1 密码安全
不要是弱密码:虚拟主机注册用户~虚拟主机和域名控制面板上的FTP账号密码以及网站管理员密码不要使用同一个。不要用纯数字密码;不要用有关自己信息的密码;更不能使用管理员默认密码。设置密码:一定要设置一个强度高的密码,尽量多使用特殊字符。由于大多数网站系统使用MD5算法加密密码,所以确定安全的最好办法是把密码加密后的MD5值去黑客们常去破解MD5的网站去试一试,如果不能被破解,在一定程度上说你的密码是安全的。
2 网站设置安全
为了网站的安全,我们最好将网站后台的一些设置做一些调整。有些提供上传功能的网站,为了安全起见最好取消上传功能。如果要保留的话,最好设置为GIF~JPG!PNG~ZIP~RAR等格式文件的上传,限制用户一天上传的文件大小即可。如果是可以生成HTML页面的系统最后生成HTML,尽量避免使用ASP等动态页面。在设置管理员时不要将数据库操作和网站配制等版块的权限划分给其他管理员,除非他很值得信任。如果发现会员填写的纪录中有〈%~%〉~〈SCRIPT〉等符号,一定要清除它。
3 修改脚本,确保安全
版权信息:修改掉程序版权信息,这样可以杜绝黑客靠观察网站程序的版权信息来获取当前网站系统的版本,并通过搜索引擎来获取有利于个人入侵的信息,所以,一定要把版权信息改掉。
目录安全:在每一个目录里确保都含有INDEX。HTML文件,如果没有就新建一个不含有任何内容的INDEX。HTML,这样可以防范服务器IIS设置不严而出现的目录浏览。WINDOWS2003中的IIS还有一个很严重的漏洞就是:如果有一个文件夹名为FILES.ASP,那么该文件夹下的所有文件,均可以被asp.dll解释并执行。如果恶意者设法构造了那么一个文件夹,上传了一个改了扩展名为rar的asp木马,那么在恶意者访问这个上传后的rar文件时就运行了asp木马。所以站长在检查网站时也应注意是否存在这样命名的文件夹。
安全改进:将后台的数据库备份~数据库恢复和执行SQL语句的相关功能页面删除,最好也将注册条约等管理页面的相关页面删除。这样做虽然对网站管理造成一定的不便,但是黑客可以通过几项功能获得WEBLLSHELL,从而任意增删~修改数据库中的内容,日常的数据库备份最后还是用FTP登陆,然后备份到 本地来更为安全和节省空间。
4 数据库安全(只针对Access)
数据库对网站来说可以说是命根子,我们的会员信息~管理员信息全在里面,所以说主要从数据库的防下载处及防暴库入手。
防暴库处理:网站脚本系统一般都会有一个数据库连接文件,而如果没有容错语句On Error Resume Next就可能会产生网站数据库被暴出物理路径的危险,所以检查一下Conn.asp或mdb.asp等数据库连接文件中有没有On Error Resume Next一句,如果没有就在出现数据库物理路径的脚本语句之前加入即可。
对数据库比较重要的一点就是防下载处理,这里提供两种:1更改系统默认数据库路径~数据库名并在其中加入#~*~%23等字符。2用Access打开数据库,新建一个表,命名为〈%asdfg%>(〈%~%〉之间可以加任何的数值,只要不是正确的ASP语句即可),添加其中记录也同样是用这个,关闭数据库后将文件扩展名改为asp或asa即可达到防下载的目的。
5 后台安全
网站的后台管理登陆页面是管理员登陆进行管理网站的地方,黑客往往通过简单的工具就可以查到后台的路径。
我们自然不能让那些不怀好意的人知道我们从哪里登陆后台,就算让黑客知道了管理员用户名和密码也不知道从哪里登陆。在这里我们只需要修改后台的那个Admin文件夹名或后台登陆页面如admin_login.asp等文件名,然后在其余文件中查找原来路径并替换成新路径即可。修改后台页面标题信息,这样黑客就不能通过Google等搜索引擎来查询到后台地址。
现在有很多人运用动态网站、LEADBBS、由于源代码暴露,很容易别破坏,专家建议您参考以下几点:
(1)仔细查看安装说明,切记修改默认数据库名,并且一定要把扩展名改为asp或者asa,因为不经处理的数据库可以
直接下载,根本无安全可言,另外可以把数据库所在目录改名。
(2)尽量不采用无组件上传,使用其他组件上传方式(比如Fileup或LyfUpload),部分无组件上传带有严重漏洞,
一般可通过修改upfile.asp文件选择上传方式。
(3)经常访问相关官方网站,关注程序安全漏洞和更新版本,及时给自己程序升级或打上补丁。
(4)尽量不采用修改版和插件版的程序,因为修改后的程序会使漏洞更多,而且补丁也不一定完全适用。
(5)设置相对复杂的FTP密码和网站管理密码并经常修改,同时考虑修改网站后台管理的文件名称。
(6)经常检查网站内文件,发现可疑文件后及时处理,并分析可能的原因。
(7)对于SQL数据库,您可以用企业管理器连接,然后把重要数据表设置为只读权限,如动网的DV_Admin表修改为只
读以后,可以防止任何方式添加管理员。
(8)二次开发时切记做好对特殊符号的过虑,防止注入漏洞。
(9)经常备份自己的网站数据,因为网站安全的第一要求就是备份,防止被黑以后数据丢失。
(10)如果有服务器管理权限建议把论坛上传图片目录设置权限最低。
在网络攻击成倍增长的今天,网络反黑客保安全已经成为每个计算机用户的必备课程。欲成为成功的信息安全专业
人士,不仅需要不断更新最尖端的安全知识,还需要对商务过程和风险管理有深刻认识。就现在许多IT公司的现状来看
,基本上每一个公司都有一名或多名(部门)专职的人员负责着公司内网、外网、服务器的网络安全维护。而随着网络
应用的不断普及与信息安全服务需求市场的不断成熟,逐渐出现了一些专业的以信息安全服务为主要业务的团队、公司
。
大多数公司的网管仅仅是程序人员和网页设计人员,对安全涉猎有限。而且,网络是否安全,有时并不是网络所有
者自己完全清楚的。所以,许多公司要请第三方评估机构或专家来完成对网络安全的评估。这样做的好处是:能对自己
所处的环境有个更加清醒的认识,把未来可能的风险降到最小。目前网络安全评估的中介机构,国外已经开始将网络的
安全评估作为一个新的服务项目向社会推出。作为一种新兴的业务,其影响是否能象会计师事务所、审计师事务所之类
的中介机构那样重要,尚需拭目以待。但有一点可以肯定,那就是网络上的商机同样也与风险同存。要想获得利润,就
必须将安全问题解决。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024