浙江網(wǎng)站建設(shè)中,網(wǎng)站安全維護(hù)的內(nèi)容要注意些什么?
網(wǎng)站安全維護(hù)的內(nèi)容:
1.密碼安全
虛擬主機(jī)和域名控制面板上的FTP賬號(hào),密碼以及網(wǎng)站管理員密碼不要使用同一個(gè);不要用純數(shù)字密碼;不要用有關(guān)自己信息的密碼;更不能使用管理員默認(rèn)密碼。一定要設(shè)置一個(gè)強(qiáng)度高的密碼,盡量多使用特殊字符。由于大多數(shù)網(wǎng)站系統(tǒng)使用MD5算法加密密碼,所以確定安全的最好辦法是把密碼加密后的MD5值去黑客們常去破解MD5的網(wǎng)站試一試,如果不能被破解,在一定程度上說明密碼是安全的。
2.網(wǎng)站設(shè)置安全
為了網(wǎng)站的安全,最好將網(wǎng)站后臺(tái)的一些設(shè)置做一些調(diào)整。有些提供上傳功能的網(wǎng)站,為了安全起見最好取消上傳功能。如果要保留的話,最好設(shè)置為GIF、JPG、PNG、ZIP、RAR等格式文件的上傳,限制用戶一天上傳的文件大小即可。如果是可以生成HTML頁面的系統(tǒng)最后生成HTML,盡量避免使用ASP等動(dòng)態(tài)頁面。在設(shè)置管理員時(shí)不要將數(shù)據(jù)庫操作和網(wǎng)站配制等板塊的權(quán)限劃分給其他管理員,除非了很值得信任。如果發(fā)現(xiàn)會(huì)員填寫的記錄中有〈%-%〉、〈SCRIPT〉等符號(hào),一定要清除它。
3.修改腳本
版權(quán)信息:修改掉程序版權(quán)信息可以杜絕黑客靠觀察網(wǎng)站程序的版權(quán)信息來獲取當(dāng)前網(wǎng)站系統(tǒng)的版本,并通過搜索引擎來獲取有利于個(gè)人入侵的信息。
目錄安全:在每一個(gè)目錄里確保都含有INDEX.HTML文件,如果沒有就新建一個(gè)不含有任何內(nèi)容的INDEX.HTML文件,這樣可以防范服務(wù)器IIS設(shè)置不嚴(yán)而出現(xiàn)的目錄瀏覽。Windows 2003中的IIS還有一個(gè)很嚴(yán)重的漏洞:如果有一個(gè)文件夾名為FILES.ASP,那么該文件夾下的所有文件,均可以被asp.dll解釋并執(zhí)行。如果惡意者設(shè)法構(gòu)造了那么一個(gè)文件夾,上傳一個(gè)擴(kuò)展名為rar的asp木馬,那么在惡意者訪問這個(gè)上傳后的rar文件時(shí)就運(yùn)行了asp木馬。所以站長在檢查網(wǎng)站時(shí)也應(yīng)注意是否存在這樣命名的文件夾。
安全改進(jìn):將后臺(tái)的數(shù)據(jù)庫備份、數(shù)據(jù)庫恢復(fù)和執(zhí)行SQL語句的相關(guān)功能頁面刪除,最好也將注冊條約等管理頁面的相關(guān)頁面刪除。這樣做雖然對網(wǎng)站管理造成一定的不便,但是黑客可以通過幾項(xiàng)功能獲得WEBLLSHELL,從而任意增刪、修改數(shù)據(jù)庫中的內(nèi)容,日常的數(shù)據(jù)庫備份最后還是用FTP登錄,然后備份到本地來更為安全和節(jié)省空間。
4.數(shù)據(jù)庫安全(只針對Access)
數(shù)據(jù)庫對網(wǎng)站來說是重中之重,會(huì)員信息、管理員信息全在里面,所以說主要從數(shù)據(jù)庫的防下載處及防暴庫入手。
防暴庫處理:網(wǎng)站腳本系統(tǒng)一般都會(huì)有一個(gè)數(shù)據(jù)庫鏈接文件,而如果沒有容錯(cuò)語句“On Error Resume Next”,就可能會(huì)產(chǎn)生網(wǎng)站數(shù)據(jù)庫被暴出物理路徑的危險(xiǎn),所以檢查一下Conn.asp或mdb.asp等數(shù)據(jù)庫鏈接文件中有沒有容錯(cuò)語句,如果沒有就在出現(xiàn)數(shù)據(jù)庫物理路徑的腳本語句之前加入即可。
對數(shù)據(jù)庫比較重要的一點(diǎn)就是防下載處理,這里提供兩種方法:(1)更改系統(tǒng)默認(rèn)數(shù)據(jù)庫路徑、數(shù)據(jù)庫名并在其中加入#、*、%等字符;(2)用Access打開數(shù)據(jù)庫,新建一個(gè)表,命名為<%asdfg%>(<%-%>之間可以加任何的數(shù)值,只要不是正確的ASP語句即可),添加記錄同樣也是用這個(gè),關(guān)閉數(shù)據(jù)庫后將文件擴(kuò)展名改為asp或asa即可防下載的目的。
5.后臺(tái)安全
網(wǎng)站的后臺(tái)管理登錄頁面是管理員登錄進(jìn)行管理網(wǎng)站的地方,黑客往往通過簡單的工具就可以查到后臺(tái)的路徑。
不能讓那些不懷好意的人知道管理員從哪里登錄后臺(tái),就算讓黑客知道了管理員的用戶名和密碼也不知道從哪里登錄。在這里只需要修改后臺(tái)的Admin文件夾名或后臺(tái)登錄頁面如admin_login.asp等文件名,然后在其余文件中查找原來路徑并替換成新路徑即可。修改后臺(tái)頁面標(biāo)題信息,這樣黑客就不能通過Google等搜索引擎來查詢后臺(tái)地址。
以上部分內(nèi)容(文字、圖片)收集于互聯(lián)網(wǎng),版權(quán)歸原作者所有。感謝每一位辛勤著寫的作者,感謝每一位的分享。免責(zé)聲明:如有侵犯您的原創(chuàng)版權(quán)請告知,我們將盡快刪除相關(guān)內(nèi)容,感謝您的理解與支持。