小型網(wǎng)站怎樣預(yù)防黑客進犯(一) |
發(fā)布時間:2024-08-26 文章來源:本站 瀏覽次數(shù):946 |
對于小型網(wǎng)站來說,預(yù)防黑客攻擊至關(guān)重要。很多網(wǎng)站都在建設(shè)各種網(wǎng)絡(luò)應(yīng)用軟件,以期為用戶供給更好的服務(wù),這其間尤以各種創(chuàng)立、修改和管理內(nèi)容的應(yīng)用軟件為多。這些體系供給了很多根據(jù)用戶輸入信息的強大互動特性,值得注意的是,考慮安全問題,防止第三方的歹意進犯并保證佳的用戶體驗也變得更為重要。
黑客進犯的類型及阻攔方式:
黑客能夠采納多種不同的進犯方式部分或全部控制一個網(wǎng)站。常見和風(fēng)險的是SQL植入和跨站點腳本 。
SQL植入是一種在網(wǎng)絡(luò)應(yīng)用程序中植入歹意代碼的技能,它使用數(shù)據(jù)庫層面的安全漏洞以達到不合法控制數(shù)據(jù)庫目的。這種技能非常強大,它能夠操作網(wǎng)址(查詢字符串)或其他任何形式(查找,登錄,電子郵件注冊)以植入歹意代碼。您能夠在網(wǎng)絡(luò)應(yīng)用安全聯(lián)盟(英文)中找到一些關(guān)于SQL植入的比如。
為防止此類黑客進犯的產(chǎn)生的確有法可循。舉例來說,在前端界面和后端數(shù)據(jù)庫之間添加一個“中間層”便是一種很好的做法。在PHP中,PDO擴展通常與參數(shù)一起產(chǎn)生效果,而不是直接將用戶輸入做為命令句子。另一種極為簡略的技能 是字符轉(zhuǎn)義,經(jīng)過這種方式,所有能夠直接影響數(shù)據(jù)庫結(jié)構(gòu)的風(fēng)險字符都能夠被轉(zhuǎn)義。例如,參數(shù)中每出現(xiàn)一個單引號[ ‘ ]有必要代之以兩個單引號[ ’ ‘ ]來形成一個有用的SQL字符串。這只是兩種您能夠采納的、常見的用以改善網(wǎng)站安全并防止SQL植入的有用方式。您還能夠在網(wǎng)上找到許多其他契合您需求的資源(編程言語,具體的Web應(yīng)用程序等)。
下面咱們要介紹的是跨站點腳本技能 ?缯军c腳本是一種經(jīng)過使用網(wǎng)絡(luò)應(yīng)用程序?qū)用娴陌踩┒矗诰W(wǎng)頁中植入歹意代碼的技能。當(dāng)網(wǎng)絡(luò)應(yīng)用程序處理經(jīng)過用戶輸入獲得的數(shù)據(jù),并且在回來給終用戶前沒有任何進一步的查看或驗證時,這種進犯就可能產(chǎn)生。您能夠在網(wǎng)絡(luò)應(yīng)用安全聯(lián)盟(英文)中找到一些跨站點腳本的比如。
有許多辦法能夠保證網(wǎng)絡(luò)應(yīng)用程序不被這種技能侵犯。一些簡便易行的辦法包含:
剔除能夠被插入到表單中的數(shù)據(jù)輸入
使用數(shù)據(jù)編碼,防止?jié)撛诖跻庾址闹苯又踩耄?/div>
在數(shù)據(jù)輸入和數(shù)據(jù)庫端之間創(chuàng)立一個“層”,以防止應(yīng)用程序代碼被直接植入歹意字符。
SQL植入和跨站點腳本只不過是黑客用來進犯和使用無辜網(wǎng)站的多種技能中的其間兩種。作為一般的安全準(zhǔn)則,在網(wǎng)絡(luò)安全問題上特別是在使用第三方軟件時,一向堅持更新以保證您安裝了新版別的軟件是非常重要的。許多圍繞大型建站社區(qū)建設(shè)的網(wǎng)絡(luò)應(yīng)用程序都供給持續(xù)的支撐和軟件升級。
下面舉個比如,開放源碼內(nèi)容管理體系的大的四個社區(qū)——Joomla, WordPress, PHP-Nuke 和 Drupa都在他們的網(wǎng)站上供給關(guān)于網(wǎng)絡(luò)安全方面的常識并且設(shè)有大型社區(qū)驅(qū)動論壇,用戶能夠提出問題或?qū)で笾。例如,在Hardening WordPress,WordPress供給了如何加強CMS安全的綜合性幫助文件。 Joomla供給了許多有關(guān)網(wǎng)絡(luò)安全的資源,特別是其間的網(wǎng)絡(luò)安全查看清單,這些操作都是網(wǎng)絡(luò)管理員應(yīng)該選用的。 |
|