电商网站安全方案

网站安全方案

 

网站安全从代码到服务器，再从客户端到服务端，这些都会出现安全问题，甚至连浏览器自带的功能也会影响到网站的安全。

下面提出一些有关网站安全的建议

一、安装网站安全狗，可以防止一般黑客攻击手段，安全狗有以下优势。

1、强力拦截各类注入、跨站、漏洞、应用风险，强力拦截SQL注入、XSS跨站、struts2漏洞、建站程序漏洞、0day漏洞、短文件名漏洞、IIS目录漏洞、主动拦截网马上传、带马页面浏览、恶意代码调用组件。

2、精确查杀各类，网马、挂马、黑链与畸形文件，本地网马引擎与云端网马引擎结合，精确查杀各类网马、挂马、黑链与畸形文件。智能化查杀，精准、快速、资源耗用小、彻底有效清除后门隐患。

3、有效拦截非法攻击请求，降低流量攻击伤害，智能验证模式有效拦截非法网站攻击请求，降低因流量攻击对网站、服务器带来的伤害。

4，防盗链、特定资源保护，有效保护网站资源，禁止网站图片、视频文件等资源非法盗链，禁止网站数据库等敏感文件非法下载，有效保护网站重要文件资源。

5，云网络实现网站静态资源全国访问，加速对网站图片、CSS、JS静态资源提供全国访问加速，秒级智能云调度系统，瞬时将您的网站资源快速推送到所有访问用户眼前。

6，全IP黑白名单功能允许用户设置个性化的IP信任列表，直接屏蔽或者允许指定IP访问网站。同时，增加iP临时黑名单功能，以及实现了针对某个功能的iP白名单功能。同时，爬虫白名单提供爬虫信任机制，在出现误拦截情况下，允许用户自定义爬虫信任。

 

二、配置域名的ssl证书，安装ssl证书有以下作用。

1、防止网站被劫持，常见的是手机广告劫持与流量劫持。 
2、网站交流数据的加密传输。 
3、搜索引擎优先收录HTTPS站点，更有利SEO优化。 
4、网站源码与系统受到全站SSL协议安全。 
5、网站容易被识别，增加网站信任度与形象。 
6、帮助用户识别钓鱼网站。 
7、保障用户隐私信息安全与网站隐私。 
8、用于微信小程序与APP开发接入服务。

 

三、在项目上重要的地方添加操作日志，防止操作失误造成数据丢失。

重要的信息添加查看密码或者验证码 (密码多次输入错误禁用信息)，用于管理员查看或者专人查看，预防数据一目了然，降低重要信息泄露的风险。

 

四、定期分析数据库日志

数据库安全防护条目提及的"访问日志"条；

定期备份数据库；

新库、新表建立记录；

存储过程执行记录；

数据的导入导出记录；

 

五、定期检查WEB项目；

关键字搜索检查；

文件修改时间检查；

文件最后访问时间检查；

特殊文件名文件检查；

上传文件夹检查；

文件大小检查；

定期备份web项目。

 

六、一、预防逻辑漏洞

进行业务流程梳理

接口会发加签名和超时机制

避免通过前端进行验证和现在

减少暴露给用户的参数

增加共享数据互斥机制

不要相信用户输入

检查用户输入