不清楚如何開始講述我的創(chuàng)業(yè)故事,希望能得到秦剛老師的一些指導(dǎo)和建議。非常感謝!現(xiàn)在互聯(lián)網(wǎng)平臺(tái)上,關(guān)于普通人逆襲的十年體故事點(diǎn)贊和評(píng)論一般都是最高的,越來越多的

    標(biāo)簽:
    創(chuàng)業(yè)故事
  • 長城汽車總裁穆峰:新能源下半場競爭的是「體系與生態(tài)」| 大寶訪談

    嘉賓/長城汽車總裁穆峰出品/大寶訪談最近幾年,新能源市場風(fēng)起云涌,逐浪成勢。儲(chǔ)能、動(dòng)力電池、氫能、光伏和光電材料、可控核聚變、碳化硅芯片等細(xì)分賽道,技術(shù)指數(shù)級(jí)迭代,規(guī)模爆發(fā)式增長,整個(gè)新能源產(chǎn)業(yè)被視為中國經(jīng)濟(jì)長線躍遷的重要支柱,未來十到二十年最確定的趨勢性機(jī)會(huì)。作為重要的參賽者,業(yè)內(nèi)不可忽視的一股力

    標(biāo)簽:
    新能源汽車
  • 訪談6家區(qū)域龍頭便利店,破解“本地紅利”增長密碼

    便利店的三大“本地紅利”。

    標(biāo)簽:
    便利店
  • 請善待,那些舍得借錢給你們的人!

    這幾年的一樁樁,一件件,真的是看透了太多,認(rèn)清了太多。

  • 從微博到公眾號(hào)再到私域的創(chuàng)業(yè)彎路

    互聯(lián)網(wǎng)愛好者,打我愛好互聯(lián)網(wǎng)的那一年起,就先得了職業(yè)病,頭發(fā)就瘋狂的拋棄我,這10年每一天都在舍、得之間徘徊著,不過,現(xiàn)在不用了,因?yàn)槲也辉贀碛兴?。愛咋咋地吧,我這個(gè)就是當(dāng)觸網(wǎng)之后的回憶錄吧

    標(biāo)簽:
    創(chuàng)業(yè)故事
  • 華為寧可賠掉10個(gè)億,也要辭退這7000名老員工

    任正非曾說:華為寧可賠掉10個(gè)億,也要辭退這7000名老員工,而且年齡大多在34歲以上。到底怎么回事?2019年,華為7000多名工作滿8年的老員工,相繼向華為公司提交請辭自愿離職,辭職后的老員工需要重新競聘才能上崗。任正非之所以如此大費(fèi)周章,原因其實(shí)很簡單就是:狼性精神不能滅!

    標(biāo)簽:
    華為
  • 創(chuàng)業(yè)35年,黃光裕依然是他

    黃光裕也在進(jìn)化。除了高舉高打的早年風(fēng)格之外,他似乎也變得更具策略性。例如,他開始與先前的競爭對(duì)手走到一起,甚至包括零售后起新秀,他試圖以成本更低、效率更高的方式為國美提速。

    標(biāo)簽:
    黃光裕
  • 聯(lián)拓寶實(shí)力服務(wù)商曹金龍,如何做到日激活266臺(tái)設(shè)備

    聯(lián)拓寶是一款專為支付人打造的支付管理平臺(tái),隨著平臺(tái)的發(fā)展,涌現(xiàn)出一大批優(yōu)秀的合作伙伴,為此我們專門推出“實(shí)力派”頻道,為你介紹成功合作伙伴的心路歷程,他們曾經(jīng)也是普通人,結(jié)緣支付,通過一些思路和方法闖出了自己的一片天地。相信你能從他們的故事中受益。

    標(biāo)簽:
    移動(dòng)支付

編輯推薦