国内外黑客组织或者个人为牟取利益窃取和篡改网络信息,已成为不争的事实,
在不断给单位和个人造成经济损失的同时,我们也应该注意到这些威胁大多是
基于
Web
网站发起的攻击,
在给我们造成不可挽回的损失前,
我们有必要给大家
介绍几种常见的网站漏洞,
以及这些漏洞的防范方法,
目的是帮助广大网站管理
者
理清安全防范思绪,找到当前的防范重点,最大程度地避免或减少威胁带来
的损失。
1
、
SQL
语句漏洞
也就是
SQL
注入,
就是通过把
SQL
命令插入到
Web
表单递交或输入域名或页
面请求的查询字符串,
最终达到欺骗服务器执行恶意的
SQL
命令,
比如先前的很
多影视网站泄露
VIP
会员密码大多就是通过
WEB
表单递交查询字符暴出的,
这类
表单特别容易受到
SQL
注入式攻击。
有效防范手段:
对于
SQL
注入问题的一般处理方法是账户最小权限原则。
以
下几种方法推荐使用:
对用户输入信息进行必要检查
对一些特殊字符进行转换或者过滤
使用强数据类型
限制用户输入的长度
需要注意:这些检查要放在
server
运行,
client
提交的任何东西都是不可
信的。
使用存储过程,
如果一定要使用
SQL
语句,
那么请用标准
的方式组建
SQL
语句。比如可以利用
parameters
对象,避免用字符串直接拼
SQL
命令。当
SQL
运行出错时,不要把数据库返回的错误信息全部显示
给用户,错误信息经常会
透露一些数据库设计的细节。
2
、网站挂马
挂马就是在别人电脑里面
(
或是网站服务器
)
里植入木马程序,
以盗取一些信
息或者控制被挂马的电脑做一些不法的勾当
(
如攻击网站,
传播病毒,
删除
资料
等
)
。网页挂马就是在网页的源代码中加入一些代码,利用漏洞实现自动下载木
马到机器里。网站挂马的形式可分为框架挂马、数据库挂马、后台挂马、服务器
挂马以及其他形式的挂马方式。
有效防范手段:
要防止网站被挂马,
可以采取禁止写入和目录禁止执行的功
能,这两项功能相组合,就可以有效地防止
ASP
木马。此外,网站管理员通过
FTP
上传某些数据,维护网页时,尽量不安装
asp
的上传程序。这对于常被
ASP
木马影响的网站来说,会有一些帮助。当
然是用专业的查杀木马工具也是不错
的防护措施。