当前位置:首页 > 智能硬件 > 安全设备/系统
[导读] (文章来源:网站安全服务器安全) 从今年3月份全世界黑客攻击网站分析局势来看,黑客攻击的网站中中国占有了绝大多数。那麼作为一个公司或是开发公司,如何防止自身的网站黑客攻击,从企业网站建设

(文章来源:网站安全服务器安全)

从今年3月份全世界黑客攻击网站分析局势来看,黑客攻击的网站中中国占有了绝大多数。那麼作为一个公司或是开发公司,如何防止自身的网站黑客攻击,从企业网站建设之初,就应当搞好这种安全对策,当你的网站保证以下几个方面都做好了的话,相对性是较为安全的。下边就由SINE安全网编为你唠唠如何防止网站被攻击的安全防护干货经验。

1、越权:问题叙述:不一样管理权限帐户中间存有越权浏览。改动提议:提升用户权限的认证。留意:通常根据不一样管理权限客户中间连接浏览、cookie、改动id等。

2、密文传送,问题叙述:系统对客户动态口令维护不够,网络攻击能够 运用攻击专用工具,从互联网上盗取合理合法的客户动态口令数据信息。改动提议:传输的登陆密码必须进行多次加密防止被破解。留意:全部登陆密码要数据加密。要繁杂数据加密。不能用或md5。

3、sql注入:问题叙述:网络攻击运用sql注入系统漏洞,能够 获得数据库查询中的多种多样信息内容,如:后台管理系统的登陆密码,进而脱取数据库查询中的內容(脱库)。改动提议:对输入主要参数开展过滤、校检。选用黑名单和白名单的方法。留意:过滤、校检要遮盖系统软件内全部的主要参数。

4、跨站脚本制作攻击:问题叙述:对输入信息内容沒有开展校检,网络攻击能够 根据恰当的方式引入故意命令代码到网页页面。这类代码一般 是JavaScript,但事实上,还可以包含Java、VBScript、ActiveX、Flash或是一般的HTML。攻击取得成功以后,网络攻击能够 取得高些的管理权限。改动提议:对客户输入开展过滤、校检。輸出开展HTML实体线编号。留意:过滤、校检、HTML实体线编号。要遮盖全部主要参数。

5、上传文件系统漏洞:问题叙述:沒有对上传文件限定,将会被提交可执行文件,或脚本文件。进一步造成网站服务器失陷。改动提议:严苛认证文件上传,避免提交asp、aspx、asa、php、jsp等风险脚本。朋友最好是添加文件头认证,避免客户提交不法文档。

6、后台管理详细地址泄漏,问题叙述:后台管理详细地址过度简易,为网络攻击攻击后台管理出示了便捷。建议更改:要更改后台管理的地址链接,地址名称必须很复杂。

7、比较敏感数据泄露:问题叙述:系统软件曝露內部信息内容,如:网站的绝对路径、网页页面源代码、SQL句子、分布式数据库版本号、程序流程出现异常等信息内容。改动提议:对客户输入的出现异常空格符过滤。屏蔽掉一些不正确回显,如自定404、403、500等。

8、指令实行系统漏洞,问题叙述:脚本制作程序流程启用如php的system、exec、shell_exec等。改动提议:修复漏洞,系统对内必须实行的指令要严格限定。

9、文件目录遍历系统漏洞,问题叙述:曝露文件目录信息内容,如编程语言、网站构造,改动提议:改动有关配置,防止目录列表显示。

10、应用程序重放攻击,问题叙述:反复递交数据文件。改动提议:加上token认证。时间戳或这图形验证码。

11、CSRF(跨站请求仿冒),问题叙述:应用早已登录客户,在不知道的状况下实行某类姿势的攻击。改动提议:加上token认证。时间戳或这图形验证码。

12、随意文件包含、随意压缩文件下载:问题叙述:随意文件包含,对系统传到的文件夹名称沒有有效的校检,进而实际操作了预期以外的文档。随意压缩文件下载,系统软件出示了免费下载作用,却未对免费下载文件夹名称开展限定。改动提议:对客户递交的文件夹名称限定。避免故意的文档载入、免费下载。

13、设计方案缺点/逻辑错误:问题叙述:程序流程根据逻辑性保持丰富多彩的作用。许多状况,逻辑性作用存有缺点。例如,程序猿的安全观念、考虑到的不全面等。改动提议:提升程序流程的设计方案和判断推理。

14、XML实体线引入:问题叙述:当容许引入外界实体时,根据结构故意內容,可造成载入随意文档、实行系统命令、检测内网端口这些。改动提议:应用编程语言出示的禁止使用外界实体方式,过滤客户递交的XML数据信息。

15、检验存有风险性的不相干服务项目和端口号,问题叙述:检验存有风险性的不相干服务项目和端口号,为网络攻击出示便捷。改动提议:关掉没用的服务项目和端口号,早期只开80和数据库端口,应用的情况下对外开放20或是21端口。

16、登录作用短信验证码系统漏洞,问题叙述:持续故意反复一个合理的数据文件,反复发送给服务器端。服务器端未对客户递交的数据文件开展合理的限定。改动提议:短信验证码在网站服务器后端开发更新,数据文件递交一次数据信息数更新一次。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭